鋼鐵企業(yè)工控安全研究與設(shè)計(jì)

張 偉，于目奎，羅顯科

(中冶賽迪重慶信息技術(shù)有限公司，重慶 401122)

工業(yè)控制系統(tǒng)作為工業(yè)基礎(chǔ)設(shè)施的核心，極大地保障了工業(yè)生產(chǎn)的穩(wěn)定性和高效性，是國(guó)家重要的基礎(chǔ)設(shè)施組成部分，廣泛應(yīng)用于冶金、化工、電力等重要行業(yè)。20世紀(jì)以來，針對(duì)工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為大幅度增長(zhǎng)，一旦遭到破壞，可能造成人員傷亡、環(huán)境污染、停產(chǎn)停工等嚴(yán)重后果，甚至威脅國(guó)家經(jīng)濟(jì)安全、政治安全和社會(huì)穩(wěn)定。典型案例如： 2010年伊朗布什爾核電站員工電腦感染震網(wǎng)(Stuxnet)病毒，嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營(yíng)；2012年美國(guó)兩座電廠遭USB病毒攻擊，導(dǎo)致數(shù)據(jù)泄密；2015年烏克蘭電力系統(tǒng)遭受網(wǎng)絡(luò)攻擊導(dǎo)致大面積電力中斷[1]。

鋼鐵行業(yè)一直是工業(yè)自動(dòng)化和信息化的先行者，工業(yè)控制系統(tǒng)作為生產(chǎn)控制的“大腦”，是行業(yè)自動(dòng)化水平不斷提升的基礎(chǔ)支撐。在日益嚴(yán)重的安全威脅態(tài)勢(shì)下，工控安全問題成了未來鋼鐵企業(yè)需要重點(diǎn)關(guān)注的課題，特別是隨著兩化融合背景下智能制造轉(zhuǎn)型升級(jí)的持續(xù)推進(jìn)，傳統(tǒng)封閉的鋼鐵工業(yè)控制系統(tǒng)會(huì)越來越多的暴露在互聯(lián)網(wǎng)場(chǎng)景下，維護(hù)和保障工控安全將成為智能制造的關(guān)鍵目標(biāo)之一。

本文主要討論和研究鋼鐵行業(yè)自動(dòng)化控制系統(tǒng)中基礎(chǔ)自動(dòng)化(L1)、過程自動(dòng)化(L2)、制造執(zhí)行系統(tǒng)(L3 或者M(jìn)ES)相關(guān)的網(wǎng)絡(luò)安全設(shè)計(jì)與實(shí)現(xiàn)，也是行業(yè)工控安全需要重點(diǎn)關(guān)注的對(duì)象。

1 工控安全現(xiàn)狀

鋼鐵行業(yè)生產(chǎn)流程長(zhǎng)，包括原料場(chǎng)、煉鐵、煉鋼、連鑄、熱軋、冷軋等工藝單元，各單元自動(dòng)化控制系統(tǒng)遵循典型的基礎(chǔ)自動(dòng)化(L1)、過程自動(dòng)化(L2)、制造執(zhí)行系統(tǒng)(L3或者M(jìn)ES)分層次架構(gòu)，如圖1所示。

經(jīng)過行業(yè)多年的設(shè)計(jì)、實(shí)施和運(yùn)維經(jīng)驗(yàn)積累，自動(dòng)化控制系統(tǒng)已經(jīng)在工控安全防護(hù)方面采用了一些信息化技術(shù)和手段，包括：

(1)各層次計(jì)算機(jī)系統(tǒng)都會(huì)安裝殺毒軟件，預(yù)防病毒攻擊和傳播，如L1層的HMI服務(wù)器、工程師站、HMI客戶端、上位機(jī)、iba數(shù)據(jù)服務(wù)器等。

(2)各層次網(wǎng)絡(luò)相互隔離，使用的手段包括劃分不同的VLAN，或者通過服務(wù)器多網(wǎng)卡通信方式限制互訪通道，以限制各層次間的網(wǎng)絡(luò)攻擊和病毒傳播。

(3)限制L1、L2、L3與外部互聯(lián)網(wǎng)的連通，盡可能減少外部網(wǎng)絡(luò)的攻擊。

圖1 自動(dòng)化控制系統(tǒng)分層架構(gòu)

