久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

摘要：在早期，由于信息化發(fā)展水平有限，工業(yè)控制系統(tǒng)與信息管理層基本上處于隔離狀態(tài)。因此，企業(yè)的信息化建設(shè)首先從信息層開(kāi)始，經(jīng)過(guò)10多年的建設(shè)積累，信息層的信息化建設(shè)已經(jīng)有了較好的基礎(chǔ)，涉及到了鋼鐵、勘探、加工、煉化、化工、儲(chǔ)運(yùn)等諸多工業(yè)領(lǐng)域，企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力都有很大提升，提高了生產(chǎn)信息上傳下達(dá)的實(shí)時(shí)性、完整性和一致性，相應(yīng)的網(wǎng)絡(luò)安全防護(hù)也有了較大提高。在信息管理層面，企業(yè)在生產(chǎn)領(lǐng)域大量引入IT技術(shù)，同時(shí)也包括各種如防火墻、IDS、VPN、防病毒等IT網(wǎng)絡(luò)安全技術(shù)，這些技術(shù)主要面向商用網(wǎng)絡(luò)應(yīng)用層面，技術(shù)應(yīng)用方面也相對(duì)成熟。

關(guān)鍵詞：訪問(wèn)控制；行為監(jiān)測(cè)；白名單；行為基線；鋼鐵；工業(yè)控制系統(tǒng)；信息安全

鋼鐵行業(yè)是自動(dòng)化普及度較高的行業(yè)之一，同時(shí)也是對(duì)工業(yè)控制系統(tǒng)的穩(wěn)定性和控制策略復(fù)雜性要求很高的行業(yè)。系統(tǒng)一旦出現(xiàn)故障，不僅造成巨大的經(jīng)濟(jì)損失和能源安全沖擊，還會(huì)造成人身安全影響。因此對(duì)控制層的網(wǎng)絡(luò)安全重視程度最高。

河北某鋼鐵自動(dòng)化建設(shè)相對(duì)完善，但對(duì)于其控制系統(tǒng)網(wǎng)絡(luò)仍處于空白部分，本設(shè)計(jì)在分析工業(yè)控制中心信息安全需求的基礎(chǔ)上，通過(guò)部署信息安全設(shè)備，對(duì)工業(yè)控制中心信息安全建設(shè)提供合理依據(jù)。

1.1 設(shè)計(jì)范圍

本設(shè)計(jì)針對(duì)XX鋼鐵軋鋼產(chǎn)線及煉鋼產(chǎn)線控制環(huán)境信息安全進(jìn)行設(shè)計(jì)，按IEC62443的層級(jí)劃分結(jié)構(gòu)，本設(shè)計(jì)旨在對(duì)L1-L3層級(jí)信息安全進(jìn)行設(shè)計(jì)。

1.2 設(shè)計(jì)原則

（1）技術(shù)可行性原則

設(shè)計(jì)過(guò)程中采用可落地的信息安全技術(shù)應(yīng)用，確保選擇的信息安全手段可發(fā)揮既定的作用。

（2）生產(chǎn)可用性優(yōu)先原則

設(shè)計(jì)過(guò)程需要建立在生產(chǎn)流程的基礎(chǔ)上，除非必須場(chǎng)景外，在L1.5層級(jí)不采用阻斷類的管控手段，從而保障生產(chǎn)過(guò)程不受信息安全策略的影響，確保不會(huì)造成二次安全威脅。

（3）經(jīng)濟(jì)性原則

設(shè)計(jì)過(guò)程中需考慮經(jīng)濟(jì)的有效利用，合理應(yīng)用技術(shù)手段，避免資源浪費(fèi)。

（4）合規(guī)性原則

設(shè)計(jì)過(guò)程需依照《工業(yè)信息安全防護(hù)指南》、《等保2.0工業(yè)擴(kuò)展部分》等國(guó)家標(biāo)準(zhǔn)，確保建設(shè)過(guò)程符合國(guó)家相關(guān)要求；同時(shí)也需參照《IEC62443》《SP800-82》等國(guó)際領(lǐng)先標(biāo)準(zhǔn)，依照相關(guān)信息安全標(biāo)準(zhǔn)，確保設(shè)計(jì)的合理性。

（5）生命周期延續(xù)原則

設(shè)計(jì)采用成熟穩(wěn)定的主流技術(shù)手段，保障在業(yè)務(wù)生命周期內(nèi)的信息安全防護(hù)，在保障期間內(nèi)，應(yīng)用技術(shù)不處于落后淘汰范圍。

