钢铁行业工控网络安全研究与设计

钢铁行业工控网络安全研究与设计

张志伟

浙江中控技术股份有限公司  310000

摘要：钢铁行业是以从事黑色金属矿物采选和黑色金属冶炼加工等工业生产活动为主的工业行业，包括金属铁、铬、锰等的矿物采选业、炼铁业、炼钢业、钢加工业、铁合金冶炼业、钢丝及其制品业等细分行业，是国家重要的原材料工业之一。本文针对钢铁行业工控网络存在信息安全风险进行深入剖析，细致挖掘钢铁行业工控安全痛点，围绕满足政策合规、工控网络安全能力提升需求开展安全设计。达到纵深防御效果，全生命周期提升工控网络安全防护水平。

关键词：工控安全；冶金行业；主机加固；信息安全；

引言

随着钢铁行业信息化的推进，MES、EMS的建设越来越多，原本相互独立DCS、PLC、仪器仪表、SCADA等控制子系统需要通过网络和信息系统连接在一起，这些子系统，负责完成对原料供配、焦化、烧结、炼铁、炼钢、热轧、连铸、冷轧、除尘、脱硫等控制任务，一旦受到恶性攻击、病毒感染，就会导致工业控制系统的控制组件和整个生产线被迫停止运转，甚至造成人员伤亡等严重后果。

一、冶金行业工控网络安全现状

1）网络边界安全控制能力较弱，入侵及威胁传播防御能力差。

尽管L1、L2、L3进行了网络分段隔离（有的企业甚至没有做隔离），各层通常没有防火墙或者其他安全访问控制策略，数据交互随意，导致攻击进入任意层次后都会比较容易直接威胁到L1对设备的控制。同时，随着跨单元应用的丰富，各单元之间（比如炼钢和轧钢）的网络连接也缺乏足够的边界保护。

2）计算机及工控系统严重漏洞检测及处理不及时，系统安全风险大

钢铁企业PC终端、服务器、PLC控制器等普遍存在系统安全漏洞，包括能够造成远程代码执行攻击、越权执行的严重威胁类漏洞，各个厂商也在不停升级和发布补丁弥补缺陷，然而，由于设备、协议多导致管理难度大，以及企业专业技能缺乏、安全认识不足等现实问题，造成工业控制系统的补丁管理困难，难以及时处理威胁严重的漏洞。

3）违规操作及越权行为监控不力，主机安全不可控。

缺乏对移动介质的安全管控，操作人员直接通过主机USB接口、串口、光驱等外设进行文件、程序等传输，成为了当前病毒感染的主要途径之一；企业由实施阶段进入生产运维阶段后，任意接入计划外操作站、移动笔记本、网络设备、甚至违规接入互联网等行为都是重大安全隐患。

4）基于工控协议的安全保护机制欠缺，缺乏针对性

专有的工业控制通信协议或规约在设计时通常更强调通信的实时性及可用性，对安全性普遍考虑不足，比如缺少足够强度的认证、加密、授权等。随着Modbus、OPC、SiemensS7、IEC104等工业协议的广泛认知提升，攻击者更容易掌握协议的格式和内容，对PLC等系统的攻击变得更加容易，因此针对工控协议的安全防范就更加重要。

5）缺乏网络攻击行为动态监测部署，主动防御能力欠缺。

随着针对工控系统的攻击行为的增加，互联网中攻击方式多、病毒传播块、变种块等特征也很快被应用到工业领域，传统防御以不断丰富病毒知识和攻击特征来预防非法网络行为，缺乏主动学习能力，如何动态监测攻击行为并进行预测性主动防御也将是未来工控安全建设的关键技术。

6）重要操作站、工程师站数数据备份恢复措施缺失

工控现场重要的组态数据会通过移动存储介质进行离线备份，通常备份周期很长，难以做到定期自动备份。当前勒索病毒频发，现有备份方案面对勒索病毒等严重病毒危害不足以有效应对。

二、工控网络安全设计

以“纵深防御”为指导思想，遵照网络安全等级保护2.0相关标准，在工控系统安全需求的基础上，建立预警、防护、检测、响应自适应闭环的安全防护体系，同时为工控系统提供可定制的安全服务，全面感知工控系统遇到或可能遇到的网络安全风险，提升系统的整体安全防御能力，构建单位可信、可控、可管的安全防护体系。

建设工控安全技术体系，体现“一个中心，三重防护”。一个中心是指安全管理中心，三重防护是指通信网络、区域边界、计算环境的防护。

1、工业网络边界防护

1、在钢铁企业生产管理层到办公网核心之间部署下一代防火墙，实现工控网络与非工控网络安全隔离；

2、在炼铁、炼钢、热轧、冷轧等车间产线之间的区域边界部署工业防火墙，保护各区域之间联不同控制系统的工控网络边界安全；

2、工业主机安全

针对工业主机安全策略设计：

1、在L2/L3层上的操作员站、工程师站、服务器等工业主机上部署工业主机安全防护系统对工业主机进行病毒防护以及USB接口进行管控；主要达到以下效果：针对主机插入的USB移动存储进行权限管控，通过针对USB移动存储的硬件ID进行识别和匹配，对所允许的外设进行权限管控（读和读写），对不允许的外设进行禁用，从而避免工业主机通过USB移动存储进行病毒传播和非法外设进行文件读取。

2、采取白名单管控机制，对工业主机进行进程级扫描，对经过确认的可执行程序生成一个唯一的特征码，特征码集合起来形成特征库，即白名单。只有白名单内的软件才可以运行，其它进程都被阻止，以此防止病毒、木马、违规软件的攻击；

