武漢鋼鐵有限公司 程曦 王晶

結(jié)合某鋼鐵制造基地及下屬產(chǎn)線的工控系統(tǒng)的網(wǎng)絡實際情況，分析工控網(wǎng)絡中存在的安全隱患，從主機安全防護、邊界安全管理、準入安全管控、網(wǎng)絡入侵檢測等方面提出安全防護方案，結(jié)合國家等級保護制度相關(guān)要求開展工控網(wǎng)絡安全示范線建設，提升企業(yè)的管控網(wǎng)絡安全防護能力，完善安全架構(gòu)和技術(shù)支撐體系，確保生產(chǎn)穩(wěn)定運行。

近年來，工控系統(tǒng)安全風險持續(xù)增加，大量安全威脅不斷滲透至工控網(wǎng)絡，安全形勢日趨嚴峻。2022 年伊朗胡齊斯坦鋼鐵公司在遭受網(wǎng)絡攻擊后被迫停止生產(chǎn)，這是近年來針對該國戰(zhàn)略工業(yè)部門最大規(guī)模網(wǎng)絡攻擊之一，這一事件也為我們敲醒了警鐘！隨著鋼鐵行業(yè)智能制造及兩化融合推進，打破了工控系統(tǒng)原有“孤島式”的管理模式，對工控系統(tǒng)安全提出了更高要求，如何有效地防御內(nèi)、外部攻擊，降低工控網(wǎng)絡安全風險，筑牢工控網(wǎng)絡安全防線，確保生產(chǎn)穩(wěn)定順行，工控網(wǎng)絡穩(wěn)定可靠，是鋼鐵行業(yè)工控網(wǎng)絡安全所關(guān)注和需要解決的問題。

1 鋼鐵企業(yè)工控系統(tǒng)網(wǎng)絡架構(gòu)

鋼鐵企業(yè)生產(chǎn)信息系統(tǒng)主要包括L1（基礎自動化系統(tǒng)）例如現(xiàn)場采集設備、PLC、DCS 等、L2（過程自動化系統(tǒng)）各生產(chǎn)單元生產(chǎn)過程控制系統(tǒng)、控制模型等、L3（各廠作業(yè)層生產(chǎn)執(zhí)行系統(tǒng)）負責生產(chǎn)計劃編排、生產(chǎn)指令存儲管理、質(zhì)量控制計劃管理等、L4（公司層制造管理系統(tǒng)）、L5（公司一體化經(jīng)營決策ERP 系統(tǒng)）。某鋼鐵企業(yè)生產(chǎn)信息系統(tǒng)構(gòu)架，如圖1 所示。

L2 及以下層級統(tǒng)稱廠級工控系統(tǒng)，L3 及以上層級稱公司信息管理系統(tǒng)，承載工控系統(tǒng)的網(wǎng)絡為各廠工控網(wǎng)絡，實現(xiàn)信息系統(tǒng)交互的網(wǎng)絡為公司信息主干網(wǎng)。各層級相互協(xié)調(diào)，完成從煉焦到軋制等一系列連續(xù)的生產(chǎn)控制任務，在生產(chǎn)過程中如果遭受惡意攻擊、發(fā)生病毒感染和擴散，就會使整改生產(chǎn)流程中斷，工控系統(tǒng)的控制組件被迫停止運轉(zhuǎn)，造成嚴重的生產(chǎn)故障和巨大的經(jīng)濟損失[1]。

2 現(xiàn)狀及存在問題

“智慧制造”推進要求實現(xiàn)與生產(chǎn)業(yè)務相關(guān)網(wǎng)絡之間互聯(lián)互通，公司、生產(chǎn)廠內(nèi)新增業(yè)務系統(tǒng)有工控網(wǎng)絡與信息主干網(wǎng)連接訪問要求，打破了原有相對封閉的工控網(wǎng)絡管理模式，對整體安全提出了更高的要求。通過對近年發(fā)生的工控安全事件進行分析，發(fā)現(xiàn)70%以上都是由于蠕蟲病毒、漏洞利用或網(wǎng)絡攻擊導致，隨著網(wǎng)絡架構(gòu)逐步向“高可用、扁平化”趨勢發(fā)展，基于網(wǎng)絡傳播的各種安全威脅將帶來重大安全隱患[2]。