新形勢(shì)下，工控安全問題愈發(fā)突出，傳統(tǒng)措施已無法滿足安全要求。隨著鋼鐵行業(yè)智能制造轉(zhuǎn)型升級(jí)的持續(xù)推進(jìn)，集成、協(xié)同、優(yōu)化等核心要求正在促進(jìn)工控系統(tǒng)從傳統(tǒng)封閉系統(tǒng)向開放系統(tǒng)演進(jìn)，通過工業(yè)互聯(lián)網(wǎng)的建立打破信息孤島、打通跨流程的數(shù)據(jù)關(guān)聯(lián)與應(yīng)用、實(shí)現(xiàn)扁平化的上傳下達(dá)、實(shí)現(xiàn)總部與分部的協(xié)同以及生產(chǎn)現(xiàn)場(chǎng)與遠(yuǎn)程運(yùn)維的協(xié)同，最終完成智能工廠在智能設(shè)計(jì)、智能生產(chǎn)、智能運(yùn)維和智能決策等方面的升級(jí)。因此，企業(yè)生產(chǎn)對(duì)內(nèi)部、外部網(wǎng)絡(luò)的依賴程度越來越高，要求更加復(fù)雜，從而導(dǎo)致安全問題也愈發(fā)凸顯[2]。

當(dāng)前，鋼鐵企業(yè)工控系統(tǒng)面臨的安全問題包括：

1)網(wǎng)絡(luò)邊界安全控制能力較弱，入侵及威脅傳播防御能力差

盡管大多數(shù)L1、L2、L3進(jìn)行了網(wǎng)絡(luò)分段隔離(有的企業(yè)甚至沒有做隔離)，各層通常沒有防火墻或者其他安全訪問控制策略，數(shù)據(jù)交互隨意，導(dǎo)致攻擊進(jìn)入任意層次后都會(huì)比較容易直接威脅到L1對(duì)設(shè)備的控制。同時(shí)，隨著跨單元應(yīng)用的豐富，各單元之間(比如煉鋼和軋鋼)的網(wǎng)絡(luò)連接也缺乏足夠的邊界保護(hù)。

2)計(jì)算機(jī)及工控系統(tǒng)嚴(yán)重漏洞檢測(cè)及處理不及時(shí)，系統(tǒng)安全風(fēng)險(xiǎn)大

鋼鐵企業(yè)PC終端、服務(wù)器、PLC控制器等普遍存在系統(tǒng)安全漏洞，包括能夠造成遠(yuǎn)程攻擊、越權(quán)執(zhí)行的嚴(yán)重威脅類漏洞，各個(gè)廠商也在不停升級(jí)和發(fā)布補(bǔ)丁彌補(bǔ)缺陷，然而，由于設(shè)備、協(xié)議多導(dǎo)致管理難度大，以及企業(yè)專業(yè)技能缺乏、安全認(rèn)識(shí)不足等現(xiàn)實(shí)問題，造成工業(yè)控制系統(tǒng)的補(bǔ)丁管理困難，難以及時(shí)處理威脅嚴(yán)重的漏洞。

3)違規(guī)操作及越權(quán)行為監(jiān)控不力，主機(jī)安全不可控

缺乏對(duì)移動(dòng)介質(zhì)的安全管控，操作人員直接通過主機(jī)USB接口、串口、光驅(qū)等外設(shè)進(jìn)行文件、程序等傳輸，成為了當(dāng)前病毒感染的主要途徑之一；企業(yè)由實(shí)施階段進(jìn)入生產(chǎn)運(yùn)維階段后，任意接入計(jì)劃外操作站、移動(dòng)筆記本、網(wǎng)絡(luò)設(shè)備，甚至違規(guī)接入互聯(lián)網(wǎng)等行為都是重大的安全隱患。

4)基于工控協(xié)議的安全保護(hù)機(jī)制欠缺，缺乏針對(duì)性

專有的工業(yè)控制通信協(xié)議或規(guī)約在設(shè)計(jì)時(shí)通常更強(qiáng)調(diào)通信的實(shí)時(shí)性及可用性，對(duì)安全性普遍考慮不足，比如缺少足夠強(qiáng)度的認(rèn)證、加密、授權(quán)等。隨著Mod-bus、OPC、Siemens S7、IEC104等工業(yè)協(xié)議的廣泛認(rèn)知提升，攻擊者更容易掌握協(xié)議的格式和內(nèi)容，對(duì)PLC等系統(tǒng)的攻擊變得更加容易，因此針對(duì)工控協(xié)議的安全防范就更加重要。

