公務(wù)員期刊網(wǎng) 論文中心 正文

鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全防護(hù)研究

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全防護(hù)研究范文,希望能給你帶來靈感和參考,敬請閱讀。

鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全防護(hù)研究

摘要:在兩化融合的時(shí)代背景下,面對嚴(yán)峻的工控安全形勢,為提高企業(yè)生產(chǎn)工作效率,加強(qiáng)企業(yè)工控安全防護(hù)能力,本文主要結(jié)合我國鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀和相關(guān)政策法規(guī),分析鋼鐵行業(yè)生產(chǎn)系統(tǒng)安全風(fēng)險(xiǎn)問題和需求,解決現(xiàn)階段鋼鐵行業(yè)面臨的工控安全問題并提出有針對性的安全防護(hù)措施。

關(guān)鍵詞:鋼鐵行業(yè);工業(yè)控制系統(tǒng);風(fēng)險(xiǎn)分析;網(wǎng)絡(luò)安全

0引言

工業(yè)互聯(lián)網(wǎng)、“中國制造2025”等戰(zhàn)略概念的提出,積極促進(jìn)了我國生產(chǎn)制造模式的變革、產(chǎn)業(yè)組織創(chuàng)新和升級,使得傳統(tǒng)工業(yè)行業(yè)的信息基礎(chǔ)設(shè)施能夠進(jìn)行遠(yuǎn)程智能化監(jiān)控,深度融合IT及信息技術(shù)的制造業(yè)智能化也得以廣泛應(yīng)用,而工業(yè)控制系統(tǒng)設(shè)計(jì)之初是為了完成各種實(shí)時(shí)控制功能,并沒有優(yōu)先考慮安全性問題,而內(nèi)外部網(wǎng)絡(luò)的互聯(lián)互通也帶來不小的安全風(fēng)險(xiǎn)和隱患。鋼鐵工業(yè)企業(yè)是典型的生產(chǎn)、資金、技術(shù)密集型企業(yè),其生產(chǎn)連續(xù)性強(qiáng),生產(chǎn)系統(tǒng)耦合性高。對于鋼鐵行業(yè)工業(yè)控制系統(tǒng)而言,產(chǎn)生安全威脅的因素也是多方面的,例如系統(tǒng)終端防護(hù)漏洞、系統(tǒng)配置和軟件缺陷、協(xié)議漏洞、隱藏后門、非法外聯(lián)、違規(guī)操作、弱密碼等。如何有效地防范內(nèi)外部入侵攻擊,做好工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的防護(hù)工作,確保生產(chǎn)系統(tǒng)的穩(wěn)定運(yùn)行,是鋼鐵行業(yè)信息安全所亟待解決的問題。

1鋼鐵工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)

鋼鐵行業(yè)企業(yè)信息化體系分為五級架構(gòu):一級基礎(chǔ)自動化系統(tǒng)(BAS),如一些現(xiàn)場的數(shù)據(jù)采集儀表、PLC等設(shè)備;二級過程控制系統(tǒng)(PCS),包括各類相對獨(dú)立的功能模塊,如計(jì)量系統(tǒng)二級、掃描發(fā)貨二級、設(shè)備管理二級系統(tǒng)等;三級車間級制造執(zhí)行系統(tǒng)(MES),負(fù)責(zé)計(jì)劃排產(chǎn)、下達(dá)生產(chǎn)指令、倉儲管理、質(zhì)量管理、物流管理等;四級企業(yè)資源計(jì)劃系統(tǒng)(ERP);五級企業(yè)間管理決策系統(tǒng)(DSS)。鋼鐵企業(yè)內(nèi)部主要以煉鐵、煉鋼、熱軋、冷軋等大工序?yàn)閰^(qū)域劃分,或者以公輔類處理為綜合區(qū)域的車間。組網(wǎng)方式一般采用星型或環(huán)網(wǎng)架構(gòu),稱為實(shí)時(shí)控制網(wǎng),負(fù)責(zé)控制器、操作站之間的過程控制實(shí)時(shí)通訊,環(huán)網(wǎng)內(nèi)數(shù)采機(jī)、工作站、PLC等設(shè)備多使用以太網(wǎng)接口通訊,傳輸介質(zhì)通常采用光纖或網(wǎng)線。工業(yè)主機(jī)通過雙網(wǎng)卡與上下級網(wǎng)絡(luò)通訊。在鋼鐵冶煉工業(yè)自動化過程中,高精度板厚控制器、煉鋼智能控制系統(tǒng)、軋薄帶智能系統(tǒng)、高爐控制系統(tǒng)、SCADA系統(tǒng)、PLC、DCS等普遍應(yīng)用在生產(chǎn)控制系統(tǒng);MES、ERP、CIMS也被廣泛應(yīng)用于企業(yè)管理運(yùn)營,使企業(yè)的生產(chǎn)管理產(chǎn)生了革命化的轉(zhuǎn)變。

