海天炜业钢铁行业工控系统网络安全解决方案

摘要：近年来，借助“互联网+、物联网和智能制造技术，钢铁行业工控系统不断优化升级，这一发展过程中，工业控制系统的网络安全面临着重大挑战。海天炜业结合钢铁行业项目经验、专业的工控网络安全产品和技术，拟定了钢铁行业的工控系统网络安全防护方案，为钢铁行业产业升级提供“工控系统安全一站式服务”。

1、方案概况

本方案适用于钢铁行业所属各业务板块工业控制系统的网络安全建设工作，方案中所指的工业控制系统包括但不限于分散控制系统、安全仪表系统、可编程序控制器、过程控制计算机、数据采集计算机、数据库服务器及重要设备控制系统等，以下简称工控系统。

本方案基于钢铁行业工控系统的一般防护对象模型、规划设计了安全防护技术方法，做出防护对象数量初步统计并形成项目预算。

2、解决方案

2.1安全防护体系介绍

根据工业与信息化部2016年印发的《工业控制系统信息安全防护指南》要求，结合工业控制系统信息安全防护思路，工业控制系统的信息安全措施可分为防护类和监控两大类，本方案将遵循指南要求形成一套全面的安全防护体系，整体提高企业的工控网络安全保障能力。安全防护体系主要包括如下几个方面：

防护类措施

（1）在区域边界处部署工业防火墙类安全设备，实现IP、端口的访问控制、应用层协议访问控制、流量控制等。

（2）在操作站、工程师站部署操作站安全系统实现移动存储介质使用的管理、软件黑白名单管理。

（3）安全配置网络设备，实现联网控制、网络准入控制、端口管控等。

监控检查类措施

（1）在工业以太网交换机上部署工控异常监测系统，检测工业控制系统内部入侵行为，异常操作行为，发现异常流量和异常访问关系等。

（2）部署工控漏洞扫描系统，在系统检修、停机或新系统上线时进行漏洞扫描，对漏洞进行修补。

（3）建立周期性风险测评机制，在系统检修、停机或新系统上线时进行配置基线检查、病毒检查、使用记录检查等，重点关注工控系统主机开放的服务，账号密码策略、协议的安全配置等问题，有计划的对风险进行持续性改进。

2.2安全管理

编制工控信息安全资产表、梳理设备接线

以硬件为核心，落实资产责任人、运维负责人、外协单位等人员名录，将资产的看护、巡检、保修等工作落实到人。通过接口梳理和线路梳理，使得整个物理环境可信、可控、可检查。

供应链管理

工业控制系统的全生产周期的安全管理过程中，采用适合于工业控制环境的管理和服务方式，要求服务商具有丰富的安全服务经验、熟悉工业控制系统工作流程和特点，且对安全防护体系和工业控制系统安全防护的相关法律法规 要有深入的理解和解读，保证相应法律法规的有效落实，并以合同的方式约定服务商在服务过程中应当承担的责任和义务。与工业控制系统安全服务方签定保密协议，防范敏感信息外泄。

对关键主机设备、网络设备、控制组件等进行冗余配置

对关键主机设备、网络设备、控制组件等进行冗余配置，防止重大安全事件的发生

对重要的工业控制系统的核心组件防止自人为的恶意破坏

结合重点生产部位管理办法，对核心工业控制软硬件所在的位置，按照物理位置和业务功能进行区域划分，区域之间设置物理隔离装置。定期对工控环境进行巡检，确保所有变动都得到记录、论证和有人负责。

拆除或封闭工业主机上不必要的USB、光驱、无线等接口

拆除或封闭工业主机上不必要的USB、光驱、无线等接口可以从根本上切断非法数据、程序的传播途径。若确需使用，可以通过主机安全管理软件对外设的端口进行控制，记录文件的导入导出等操作痕迹，实现对端口的严格访问控制。

2.3安全技术

安全管控工控主机使用软件和外部移动设备

工控主机使用应用程序白名单软件、外部移动设备管控软件实现进程管控和设备管控，起到防病毒和恶意代码的作用。

关键设备和重点工控网络区域边界安全防护

在关键网络节点处通过部署工控防火墙设备检测并阻止从工控系统外部发起的网络攻击行为，禁止未经授权通讯传入或传出工控系统。同时，通过部署工控防火墙检测并阻止工控系统内部发生的网络攻击行为和病毒传播行为。