5)缺乏網(wǎng)絡(luò)攻擊行為動(dòng)態(tài)監(jiān)測(cè)部署，主動(dòng)防御能力欠缺

隨著針對(duì)工控系統(tǒng)的攻擊行為的增加，互聯(lián)網(wǎng)中攻擊方式多、病毒傳播快、變種快等特征也很快被應(yīng)用到工業(yè)領(lǐng)域，傳統(tǒng)防御以不斷豐富病毒知識(shí)和攻擊特征來預(yù)防非法網(wǎng)絡(luò)行為，缺乏主動(dòng)學(xué)習(xí)能力，如何動(dòng)態(tài)監(jiān)測(cè)攻擊行為并進(jìn)行預(yù)測(cè)性主動(dòng)防御也將是未來工控安全建設(shè)的關(guān)鍵技術(shù)。

2 工控安全設(shè)計(jì)

2.1 總體設(shè)計(jì)

基于鋼鐵行業(yè)自動(dòng)化控制系統(tǒng)網(wǎng)絡(luò)特征和安全現(xiàn)狀，本方案遵循“分層分區(qū)”的策略進(jìn)行總體設(shè)計(jì)，工控網(wǎng)絡(luò)安全按照L1、L2、L3進(jìn)行縱向分層保護(hù)，同時(shí)按照高爐、煉鋼、軋鋼等工藝單元進(jìn)行橫向分區(qū)域保護(hù)。

自動(dòng)化控制系統(tǒng)安全設(shè)計(jì)要求按照L1、L2、L3、外部網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)隔離劃分，做好內(nèi)部防護(hù)的同時(shí)，加強(qiáng)邊界攻擊防御，總體方案拓?fù)鋱D如圖2所示。

圖2 總體方案拓?fù)鋱D

2.2 L1基礎(chǔ)自動(dòng)化安全防護(hù)

基礎(chǔ)自動(dòng)化(L1)網(wǎng)絡(luò)連接PLC控制器、HMI服務(wù)器、工程師站、操作終端、儀表上位機(jī)、數(shù)據(jù)服務(wù)器(iba等)、打印機(jī)等設(shè)施，構(gòu)成了工業(yè)控制的核心業(yè)務(wù)系統(tǒng)，其中PLC直接控制設(shè)備動(dòng)作，是工控安全的重點(diǎn)保護(hù)對(duì)象。

L1主要通過部署工業(yè)防火墻、工業(yè)入侵檢測(cè)系統(tǒng)硬件產(chǎn)品，以及殺毒軟件、主機(jī)安全防護(hù)軟件產(chǎn)品，實(shí)現(xiàn)安全管控。

(1)在PLC與各計(jì)算機(jī)系統(tǒng)之間部署工業(yè)防火墻。一方面通過訪問控制策略限定指定計(jì)算機(jī)才能訪問PLC，管控網(wǎng)絡(luò)通信對(duì)象，降低計(jì)劃外設(shè)備非法訪問風(fēng)險(xiǎn)；另一方面，通過OPC、Modbus/TCP、Modbus/RTU、Siemens S7、IEC104等多種工業(yè)協(xié)議深度解析支持，實(shí)現(xiàn)指令級(jí)別的過濾防護(hù)，避免來源于HMI等計(jì)算機(jī)的非法控制命令下達(dá)；同時(shí)還可以通過流量自學(xué)習(xí)，自動(dòng)推薦安全策略，不斷完善管控能力。

(2)在L1網(wǎng)絡(luò)與上層網(wǎng)絡(luò)、其他區(qū)域網(wǎng)絡(luò)之間部署工業(yè)防火墻。只允許L1網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間合法設(shè)備的數(shù)據(jù)交換，阻擋對(duì)生產(chǎn)網(wǎng)未經(jīng)授權(quán)的非法訪問，同時(shí)也防止外部網(wǎng)絡(luò)的病毒感染擴(kuò)散到車間PLC網(wǎng)絡(luò)中，從而提升網(wǎng)絡(luò)邊界安全水平，實(shí)現(xiàn)分層分區(qū)安全隔離和管控。

(3)在核心交換機(jī)旁路部署工業(yè)入侵檢測(cè)系統(tǒng)。通過捕獲經(jīng)過交換機(jī)的所有數(shù)據(jù)包，進(jìn)行基于規(guī)則的解析檢測(cè)，完成木馬、蠕蟲、緩沖區(qū)溢出攻擊、掃描探測(cè)等通用入侵檢測(cè)，以及非法功能碼、非法報(bào)文長(zhǎng)度、非法地址等基于工控協(xié)議的入侵檢測(cè)，及時(shí)發(fā)現(xiàn)異常并報(bào)警。