2.1 網(wǎng)絡(luò)結(jié)構(gòu)梳理

2.1.1 軋鋼產(chǎn)線

某鋼鐵軋鋼產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示：

圖1 某鋼鐵軋鋼產(chǎn)線原始拓?fù)?/p>

軋鋼產(chǎn)線包含加熱爐區(qū)域、主扎線區(qū)域、平整加工區(qū)域、磨輥區(qū)域，其中主扎線區(qū)域可以根據(jù)工段劃分為粗軋、精軋、卷曲區(qū)域。

其中加熱爐區(qū)域、平整加工區(qū)域、磨輥區(qū)域在網(wǎng)絡(luò)結(jié)構(gòu)中相對(duì)獨(dú)立。特別為磨輥區(qū)域，其L1~L2層未與其他系統(tǒng)連接。主扎線區(qū)域相對(duì)復(fù)雜，粗軋與精軋共用一套電氣室，在控制流程中，無(wú)法在物理層面區(qū)分。卷曲主控接入節(jié)點(diǎn)為粗精軋Switch3/6，間接與卷曲電氣室（Switch5）連接。

2.1.2 煉鋼產(chǎn)線

某鋼鐵煉鋼（150T轉(zhuǎn)爐&150連鑄）產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示：

圖2 某鋼鐵煉鋼產(chǎn)線原始拓?fù)?/p>

煉鋼產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)復(fù)雜，同時(shí)煉鋼網(wǎng)絡(luò)中存在大量環(huán)網(wǎng)應(yīng)用，具體參考圖3，其中紅色標(biāo)記鏈路為環(huán)網(wǎng)鏈路：

圖3 某鋼鐵煉鋼產(chǎn)線環(huán)網(wǎng)應(yīng)用

環(huán)網(wǎng)交換機(jī)連接均連接多條鏈路，造成訪問(wèn)控制裝置無(wú)法有效部署，同時(shí)由于環(huán)網(wǎng)鏈路的建立通常包含了環(huán)網(wǎng)交換機(jī)的私有協(xié)議，工業(yè)防火墻不具備上述寫，故不可以串接在環(huán)網(wǎng)主干鏈路中。

2.2 網(wǎng)絡(luò)層威脅分析

網(wǎng)絡(luò)層威脅主要體現(xiàn)在訪問(wèn)控制、流量?jī)?nèi)容過(guò)濾，未知流量方面。

2.2.1 未經(jīng)授權(quán)的訪問(wèn)

當(dāng)前在各個(gè)產(chǎn)線控制系統(tǒng)中，通過(guò)Vlan進(jìn)行了網(wǎng)段劃分，但仍存在利用交換機(jī)作為“中間人”對(duì)下發(fā)起訪問(wèn)的行為。

同時(shí)，軋鋼產(chǎn)線特別是粗精軋產(chǎn)線存在共用控制器的場(chǎng)景，上述環(huán)境造成理論中存在異常操作可能。

2.2.2 拒絕服務(wù)攻擊

若在網(wǎng)絡(luò)中任意節(jié)點(diǎn)下發(fā)大量無(wú)效報(bào)文，會(huì)對(duì)正常通信造成影響，從而影響生產(chǎn)。在網(wǎng)絡(luò)層面而言，究其原因缺少針對(duì)報(bào)文的有效識(shí)別及過(guò)濾能力，無(wú)法過(guò)濾無(wú)效報(bào)文內(nèi)容。

2.2.3 未知流量威脅

對(duì)于未知流量，缺少有效的識(shí)別及管控手段，無(wú)法判定網(wǎng)絡(luò)中是否存在漏洞利用攻擊行為，需要在網(wǎng)絡(luò)層面實(shí)現(xiàn)對(duì)于漏洞攻擊的有效識(shí)別及防范。

2.2.4 利用無(wú)線網(wǎng)絡(luò)的入侵行為

軋鋼產(chǎn)線中Switch3接入設(shè)備包含無(wú)線AP，無(wú)線網(wǎng)絡(luò)因其開(kāi)放性，相比于傳統(tǒng)網(wǎng)絡(luò)更易造成網(wǎng)絡(luò)侵入，存在仿冒設(shè)備接入的可能。