远程访问安全

采取技术和管理手段禁止工业控制系统向互联网开通高风险通用网络服务；

确需远程访问控制系统的情况，则指定远程访问对象，并在访问对象的网络接口处部署工控防火墙或网闸等安全设备，对通讯协议和内容进行过滤；

通过工控主机操作系统和工控系统软件的审计功能，记录并保存工业控制系统设备、应用等访问日志，并定期进行备份，通过审计账户登录、访问时间、操作内容等日志信息，追踪定位非授权访问行为。

安全监测和应急预案演练

采用基于工控网络数据流分析技术的安全审计类产品对关键部位的网络链路、安全设备、网络设备和服务器等的运行状况、设备信息、通讯流量等进行集中监测；对常用公开协议进行数据解析和存储，根据控制策略配置报警条件，实时监测工控设备异常通讯行为和异常操作行为，并能够提供追溯异常事件的完整证明数据。

使用专门的审计中心将工控系统网络设备和网络安全设备的审计日志进行收集汇总和集中展示，根据需要生成审计报表，并对网络中发生的各类安全事件进行识别、报警和分析；

制定工控安全事件应急响应预案。

3、解决方案解析

针对钢铁行业网络现状，结合《指南》要求，从安全防护和安全监测两方面综合考虑，制定整体方案，下图为汇总钢铁行业工控系统网络拓扑特点后，进行模型化处理后绘制的安全防护示意图，意在简化展示各类网络拓扑和防护策略。

根据图中所示钢铁行业网络特点，针对不同特点的网络架构，采取不同的防护措施。

（1）在OPC Server与数据采集服务器之间加装Guard防火墙，对OPC Server进行防护，保护采集到的数据在传输中不被病毒篡改及删除；将生产管理系统MES所在数采网与控制网隔离，Guard工业防火墙插件能够过滤两个区域网络间的通信，防止数采网或者控制网中节点感染病毒后，在数采网和控制网之间互相传播。

在站控系统的工程师站上做出有效的安全防护措施，保证关键设备的安全运转。在控制网内部，将每套独立功能的工程师站作为一个防护对象，用Guard防火
墙将其隔离。一旦感染病毒，网络故障会被控制在最初发生的工程师站，而不会影响到其它部分。

对系统中关键PLC设备安装防火墙，防止病毒感染控制器。

（2）在控制网内部，重点对工程师站、操作站进行安全防护，充分利用可信计算与主机加固系统对系统进程进行深度检查，仅允许合法的Windows及控制系统软件进程运行，而其它的非法进程则被阻挡。在每台工程师站和操作员站上安装可信Intrust计算及主机加固系统，防病毒，抗黑客攻击或渗透，防止恶意代码的攻击，提高工控系统计算机自身的免疫力；对USB等可移动设备进行管控，减少外来不安全因素。

（3）在信息网内部部署一套工控安全管理系统SMP软件，实时接收来自工控安全防护设备的日志，分析、组织、处理网络环境内的告警、设备运行信息。统一安全管理中心的范围包括本次项目中涉及的所有安全相关设备与系统。

（4）在控制网核心交换机上部署一台安全审计与异常检测系统，针对工业控制网络设计的实时告警系统，通过特定的安全策略，快速识别出系统中存在的非法操作、异常事件、外部攻击并实时告警。

（5）在控制网核心交换机上部署一台漏洞扫描系统，基于网络的脆弱性进行分析、评估和综合管理，快速发现网络资产，准确识别资产属性、全面扫描安全漏洞，清晰定性安全风险，给出修复建议和预防措施，并对风险控制策略进行有效审核，从而在弱点全面评估的基础上实现安全自主掌控。

4、方案总结

本方案根据工业与信息化部2016年印发的《工业控制系统信息安全防护指南》要求，结合工业控制系统信息安全的建设经验和IT领域同类标准要求，基于钢铁公司工控系统的一般防护对象模型、规划设计了安全防护技术方法，形成了一套全面的安全防护体系，能够整体提高企业的工控网络安全保障能力。

声明：该文观点仅代表作者本人，权责归原作者所有，本站系信息发布平台，仅提供信息存储空间服务，如有侵权或违规内容请及时与我方联系，我们将及时进行处理。