(4)在計(jì)算機(jī)系統(tǒng)中部署主機(jī)安全防護(hù)軟件和殺毒軟件。工業(yè)控制系統(tǒng)應(yīng)用相對(duì)固定，計(jì)算機(jī)主要安裝特定軟件程序，防范病毒或木馬等惡意攻擊最直接的方式是管理主機(jī)進(jìn)程，主機(jī)安全防護(hù)軟件通過白名單的方式監(jiān)控主機(jī)運(yùn)行程序，并且管理和限制USB接口、光驅(qū)、網(wǎng)卡、串口等外設(shè)的使用，降低安全風(fēng)險(xiǎn)。殺毒軟件可以發(fā)揮基本的病毒防護(hù)和清除功能。

2.3 L2過程自動(dòng)化安全防護(hù)

過程自動(dòng)化(L2)網(wǎng)絡(luò)由數(shù)據(jù)采集及存儲(chǔ)服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、工程師站、操作終端、打印機(jī)等設(shè)施組成。過程自動(dòng)化以數(shù)據(jù)處理、模型算法為重點(diǎn)，在自動(dòng)化系統(tǒng)中起著承上啟下的作用，安全威脅不僅影響本層網(wǎng)絡(luò)，還存在擴(kuò)散到L1和L3層級(jí)的風(fēng)險(xiǎn)。

L2主要通過部署通用防火墻、通用入侵檢測(cè)系統(tǒng)硬件產(chǎn)品，以及殺毒軟件、主機(jī)安全防護(hù)軟件產(chǎn)品，實(shí)現(xiàn)安全管控。

(1)在L2網(wǎng)絡(luò)與上層網(wǎng)絡(luò)、其他區(qū)域網(wǎng)絡(luò)之間部署通用防火墻。只允許L2網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間合法設(shè)備的數(shù)據(jù)交換，提升網(wǎng)絡(luò)邊界安全水平，實(shí)現(xiàn)分層分區(qū)安全隔離和管控。

(2)在核心交換機(jī)旁路部署通用入侵檢測(cè)系統(tǒng)。通過捕獲經(jīng)過交換機(jī)的所有數(shù)據(jù)包，進(jìn)行基于規(guī)則的解析檢測(cè)，完成木馬、蠕蟲、緩沖區(qū)溢出攻擊、掃描探測(cè)等通用入侵檢測(cè)，及時(shí)發(fā)現(xiàn)異常并報(bào)警。

(3)在計(jì)算機(jī)系統(tǒng)中部署主機(jī)安全防護(hù)軟件和殺毒軟件。主機(jī)安全防護(hù)軟件監(jiān)控主機(jī)運(yùn)行程序，并且管理和限制外設(shè)使用情況，降低安全風(fēng)險(xiǎn)。

2.4 L3制造執(zhí)行系統(tǒng)安全防護(hù)

制造執(zhí)行系統(tǒng)(L3)網(wǎng)絡(luò)由應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器、工程師站、操作終端、打印機(jī)等設(shè)施組成，向下層發(fā)送生產(chǎn)計(jì)劃，從下層收集生產(chǎn)實(shí)際數(shù)據(jù)，還承擔(dān)分廠與總廠、分部與總部的數(shù)據(jù)通信功能，非常容易受到外部網(wǎng)絡(luò)攻擊，從而影響自動(dòng)化系統(tǒng)的網(wǎng)絡(luò)安全。

L3主要通過部署VPN網(wǎng)關(guān)、通用入侵檢測(cè)系統(tǒng)、工控漏洞掃描系統(tǒng)、工控安全管理平臺(tái)硬件產(chǎn)品，以及殺毒軟件、主機(jī)安全防護(hù)軟件產(chǎn)品，實(shí)現(xiàn)安全管控。

(1)在L3網(wǎng)絡(luò)與外部網(wǎng)絡(luò)、其他區(qū)域網(wǎng)絡(luò)之間部署VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)一方面允許L3網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間合法設(shè)備的數(shù)據(jù)交換(例如病毒庫(kù)升級(jí)等)，另一方面只允許工程師通過加密通道遠(yuǎn)程接入進(jìn)行在線故障分析和協(xié)作，保障網(wǎng)絡(luò)邊界安全。

(2)在核心交換機(jī)旁路部署通用入侵檢測(cè)系統(tǒng)。實(shí)現(xiàn)通用威脅入侵檢測(cè)，及時(shí)發(fā)現(xiàn)異常并報(bào)警。

(3)部署工控漏洞掃描系統(tǒng)。負(fù)責(zé)計(jì)算機(jī)、服務(wù)器的系統(tǒng)漏洞掃描，以及PLC控制器、工控常用HMI軟件等系統(tǒng)的漏洞掃描，及時(shí)發(fā)現(xiàn)漏洞并提供分析報(bào)告。