2.1 工控主機安全加固實施難度大

各生產(chǎn)廠的控制系統(tǒng)中存在大量硬件和操作系統(tǒng)老舊的工控主機，部分控制設備還在使用Windows XP、Windows 2000 Server 等操作系統(tǒng)，微軟已不再對這些系統(tǒng)提供安全技術(shù)服務，存在大量高危安全漏洞，對已知漏洞的修復需要升級操作系統(tǒng)版本，降低主機運行速度，且漏洞修復后可能造成控制系統(tǒng)應用或通信異常。

現(xiàn)有殺毒軟件基于黑名單方式，需要相關(guān)技術(shù)人員定期對病毒庫進行更新，在鋼鐵企業(yè)生產(chǎn)環(huán)境不適用，無法及時發(fā)現(xiàn)和查殺新型病毒，對無法識別的工控系統(tǒng)程序會存在誤殺風險，對工控主機進行定期病毒查殺占用系統(tǒng)資源，影響工控主機的性能，導致生產(chǎn)作業(yè)線運行狀態(tài)不穩(wěn)定。

工控系統(tǒng)在防病毒軟件方面的選擇面非常狹窄，經(jīng)廠商認證的防病毒軟件主要是國外的McAfee、Symantec、Trend 產(chǎn)品，少數(shù)使用國產(chǎn)火絨，有些甚至指定版本，殺毒軟件全面覆蓋和國產(chǎn)防病毒軟件替代難度和阻力將很大。

2.2 移動存儲介質(zhì)管控缺乏技術(shù)手段

目前工控系統(tǒng)終端USB 端口的管控，主要通過修改系統(tǒng)注冊表禁用空閑USB 端口，主機的外設接口張貼一次性的密封條方式進行管控，但現(xiàn)場人員工控網(wǎng)絡安全、保密意識不強，仍使用未經(jīng)過授權(quán)移動存儲介質(zhì)或其他USB 設備進行報表下載、程序修改及數(shù)據(jù)拷貝等情況。缺乏必要的技術(shù)手段控制外部存儲介質(zhì)的非授權(quán)接入，需要對USB 端口授權(quán)管理和動態(tài)監(jiān)控，利用未授權(quán)的移動存儲介質(zhì)將病毒、蠕蟲等惡意代碼滲透進入工業(yè)控制系統(tǒng)的安全事件屢見不鮮[3]。

2.3 網(wǎng)絡邊界存在的風險

通過長期以來的檢查、整改，逐步落實公司安全管理要求，各生產(chǎn)廠工控網(wǎng)和信息主干網(wǎng)基本實現(xiàn)物理隔離，PLC、DCS 等L1 基礎自動化層級接入?yún)^(qū)域內(nèi)部工控網(wǎng)交換機，部分L2 層級服務器需要與L3 進行交互，接入信息主干網(wǎng)前配了防火墻，而且對安全防護策略也進行配置。

總體上工控網(wǎng)較封閉，安全防護有保障，但是隨著兩化融合的推進，各類自動化、智能化項目的實施，工控網(wǎng)、信息網(wǎng)之間的通訊越來越多，界限越來越模糊，為實現(xiàn)現(xiàn)場實時數(shù)據(jù)的高效采集，需要工控網(wǎng)與信息網(wǎng)、主干網(wǎng)建立廣范的連接，部分工控設備甚至通過無線網(wǎng)卡接入互聯(lián)網(wǎng)絡，違規(guī)接入工控網(wǎng)情況屢見不鮮，例如表檢儀、孔洞儀等測量系統(tǒng)、區(qū)域數(shù)據(jù)采集設備等，為實現(xiàn)不同網(wǎng)段間的數(shù)據(jù)共享及信息主干網(wǎng)的業(yè)務發(fā)布，配備有多塊網(wǎng)卡和IP 地址，接入工控網(wǎng)絡未經(jīng)過審核、評估，容易導致原有的網(wǎng)絡邊界防線失效，一旦某臺服務器感染惡意代碼或遭受黑客攻擊，可能會導致擴散到其他工控主機被感染或被攻擊。