2鋼鐵行業(yè)安全現(xiàn)狀分析

2.1網(wǎng)絡(luò)結(jié)構(gòu)

鋼鐵生產(chǎn)控制系統(tǒng)每一條生產(chǎn)線通過光纖或網(wǎng)線連通到上行網(wǎng)絡(luò),操作層網(wǎng)絡(luò)同上行網(wǎng)絡(luò)間缺乏必要的邊界防護(hù)措施,如果病毒從管理網(wǎng)侵入網(wǎng)絡(luò)后,就可以長驅(qū)直入到生產(chǎn)現(xiàn)場,甚至直接威脅到PLC等設(shè)備的正常運(yùn)行。另外,生產(chǎn)現(xiàn)場存在不同控制系統(tǒng)共用控制設(shè)備和網(wǎng)絡(luò)設(shè)備的情況,各區(qū)域邊界劃分不清,存在安全風(fēng)險(xiǎn),某條生產(chǎn)線出現(xiàn)問題,會很快傳播到其他生產(chǎn)線進(jìn)而來影響整個(gè)工控系統(tǒng)網(wǎng)絡(luò)。

2.2操作主機(jī)

(1)操作系統(tǒng)漏洞風(fēng)險(xiǎn)。出于對程序運(yùn)行的兼容性和穩(wěn)定性等因素的考慮,現(xiàn)場有很多工業(yè)主機(jī)采用Windows操作系統(tǒng),廠商在系統(tǒng)穩(wěn)定運(yùn)行之后不會去更新補(bǔ)丁,并處于裸機(jī)運(yùn)行的狀態(tài),也因此留下安全隱患,容易受到惡意代碼、蠕蟲、病毒的攻擊。(2)防病毒軟件風(fēng)險(xiǎn)。為提高主機(jī)安全防護(hù)能力,一些用戶僅僅是在主機(jī)上安裝黑名單殺毒軟件,但是存在較大的缺陷,原因在于需要不定期更新病毒庫,這一點(diǎn)并不適用于工業(yè)場景,無法及時(shí)發(fā)現(xiàn)和查殺新型病毒或是在面對未知的程序文件產(chǎn)生誤殺現(xiàn)象,導(dǎo)致每年都會爆發(fā)大規(guī)模的網(wǎng)絡(luò)安全攻擊事件。工控現(xiàn)場的主機(jī)開放TCP102、TCP135、TCP445等業(yè)務(wù)必要使用的端口。攻擊者可利用操作系統(tǒng)漏洞輕松地控制上位機(jī),給生產(chǎn)安全帶來巨大風(fēng)險(xiǎn),如2018—2019年勒索病毒事件利用的就是主機(jī)開放的445端口。

2.3網(wǎng)絡(luò)入侵

工控系統(tǒng)網(wǎng)絡(luò)中缺乏網(wǎng)絡(luò)防入侵及流量審計(jì)相關(guān)措施,外界木馬、病毒等一旦突破網(wǎng)絡(luò)邊界進(jìn)入現(xiàn)場工控網(wǎng)絡(luò),系統(tǒng)不能在第一時(shí)間進(jìn)行發(fā)現(xiàn)、記錄等,不能對網(wǎng)絡(luò)攻擊及時(shí)發(fā)現(xiàn)、預(yù)警、處理等。