2.3 主機(jī)層信息安全威脅

2.3.1 惡意代碼

部分操作工或運(yùn)維人員通過(guò)移動(dòng)存儲(chǔ)設(shè)備或感染惡意代碼的個(gè)人PC與控制系統(tǒng)中上位機(jī)進(jìn)行連接，造成惡意代碼植入上位機(jī)。

2.3.2 非法存儲(chǔ)介質(zhì)接入

在工程建設(shè)或生產(chǎn)過(guò)程中不可避免涉及到移動(dòng)存儲(chǔ)介質(zhì)的接入問(wèn)題，當(dāng)前缺少對(duì)移動(dòng)存儲(chǔ)介質(zhì)可信性進(jìn)行認(rèn)證的措施，這也是主機(jī)惡意代碼的主要來(lái)源。

2.3.3 脆弱性威脅

工業(yè)應(yīng)用及主機(jī)存在眾多已知漏洞，上述漏洞則會(huì)成為攻擊者利用的條件，對(duì)生產(chǎn)環(huán)境進(jìn)行影響。

2.4 主機(jī)層信息安全威脅

2.4.1 缺少進(jìn)程、服務(wù)管控

由于工控機(jī)特別是老式工控機(jī)性能受限，且其物理環(huán)境缺少必要的監(jiān)控，存在操作人員利用工程師站、操作員站計(jì)算資源進(jìn)行非生產(chǎn)操作的場(chǎng)景。

2.4.2 應(yīng)用脆弱威脅

工業(yè)應(yīng)用如SCADA、組態(tài)編程軟件，其通常不進(jìn)行補(bǔ)丁加固，存在較多已知漏洞，造成漏洞攻擊成本降低，易遭受漏洞利用攻擊。

2.5 數(shù)據(jù)層信息安全威脅

控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議，其在設(shè)計(jì)支持考慮多為數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性、容錯(cuò)性等，無(wú)安全層面考慮，造成其中數(shù)據(jù)部分多為明文或HEX類型數(shù)據(jù)，通過(guò)對(duì)報(bào)文監(jiān)聽(tīng)即可獲取數(shù)據(jù)內(nèi)容，造成生產(chǎn)數(shù)據(jù)的外泄。

3.1 設(shè)計(jì)思路

依照行為基線，整體安全設(shè)計(jì)參照“白名單”環(huán)境進(jìn)行設(shè)定，即僅限定合法流量、進(jìn)程、服務(wù)的應(yīng)用。

在IT環(huán)境下由于流量種類及目標(biāo)指向過(guò)于繁雜，白名單很難執(zhí)行落地，在工業(yè)環(huán)境下，通信結(jié)構(gòu)及流量、應(yīng)用較IT環(huán)境簡(jiǎn)化，基于白名單結(jié)構(gòu)可以更簡(jiǎn)單實(shí)現(xiàn)安全策略的落地。

3.2 安全域劃分

對(duì)網(wǎng)絡(luò)各個(gè)系統(tǒng)進(jìn)行安全域劃分，目的旨在切割風(fēng)險(xiǎn)，同時(shí)方便管理策略的執(zhí)行。

軋鋼產(chǎn)線具體劃分如圖4所示：

圖4 某鋼鐵軋鋼產(chǎn)線安全域劃分

根據(jù)軋鋼連扎車間的生產(chǎn)流程及接入環(huán)境，共劃分為6個(gè)區(qū)域，如圖5所示，分別為加熱爐控制區(qū)、磨輥控制區(qū)、主扎線控制區(qū)、平整加工控制區(qū)及無(wú)線接入?yún)^(qū)等。

圖5 某鋼鐵煉鋼產(chǎn)線安全域劃分

3.3 技術(shù)設(shè)計(jì)

3.3.1 訪問(wèn)控制設(shè)計(jì)

（1）與非控制系統(tǒng)邊界訪問(wèn)控制設(shè)計(jì)

為保障IT至OT網(wǎng)絡(luò)間實(shí)現(xiàn)對(duì)于指令級(jí)別的訪問(wèn)控制，需要部署具備對(duì)功能工業(yè)協(xié)議識(shí)別的訪問(wèn)控制裝置。目前等保2.0對(duì)控制區(qū)與非控制區(qū)邊界要求實(shí)現(xiàn)單向隔離即協(xié)議剝離，故在該節(jié)點(diǎn)建議將原防火墻替換為工業(yè)網(wǎng)閘實(shí)現(xiàn)訪問(wèn)控制功能。