2.4 安全策略配置漏洞，弱口令和遠程、共享等問題難以根除

由于生產(chǎn)或操作需要，共享服務無法棄用，例如Wincc、Intoch 等控制軟件Clinte 與Server 端通過共享文件方式實現(xiàn)數(shù)據(jù)交互功能，如果工控主機的445、139 端口被封鎖，可能造成組態(tài)軟件無法正常運行，系統(tǒng)運行終斷，然而Wannercry 勒索病毒正是利用了微軟 MS17-010 漏洞并通過445 端口傳播。“向日葵控控”等遠程應用軟件已禁止在工控系統(tǒng)中使用，但現(xiàn)場技術(shù)人員為提高故障處理效率，未遵循“最小原則”，開啟139、445、3389等端口、FTP、Telnet 等非業(yè)務必須的服務及Windows遠程桌面服務。因通信賬戶被編譯到程序中，涉及底層的應用開發(fā)而無能為力，對弱密鑰進行修改，技術(shù)難度較大，無法完全避免弱口令問題。

3 改進措施

結(jié)合《工業(yè)控制系統(tǒng)信息安全防護指引》與《等級保護2.0-工業(yè)控制系統(tǒng)安全擴展要求》等相關(guān)制度、法規(guī)要求，基于某企業(yè)工控系統(tǒng)實際應用情況，以終端安全加固和網(wǎng)絡邊界防護、加強移動介質(zhì)管控為重點，強化工控網(wǎng)絡安全監(jiān)管，降低工控網(wǎng)絡安全風險，保障區(qū)域內(nèi)工控網(wǎng)絡安全穩(wěn)定運行[4]。

3.1 終端主機的安全加固

通過管理制度要求工控網(wǎng)絡運維人員關(guān)注工控安全形勢，及時知悉重大安全漏洞和補丁發(fā)布情況，對安全補丁進行安裝后對工控主機可能造成的安全風險評估，在測試環(huán)境做好充分的測試、驗證，確保安全可行后在生產(chǎn)環(huán)境中為工控主機安裝安全補丁。

對于已安裝殺毒軟件但不方便定期更新病毒庫的工控主機，使用應用程序白名單軟件來防范風險，僅允許通過業(yè)務單位授權(quán)和安全評估的軟件在工控主機中運行。對于配置老舊不具備安裝條件的，以殺毒U 盤的方式定期對終端病毒進行查殺。

在生產(chǎn)線進行升級改造時，逐步實現(xiàn)工控終端及核心網(wǎng)絡設備的國產(chǎn)化升級替代，避免被外方“卡脖子”。

3.2 加強移動介質(zhì)管控

定期開展工控網(wǎng)絡安全檢查，檢查內(nèi)容包括工控主機外部設備接口情況，對非必要USB 接口、光驅(qū)等設備接口封閉或拆除，做好外接設備的授權(quán)管理。比如:部署移動介質(zhì)授權(quán)管理系統(tǒng)，僅允許被授權(quán)的安全移動介質(zhì)通過指定的方式接入工控主機，禁止沒有授權(quán)的U盤、光驅(qū)等外部設備接入工控主機，防范病毒、木馬等惡意代碼程序通過移動存儲介質(zhì)侵入工控系統(tǒng)。