3、通过关卡式病毒拦截机制，从“病毒入口-病毒运行-病毒扩散”三个环节层层设防，步步拦截，进行白进程准入、U盘管控、已有病毒防扩散等安全管理，做到病毒进不来、启不动、扩散不了，实现主机安全无死角病毒防护。

4、针对核心工业参数配置等重要文件、目录及注册表进行保护，不允许进行修改、删除以及目录、文件重命名等操作，当正常修改需要允许访问权限时可以将正常访问进程名或进程路径加入到例外设置中进行操作的允许，其他异常修改均进行阻止和记录相应的日志。

3、工业网络监测审计

针对钢铁企业生产网内大量的生产装置，可根据钢铁企业的实际工控系统网络结构，按照不同装置品牌、不同生产业务特点进行工业网络监测审计的设计部署。工控网络安全监测审计设计策略如下：

1、通过工业安全监测系统的资产管理功能，实现对接入钢铁工控网络中的资产进行自动发现和识别。

2、通过工业安全监测系统对资产的识别，对炼铁、炼钢、热轧、冷轧等生产车间内工业资产进行脆弱性检查，包括资产所对应的漏洞信息，开放的端口和不安全的协议。

3、通过工业安全监测系统进行工业环境的异常操作监测，如：工程师站组态变更、操控指令变更、PLC下装、固件升级等关键事件。同时对OPC、Modbus TCP、S7、IEC104、CIP协议的白名单检测，针对各类数据包进行快速有针对性的捕获与深度解析，检测出数据包的有效指令、数据内容和负载信息，并结合白名单对不符合规则的流量进行告警。

4、通过工业安全监测系统，对生产装置网络中的威胁行为进行实时检测，包括缓冲区溢出、跨站脚本、拒绝服务、恶意扫描、SQL注入、WEB攻击。同时，内置的AV引擎支持对传统IT协议中传输的文本、附件内容进行解析提取。对提取后的数据进行病毒扫描，可支持的协议包括HTTP、FTP、SMTP、POP3、IMAP、SMB。

4、 工业安全管理

满足等级保护相关要求，提高钢铁企业工业安全运营管理的效率，应建立钢铁企业工业安全管理中心，通过部署安全管理平台进行企业工业网络安全的统一管理。具体部署方式如下：

1、在钢铁厂生产网核心交换机上，建立单独的工控安全运维管理区，并在安全管理区部署工控网络安全管理平台，实现对钢铁厂的工控网络安全管理中心功能，安全管理中心设计策略如下：

通过安全管理平台，对工业环境中的主机进行安全状态监测和工业主机防护系统的集中管理和监控。

部署安全管理平台，对工控网络监测状态、工业主机安全状态、工控网络安全事件等安全信息进行集中收集、处理，对工控网络安全态势进行分析、展示、报警；

通过安全管理平台，对工控环境中的工业防火墙进行集中管理，并对防火墙日志进行统一采集和告警分析；

部署工业日志审计系统对工控系统的网络设备、安全设备、工业主机日志信息进行集中收集、审计分析。

5、工业网络设备安全设计

针对钢铁企业工业网内大量的工业交换机、路由器、防火墙等网络、安全设备进行安全加固，加固内容至少应包括以下内容：

1、加密保存系统账户口令；

2、采用SSH进行远程管理；

3、限制远程管理地址；

4、启用账户口令复杂度策略；

5、启用账户登录失败处理策略；

6、修改默认账户、删除多余账户；

7、启用日志审计，并将日志集中上传至日志服务器；

8、对交换机、路由器进行基线加固配置，关闭不必要的服务和端口，手动关闭交换机、路由器、防火墙等设备空闲端口；

9、在交换机上设置MAC地址与端口绑定，MAC地址与IP地址绑定功能。

6、备份恢复系统设计

部署数据备份恢复系统，针对重要工程师站、历史趋势服务器进行定期的自动化数据备份。当现场重要终端遭受病毒攻击、或硬件故障时可以通过备份恢复服务器进行数据恢复。

三、工控网络安全设计收益

本文所述针对钢铁企业常用网络架构，以分层分区为原则进行工控安全设计，以主动防范、及时发现、快速处理为目标，来提升工控安全防御能力，主要达到了以下效果：

1、各层次、各区域之间有效隔离防护：通过防火墙限定通信对象和内容，阻断非法人侵和危险传播，其中工业防火墙还可以进行基于协议解析的控制命令过滤，重点保护PLC控制器安全，保证生产正常进行。

2、系统安全漏洞扫描和修复：实时扫描操作系统、控制器、工控软件漏洞，及时发现工控网络脆弱点，提出风险预警及补丁修补意见。

3、工控入侵检测系统：动态监测网络信息流，及时发现传统网络木马病毒入侵行为、针对工控设备的攻击行为、未知设备接入和工控网络流异常变化趋势等，报警联调防护设备。

4、违规操作监测和预防：实时监控外设使用情况和运行进程，设置管理策略，预防设备违规接人和计划外软件安装行为，杜绝内部威胁传播。

结束语

综上所述，在冶金行业工控现场基于纵深防御工控网络安全架构开展网络安全建设，在满足政策合规的同时提升工控网络的安全防护能力和水平，确保工控网络安全稳定运行，为达成现场装置安稳长满优运行保驾护航。

参考文献

[1]李强,田慧蓉,杜霖,刘晓曼.工业互联网安全发展策略研究[J].世界电信,2016,0(4):16-19.

[2]张伟,于目奎,罗显科.钢铁企业工控安全研究与设计[J].工业加热 ,2020,0(4):48-52.

[3]陆赞.基于工业控制系统的安全体系建设研究[J].中国管理信息化,2016,19(13):117-119.

[4]孙易安,井柯,汪义舟.工业控制系统安全网络防护研究[J].信息安全研究,2017,3(2):171-176.