2.4外來設(shè)備

(1)維護(hù)設(shè)備風(fēng)險(xiǎn)。工業(yè)控制網(wǎng)絡(luò)中存在大量工控設(shè)備,很多工控設(shè)備需要定期維護(hù)、升級等,這些操作大多會依賴第三方集成商甚至是國外廠商,基本會使用到第三方軟件和相應(yīng)硬件。這些軟件和硬件的接入會直接威脅到工業(yè)控制網(wǎng)絡(luò)。(2)外設(shè)風(fēng)險(xiǎn)。外設(shè)風(fēng)險(xiǎn)是目前工業(yè)控制網(wǎng)絡(luò)系統(tǒng)中公認(rèn)存在的最普遍最具威脅的風(fēng)險(xiǎn)。如“震網(wǎng)病毒”事件就是典型的依靠U盤將外界網(wǎng)絡(luò)病毒攜帶進(jìn)工業(yè)控制網(wǎng)絡(luò)的典型案例。綜合區(qū)域、燒結(jié)區(qū)域、煉鐵區(qū)域、煉鋼區(qū)域,包括堿洗退火工藝工控系統(tǒng)網(wǎng)絡(luò)相關(guān)上位主機(jī)上存在使用U盤的使用痕跡?,F(xiàn)場操作人員不規(guī)范使用U盤,或者使用相關(guān)USB端口為手機(jī)充電等。USB端口的管理需要使用技術(shù)手段進(jìn)行管控,同時(shí)也要加強(qiáng)現(xiàn)場操作人員的安全管理意識。

2.5制度缺失

(1)管理制度風(fēng)險(xiǎn)。管理人員、運(yùn)維人員的技術(shù)能力和安全意識參差不齊,容易發(fā)生越權(quán)訪問、下達(dá)非法指令等行為,給生產(chǎn)系統(tǒng)帶來隱患。因此,對內(nèi)外部人員的操作訪問行為進(jìn)行監(jiān)控、管理與審計(jì)是非常必要的。(2)安全意識風(fēng)險(xiǎn)。一般而言,工業(yè)控制系統(tǒng)相對互聯(lián)網(wǎng)或傳統(tǒng)企業(yè)IT網(wǎng)絡(luò)較為封閉,在“震網(wǎng)病毒”事件發(fā)生之前少有黑客攻擊工業(yè)控制網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)在設(shè)計(jì)之初往往忽略了系統(tǒng)本身的安全性問題,更沒有制訂完善的安全防護(hù)標(biāo)準(zhǔn)、管理制度,對人員的安全意識培養(yǎng)不重視,導(dǎo)致用戶對危險(xiǎn)源沒有感知,出現(xiàn)網(wǎng)絡(luò)安全事件沒有應(yīng)急處理能力。

2.6安全管理

(1)威脅發(fā)現(xiàn)不及時(shí)。目前主流的工業(yè)控制系統(tǒng)大多存在安全漏洞,如SQL注入、跨站腳本攻擊XSS、網(wǎng)站掛馬、弱用戶認(rèn)證、緩沖區(qū)溢出、CGI漏洞等,而且近年來公布的漏洞數(shù)量依然呈現(xiàn)增長趨勢。工業(yè)控制系統(tǒng)私有協(xié)議種類繁多、系統(tǒng)軟件升級難、設(shè)備使用周期較長且考慮可用性無法打補(bǔ)丁等問題,導(dǎo)致威脅漏洞處理不及時(shí),系統(tǒng)補(bǔ)丁升級困難。(2)設(shè)備管理混亂及預(yù)警風(fēng)險(xiǎn)。工控網(wǎng)絡(luò)中部署大量的安全設(shè)備和安全軟件,這些設(shè)備或軟件會來自不同廠商或集成商。如何對設(shè)備和軟件進(jìn)行集中管理、策略下發(fā)、狀態(tài)監(jiān)測,發(fā)揮各個(gè)設(shè)備的優(yōu)勢為整個(gè)生產(chǎn)網(wǎng)絡(luò)提供漏洞監(jiān)測、風(fēng)險(xiǎn)預(yù)警等最基本的技術(shù)支撐是管理者需要考慮的重要問題。此外,由于工控網(wǎng)絡(luò)中設(shè)備數(shù)量及種類眾多,導(dǎo)致資產(chǎn)統(tǒng)計(jì)不完整、不完全、不定時(shí)等,可能會造成資產(chǎn)管理混亂。(3)安全態(tài)勢缺失。很多規(guī)模較大的生產(chǎn)控制系統(tǒng)沒有對整個(gè)企業(yè)工控網(wǎng)絡(luò)安全進(jìn)行頂層設(shè)計(jì)。公司在技術(shù)層面上缺少對全網(wǎng)風(fēng)險(xiǎn)預(yù)警和對風(fēng)險(xiǎn)的實(shí)時(shí)感知能力,無法完成對攻擊源的精準(zhǔn)定位和研判,缺乏整體應(yīng)急指揮能力、決策能力和應(yīng)急處置能力。