圖6 二級(jí)中控與非控制區(qū)邊界訪問(wèn)設(shè)計(jì)

圖7 磨輥車間與非控制區(qū)邊界訪問(wèn)控制設(shè)計(jì)

煉鋼車間中150T轉(zhuǎn)爐五樓值班室具備對(duì)其他網(wǎng)絡(luò)接口，包括OA系統(tǒng)（辦公）、MES系統(tǒng)（生產(chǎn)管理）、質(zhì)量系統(tǒng)（ERP），其均為對(duì)生產(chǎn)數(shù)據(jù)進(jìn)行分析、研判等應(yīng)用，根據(jù)劃分，屬于非控制區(qū)域。

圖8 煉鋼車間與非控制區(qū)邊界訪問(wèn)控制設(shè)計(jì)

（2）產(chǎn)線間控制系統(tǒng)邊界訪問(wèn)控制設(shè)計(jì)

XX鋼鐵采用的數(shù)采網(wǎng)關(guān)為windows PE操作系統(tǒng)，在隔離作用中可視作雙網(wǎng)卡PC，僅實(shí)現(xiàn)通訊協(xié)議的采集及轉(zhuǎn)發(fā)功能，較易作為“中間跳板”對(duì)軋鋼產(chǎn)線進(jìn)行非法訪問(wèn)，綜上所述，數(shù)采網(wǎng)關(guān)不具備邊界隔離作用。需要在其邊界部署訪問(wèn)控制手段實(shí)現(xiàn)對(duì)于其他產(chǎn)線訪問(wèn)流量管控。

圖9 與其他產(chǎn)線控制邊界訪問(wèn)控制設(shè)計(jì)

（3）無(wú)線區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

無(wú)線接入?yún)^(qū)域中輥道小車均為獨(dú)立控制（本地HMI），部分?jǐn)?shù)據(jù)通過(guò)Wi-Fi傳輸與其他區(qū)域，該區(qū)域相對(duì)其他區(qū)域，安全性較低，需要增加訪問(wèn)控制措施實(shí)現(xiàn)不同安全等級(jí)安全域的隔離。

圖10 無(wú)線區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

（4）區(qū)域間訪問(wèn)控制設(shè)計(jì)

在生產(chǎn)網(wǎng)中，網(wǎng)絡(luò)邊界防火墻將以最小通過(guò)性原則部署配置，根據(jù)業(yè)務(wù)需求采用白名單方式，逐條梳理業(yè)務(wù)流程，增加開(kāi)放IP和開(kāi)放端口，實(shí)現(xiàn)嚴(yán)格流量管控。

圖11 加熱爐控制區(qū)與主扎線區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

3.3.2 網(wǎng)絡(luò)行為監(jiān)測(cè)設(shè)計(jì)

（1）操作行為監(jiān)測(cè)設(shè)計(jì)

在控制器前端交換機(jī)部署監(jiān)測(cè)審計(jì)手段，用來(lái)實(shí)現(xiàn)對(duì)于操作過(guò)程的監(jiān)測(cè)。

（2）訪問(wèn)流量回溯

針對(duì)控制系統(tǒng)外對(duì)控制系統(tǒng)訪問(wèn)內(nèi)容進(jìn)行回溯，該設(shè)計(jì)要求行為審計(jì)不僅對(duì)工業(yè)流量進(jìn)行解析，而且對(duì)遠(yuǎn)程桌面、telnet等行為進(jìn)行有效解析，同時(shí)針對(duì)控制器與上位機(jī)固定通訊流量進(jìn)行監(jiān)測(cè)并統(tǒng)計(jì)。

（3）網(wǎng)絡(luò)白名單

通過(guò)策略設(shè)定或自學(xué)習(xí)，對(duì)網(wǎng)絡(luò)監(jiān)測(cè)節(jié)點(diǎn)協(xié)議進(jìn)行白名單過(guò)濾，限定可流通協(xié)議，對(duì)于限定外協(xié)議進(jìn)行報(bào)警。

3.3.3 主機(jī)行為管控設(shè)計(jì)

主機(jī)白名單客戶端部署于軋鋼產(chǎn)線全部PC，原則上不允許存在例外，通過(guò)對(duì)終端的管控，構(gòu)成工業(yè)安全實(shí)質(zhì)層面最外層的安全防線。