(4)部署工控安全管理平臺(tái)。負(fù)責(zé)將所有網(wǎng)絡(luò)交換機(jī)、防火墻、安全檢測(cè)設(shè)備，以及計(jì)算機(jī)、服務(wù)器等硬件資源的運(yùn)行信息進(jìn)行統(tǒng)一收集和綜合分析，形成工業(yè)控制系統(tǒng)統(tǒng)一信息安全管理系統(tǒng)，幫助管理和運(yùn)維人員更加宏觀、全面地了解設(shè)備運(yùn)行情況、安全狀態(tài)等信息，及時(shí)掌握、報(bào)告和發(fā)布安全態(tài)勢(shì)。

(5)在計(jì)算機(jī)系統(tǒng)中部署主機(jī)安全防護(hù)軟件和殺毒軟件。主機(jī)安全防護(hù)軟件監(jiān)控主機(jī)運(yùn)行程序，并且管理和限制外設(shè)使用情況，降低安全風(fēng)險(xiǎn)。

3 效果分析

本文所述方案針對(duì)鋼鐵企業(yè)常用網(wǎng)絡(luò)架構(gòu)，以分層分區(qū)為原則進(jìn)行工控安全設(shè)計(jì)，以主動(dòng)防范、及時(shí)發(fā)現(xiàn)、快速處理為目標(biāo)，來提升工控安全防御能力，主要達(dá)到了以下效果：

各層次、各區(qū)域之間有效隔離防護(hù)：通過防火墻限定通信對(duì)象和內(nèi)容，阻斷非法入侵和危險(xiǎn)傳播，其中工業(yè)防火墻還可以進(jìn)行基于協(xié)議解析的控制命令過濾,重點(diǎn)保護(hù)PLC控制器安全，保證生產(chǎn)正常進(jìn)行。

系統(tǒng)安全漏洞掃描和修復(fù)：實(shí)時(shí)掃描操作系統(tǒng)、控制器、工控軟件漏洞，及時(shí)發(fā)現(xiàn)工控網(wǎng)絡(luò)脆弱點(diǎn)，提出風(fēng)險(xiǎn)預(yù)警及補(bǔ)丁修補(bǔ)意見。

工控異常監(jiān)測(cè)及網(wǎng)絡(luò)流分析診斷：動(dòng)態(tài)監(jiān)測(cè)網(wǎng)絡(luò)信息流，及時(shí)發(fā)現(xiàn)傳統(tǒng)網(wǎng)絡(luò)木馬病毒入侵行為、針對(duì)工控設(shè)備的攻擊行為、未知設(shè)備接入和工控網(wǎng)絡(luò)流異常變化趨勢(shì)等，報(bào)警聯(lián)調(diào)防護(hù)設(shè)備。

違規(guī)操作監(jiān)測(cè)和預(yù)防：實(shí)時(shí)監(jiān)控外設(shè)使用情況和運(yùn)行進(jìn)程，設(shè)置管理策略，預(yù)防設(shè)備違規(guī)接入和計(jì)劃外軟件安裝行為，杜絕內(nèi)部威脅傳播。

4 結(jié) 語

我國(guó)鋼鐵行業(yè)工業(yè)控制系統(tǒng)PLC控制器、工控軟件等重要設(shè)備與技術(shù)都還依賴于國(guó)外產(chǎn)品，關(guān)鍵數(shù)據(jù)、敏感信息泄漏風(fēng)險(xiǎn)巨大，在從傳統(tǒng)封閉網(wǎng)絡(luò)向開放網(wǎng)絡(luò)過渡的過程中，將面臨更多的安全攻擊和威脅。

本文所述工控安全設(shè)計(jì)思路僅從信息技術(shù)角度展開，力圖通過技術(shù)手段進(jìn)行安全防御、檢測(cè)和排除，但是工控安全不只是一個(gè)技術(shù)問題，而是多層面、多因素、綜合、動(dòng)態(tài)的體系保障問題。一個(gè)完備的工控安全防護(hù)體系，需要從組織與制度、標(biāo)準(zhǔn)與規(guī)范、技術(shù)與策略等多個(gè)維度同步建設(shè)。組織與制度層面需要加強(qiáng)以人為中心的安全意識(shí)觀念建設(shè)，標(biāo)準(zhǔn)與規(guī)范層面需要加強(qiáng)安全相關(guān)的設(shè)計(jì)及驗(yàn)證標(biāo)準(zhǔn)和平臺(tái)建設(shè)[3]，技術(shù)與策略需要面向精細(xì)化、差異化保護(hù)持續(xù)優(yōu)化和升級(jí)。