3安全防護(hù)設(shè)計(jì)

研究結(jié)合鋼鐵行業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀分析和等級保護(hù)要求,從管理中心、區(qū)域邊界、通信網(wǎng)絡(luò)、計(jì)算環(huán)境層面,構(gòu)建鋼鐵行業(yè)工控系統(tǒng)事前預(yù)警、事中防御、事后溯源的安全防護(hù)體系。圖1所示為安全防護(hù)系統(tǒng)布局。(1)數(shù)據(jù)安全交換與隔離。鋼鐵生產(chǎn)控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議,且因?yàn)榍捌诓]有安全層面的考慮,導(dǎo)致許多生產(chǎn)數(shù)據(jù),如用料成分、生產(chǎn)排程、材料試驗(yàn)數(shù)值等都是明文傳輸或是HEX類型的文件,通過報(bào)文監(jiān)聽手段就能輕易地獲取傳輸內(nèi)容,造成生產(chǎn)數(shù)據(jù)的外泄。所以需要在生產(chǎn)網(wǎng)與辦公網(wǎng)之間增加雙向物理隔離設(shè)備,數(shù)據(jù)包只以專有數(shù)據(jù)塊方式靜態(tài)地在內(nèi)外網(wǎng)絡(luò)間進(jìn)行安全“擺渡”,切斷了內(nèi)外網(wǎng)絡(luò)之間的直接連接,保證數(shù)據(jù)能夠安全、可靠、穩(wěn)定地交換。當(dāng)內(nèi)網(wǎng)與外網(wǎng)之間無信息交換時(shí),數(shù)據(jù)交換單元、內(nèi)網(wǎng)交換單元與外網(wǎng)處理單元,三者之間不存在任何物理連接。辦公網(wǎng)若試圖對生產(chǎn)網(wǎng)發(fā)起攻擊時(shí),可使攻擊者對目標(biāo)網(wǎng)絡(luò)不可達(dá),無法發(fā)現(xiàn)工控網(wǎng)資產(chǎn)。(2)邊界訪問控制。按照工藝劃分安全域,主要分為煉鐵區(qū)域、煉鋼區(qū)域、綜合區(qū)域等;可分別在各安全域網(wǎng)絡(luò)邊界位置橋接部署工業(yè)級防火墻,通過對工業(yè)協(xié)議的深度解析,綜合運(yùn)用工控威脅特征識別技術(shù)、機(jī)器自學(xué)習(xí)與可信白名單技術(shù),在提供傳統(tǒng)防火墻的邏輯隔離、訪問控制等功能的同時(shí),也可有效抵御各類針對工控系統(tǒng)的網(wǎng)絡(luò)攻擊和惡意破壞,為生產(chǎn)控制系統(tǒng)的穩(wěn)定運(yùn)行提供安全保障。(3)入侵檢測與審計(jì)。在各安全域匯聚交換機(jī)位置旁路鏡像部署流量審計(jì)或入侵檢測類設(shè)備,作為工業(yè)防火墻的補(bǔ)充,通過內(nèi)置的工控威脅特征庫、病毒特征庫等功能模塊,對網(wǎng)絡(luò)進(jìn)行入侵攻擊檢測,提供動態(tài)保護(hù)。在病毒對網(wǎng)絡(luò)系統(tǒng)造成危害前,及時(shí)檢測到危險(xiǎn)源,并產(chǎn)生報(bào)警事件,攻擊事件發(fā)生后,能夠給用戶提供詳細(xì)的攻擊信息,便于后期調(diào)查取證和溯源。(4)主機(jī)安全加固。