（1）進(jìn)程及服務(wù)管控

主機(jī)白名單以最小化設(shè)定為原則，對(duì)主機(jī)中應(yīng)用進(jìn)行管控，針對(duì)目標(biāo)應(yīng)用必要進(jìn)程及服務(wù)開(kāi)放白名單，非限定進(jìn)程及服務(wù)均禁止運(yùn)行。該策略在保證生產(chǎn)持續(xù)進(jìn)行條件下有效降低對(duì)工控計(jì)算資源的占用。

（2）接口管控

對(duì)軋鋼產(chǎn)線中移動(dòng)存儲(chǔ)介質(zhì)通過(guò)終端管控進(jìn)行分級(jí)授權(quán)，未經(jīng)授權(quán)移動(dòng)存儲(chǔ)介質(zhì)從驅(qū)動(dòng)層面禁用。在管理層面，禁止運(yùn)維移動(dòng)終端作為工程師個(gè)人PC，第三方調(diào)試PC均需要納入終端管控范圍。

3.3.4 脆弱性檢測(cè)設(shè)計(jì)

采用離線工控系統(tǒng)漏洞掃描和入網(wǎng)檢測(cè)，對(duì)目標(biāo)設(shè)備進(jìn)行掃描，凡是生產(chǎn)網(wǎng)內(nèi)工業(yè)控制系統(tǒng)中所特有的設(shè)備/系統(tǒng)必須經(jīng)工控漏洞掃描檢測(cè)合格后，方能具備入網(wǎng)資格。

4.1 部署結(jié)構(gòu)

軋鋼產(chǎn)線部署結(jié)構(gòu)如圖12所示：

圖12 軋鋼產(chǎn)線信息安全整體部署結(jié)構(gòu)圖

本次設(shè)計(jì)在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，將原有網(wǎng)絡(luò)劃分為6個(gè)獨(dú)立區(qū)域，在其間部署訪問(wèn)控制手段進(jìn)行隔離；控制器接入前端部署審計(jì)探針，對(duì)出入棧內(nèi)容進(jìn)行解析及檢測(cè)；全部主機(jī)部署主機(jī)白名單面對(duì)進(jìn)程及服務(wù)進(jìn)行管控；漏洞掃描以服務(wù)形式，對(duì)停產(chǎn)維護(hù)資產(chǎn)以及新上線系統(tǒng)進(jìn)行健康性檢測(cè)。

煉鋼產(chǎn)線部署結(jié)構(gòu)圖如圖13所示：

圖13 煉鋼產(chǎn)線信息安全整體部署結(jié)構(gòu)圖

由于環(huán)網(wǎng)主干鏈路的存在，煉鋼車間部分區(qū)域無(wú)法進(jìn)行有效訪問(wèn)控制。同時(shí)由于煉鋼車間與軋鋼車間間隔兩臺(tái)數(shù)據(jù)采集網(wǎng)關(guān)，造成網(wǎng)絡(luò)不可達(dá)，故在部署過(guò)程中煉鋼產(chǎn)線也部署一套獨(dú)立的審計(jì)系統(tǒng)。

4.2 技術(shù)對(duì)應(yīng)設(shè)備說(shuō)明

表1 技術(shù)對(duì)應(yīng)設(shè)備說(shuō)明

5 補(bǔ)充設(shè)計(jì)說(shuō)明

由于本次設(shè)計(jì)僅針對(duì)軋鋼產(chǎn)線及煉鋼產(chǎn)線，建議在全廠基礎(chǔ)設(shè)施信息安全建設(shè)完畢后，增加全廠信息安全調(diào)度平臺(tái)及廠級(jí)工業(yè)信息安全態(tài)勢(shì)感知平臺(tái)及相關(guān)服務(wù)應(yīng)用。

整體信息安全防護(hù)框架如圖14所示：

圖14 安全框架設(shè)計(jì)

整體框架分別由安全防護(hù)體系、態(tài)勢(shì)感知體系及應(yīng)急響應(yīng)體系構(gòu)成，三套體系分別承擔(dān)生產(chǎn)網(wǎng)中的安全防護(hù)及安全檢測(cè)能力，安全場(chǎng)景分析能力，安全應(yīng)急響應(yīng)能力。三套體系數(shù)據(jù)交互，構(gòu)成整體縱向防御架構(gòu)。

來(lái)源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