3.3 邊界隔離與訪問控制

建立清晰的工控系統(tǒng)網(wǎng)絡邊界，加強工控網(wǎng)絡的縱向安全隔離和橫向安全認證。

做好縱向安全隔離，通過終端雙網(wǎng)卡加前置防火墻、網(wǎng)閘等網(wǎng)絡安全設備，合理配置訪問控制策略，實現(xiàn)不同層面間設備的授權(quán)訪問，允許L2 與L3 層進行生產(chǎn)計劃、生產(chǎn)實績數(shù)據(jù)交互等合法業(yè)務數(shù)據(jù)，阻止非授權(quán)訪問流量通過邊界，例如在熱軋生產(chǎn)線L3 和L2 的網(wǎng)絡邊界部署工業(yè)網(wǎng)閘，實現(xiàn)工控網(wǎng)絡與主干信息網(wǎng)絡邊界隔離，避免L3 及以上網(wǎng)絡非授權(quán)訪問工控系統(tǒng)網(wǎng)絡的風險。

做好橫向安全認證，在工業(yè)系統(tǒng)網(wǎng)絡中，在交換機上按照區(qū)域、工藝流程和功能等維度劃分不同的安全防護區(qū)域，例如:煉鐵、煉鋼、條材、熱軋區(qū)域，分廠的工控網(wǎng)絡都匯聚至集中控制中心核心交換機，通過核心交換機劃分VLAN，前置工業(yè)防火墻、工業(yè)安全網(wǎng)閘等防護設備，有效對工業(yè)通信協(xié)議的數(shù)據(jù)包進行深度檢查和識別，實現(xiàn)篩選并屏蔽非法指令，避免安全風險在不同區(qū)域進行擴散，便于風險源追溯。保證只有可信任的流量可以在工業(yè)網(wǎng)絡上傳輸，實現(xiàn)對非法操作指令的攔截和告警。

3.4 根據(jù)業(yè)務配置合理的安全策略，減少安全漏洞

加強設備的口令防護強度，根據(jù)業(yè)務需求為工控主機配置合理的密碼策略。遵循“最小原則”開放工控主機端口或服務。所有非必要的遠程桌面、遠程登錄等服務關(guān)閉，如廠部有遠程維護需求，應在有安全措施和策略的通道下進行，具體的措施如下：如運維人員需從外網(wǎng)使用VPN 等遠程登錄工業(yè)系統(tǒng)網(wǎng)絡，應限制用戶數(shù)量，防火墻上配置安全策略，僅允許限制的時間內(nèi)從指定的IP 地址進行遠程訪問。

清理工控主機、網(wǎng)絡設備中的賬戶，確認賬戶使用情況，禁用冗余賬號、過期賬號。同時，按照“最小原則”為賬號賦權(quán)，分配與工作角色、工作職責相符的權(quán)限。

4 安全示范線建設

以煉鋼廠區(qū)域為試點進行工控網(wǎng)絡安全示范線建設，基于煉鋼區(qū)域現(xiàn)場情況，設計了工控安全整體架構(gòu)。參照《工業(yè)控制系統(tǒng)安全防護指引》相關(guān)要求，建設工控網(wǎng)絡安全示范線，關(guān)注工控系統(tǒng)邊界安全、終端安全加固、遠程運維管控、安全威脅感知、安全管理中心建設等方面內(nèi)容[5]，如圖2 所示。

圖2 煉鋼廠工業(yè)控制系統(tǒng)網(wǎng)絡安全建設示意圖Fig.2 Schematic diagram of network security construction of industrial control system in steel mill

4.1 工控系統(tǒng)邊界安全

在L1 與L2 邊界處部署工控防火墻，通過工業(yè)協(xié)議的深度解析確保過程控制系統(tǒng)與現(xiàn)場控制設備之間、HMI 和現(xiàn)場控制設備之間通訊與控制的合法性，有效阻止利用工控協(xié)議進行漏洞攻擊，并同步管控網(wǎng)絡非法入侵、惡意訪問的威脅。

4.2 終端安全加固

終端設備安裝基于白名單方式主機安全衛(wèi)士，實現(xiàn)已知、未知病毒的防范。由于傳統(tǒng)殺毒軟件的“黑名單”方式嚴重依賴病毒庫，所以在遠程控制中心操作員站、工程師站，服務器上部署工控主機衛(wèi)士，采用更適用于工業(yè)網(wǎng)絡環(huán)境的輕量級“白名單”機制，可以有效阻止未知病毒、木馬、蠕蟲等惡意代碼的執(zhí)行。