應(yīng)在操作員站、工程師站、服務(wù)器等設(shè)備上安裝白名單防護(hù)軟件,通過白名單式管控技術(shù),一鍵固化系統(tǒng)當(dāng)前運(yùn)行環(huán)境,阻斷震網(wǎng)、Havex、沙蟲、已知和未知病毒木馬攻擊,細(xì)粒度管控外設(shè)接口,切斷移動介質(zhì)傳播病毒的途徑。采用雙因子認(rèn)證、注冊表保護(hù)、重要文件行為審計(jì)等功能,確保主機(jī)實(shí)現(xiàn)身份鑒別、訪問控制、惡意代碼防范等功能。(5)集中管理控制。建立一個(gè)安全管理中心,對業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫等相關(guān)系統(tǒng)日志、運(yùn)行日志、告警日志進(jìn)行采集、分析、儲存;監(jiān)控各設(shè)備的操作行為,實(shí)現(xiàn)賬號集中授權(quán)管理、身份認(rèn)證、深層次訪問授權(quán)控制等功能,讓內(nèi)外部人員的操作處于可管控、可審計(jì)的狀態(tài)下,預(yù)防非法操作帶來的風(fēng)險(xiǎn)隱患;對生產(chǎn)網(wǎng)各類安全設(shè)備進(jìn)行統(tǒng)一管理配置、策略下發(fā)。打破安全孤島,幫助企業(yè)建立縱深防御體系來抵御網(wǎng)絡(luò)中的威脅攻擊。要通過大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)等技術(shù)對工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)安全行為進(jìn)行分析和建模,對威脅和攻擊行為進(jìn)行預(yù)測、響應(yīng)和溯源,通過多維度可視化技術(shù)展示,使整體安全狀態(tài)可感知,安全態(tài)勢可預(yù)測。(6)規(guī)范管理制度。制定安全管理制度,指定專人負(fù)責(zé)管理制度的日常運(yùn)營工作,包括制度存檔、制度修訂、制度維護(hù)、制度發(fā)布和制度銷毀工作,并將相關(guān)責(zé)任落實(shí)到對應(yīng)崗位人員;確立安全管理機(jī)構(gòu)和安全管理人員,明確各崗位人員職責(zé)分工;建立完善的安全培訓(xùn)體系,包括工控網(wǎng)絡(luò)安全意識培訓(xùn)、工控網(wǎng)絡(luò)安全技術(shù)培訓(xùn)、設(shè)備安全使用培訓(xùn)等。

4結(jié)語

本文通過對鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀的探討與分析,深入到鋼鐵行業(yè)工控安全技術(shù)研究,挖掘?qū)嶋H生產(chǎn)業(yè)務(wù)場景下的安全需求,提出了一系列有針對性的安全防護(hù)策略。關(guān)鍵技術(shù)可廣泛應(yīng)用于鋼鐵行業(yè)含有工業(yè)控制系統(tǒng)的企業(yè)或集團(tuán),有助于提高鋼鐵行業(yè)整體的網(wǎng)絡(luò)安全技術(shù)水平。最終達(dá)到威脅攻擊可防御、安全配置可查詢、網(wǎng)絡(luò)通信行為可管理、風(fēng)險(xiǎn)隱患可控制、系統(tǒng)運(yùn)行安全可信任。

作者:劉虹炎 于方元 曹磊 單位:江陰興澄特種鋼鐵有限公司 上海金自天正信息技術(shù)有限公司 北京珞安科技有限責(zé)任公司

相關(guān)熱門標(biāo)簽