4.3 安全威脅發(fā)現(xiàn)

提高已知、未知威脅攻擊防御能力，在生產(chǎn)控制層與生產(chǎn)管理層網(wǎng)絡邊界處部署高級威脅檢測系統(tǒng)，采用基于沙箱行為的未知威脅檢測技術(shù)，實時檢測威脅情報、密碼暴力破解、潛在隱私策略等APT 攻擊行為，解決勒索病毒、變種病毒、未知威脅無法定位的問題。

4.4 移動介質(zhì)管控

在工控示范區(qū)規(guī)劃部署移動介質(zhì)管控系統(tǒng)，實現(xiàn)工控網(wǎng)絡終端外設統(tǒng)一管理，并同步存儲外設的接入控制與內(nèi)容檢查，存儲外設掃描通過內(nèi)置防病毒引擎及病毒特征庫，實現(xiàn)對存儲外設內(nèi)的文件進行病毒特征掃描。存儲外設殺毒，通過內(nèi)置防病毒引擎對掃描出來的染毒文件進行清除。

4.5 遠程運維管控

“智慧制造”建設帶來大量遠程運維需求，其接入工控系統(tǒng)需要實現(xiàn)安全訪問、權(quán)限管理及安全審計要求。運維人員通過VPN 設備連接至主干網(wǎng)內(nèi)，登錄堡壘機進行認證授權(quán)，基于堡壘機操作錄屏功能實現(xiàn)運程運維操作審計功能。通過堡壘機發(fā)布中心平臺連接至廠部遠程通信服務器，廠部設備管理員可以通過遠程通信服務器完成遠程接入人員的賬戶創(chuàng)建、刪除、禁止以及用戶授權(quán)等操作，并可記錄和追溯設備與人員訪問日志，支持多人同時訪問多個設備，默認封閉遠程通信服務器訪問端口，網(wǎng)絡管理員可按需進行配置管理，保障遠程訪問安全?，F(xiàn)場遠程運維設備通過工業(yè)遠程網(wǎng)關(guān)設備進行連接，網(wǎng)關(guān)部署在工控網(wǎng)現(xiàn)場，如圖3 所示。

圖3 遠程運維方案Fig.3 Remote operation and maintenance scheme

4.6 安全管理中心建設

構(gòu)建工控案示范區(qū)統(tǒng)一管理平臺，對部署的所有安全設備進行統(tǒng)一管理、策略配置，解決安全設備難運維的問題，同時將工控系統(tǒng)告警信息集中展現(xiàn)，包括告警監(jiān)控終端列表、告警類型統(tǒng)計、業(yè)務異常分布圖、攻擊行為分布、用戶行為分布圖、未處理告警信息實時監(jiān)視統(tǒng)計等[6]。

5 結(jié)語

通過對某鋼鐵企業(yè)工控網(wǎng)絡安全體系全面診斷，分析存在問題，制定針對性的提升措施，完善工控網(wǎng)絡安全防護體系。以煉鋼廠工控網(wǎng)絡安全示范線建設為切入點，阻止勒索、蠕蟲等病毒、木馬、惡意程序在生產(chǎn)區(qū)域之間的傳播和擴散，防范違規(guī)接入設備對生產(chǎn)控制系統(tǒng)惡意操作、違規(guī)指令的下發(fā)，加強邊界安全管控，防范工控網(wǎng)絡安全風險，避免工控安全事件的發(fā)生，確保工控網(wǎng)絡的安全、穩(wěn)定和可靠，煉鋼廠由于網(wǎng)絡安全事件導致的故障停機時間由平均0.6 小時/月降低為零。管理方式和技術(shù)經(jīng)驗可廣泛應用于類似系統(tǒng)構(gòu)架的鋼鐵企業(yè)，有助于提高鋼鐵企業(yè)工控網(wǎng)絡安全防護水平。