前言:想要寫出一篇引人入勝的文章?我們特意為您整理了鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全防護研究范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:在兩化融合的時代背景下,面對嚴峻的工控安全形勢,為提高企業(yè)生產工作效率,加強企業(yè)工控安全防護能力,本文主要結合我國鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀和相關政策法規(guī),分析鋼鐵行業(yè)生產系統(tǒng)安全風險問題和需求,解決現(xiàn)階段鋼鐵行業(yè)面臨的工控安全問題并提出有針對性的安全防護措施。
關鍵詞:鋼鐵行業(yè);工業(yè)控制系統(tǒng);風險分析;網絡安全
0引言
工業(yè)互聯(lián)網、“中國制造2025”等戰(zhàn)略概念的提出,積極促進了我國生產制造模式的變革、產業(yè)組織創(chuàng)新和升級,使得傳統(tǒng)工業(yè)行業(yè)的信息基礎設施能夠進行遠程智能化監(jiān)控,深度融合IT及信息技術的制造業(yè)智能化也得以廣泛應用,而工業(yè)控制系統(tǒng)設計之初是為了完成各種實時控制功能,并沒有優(yōu)先考慮安全性問題,而內外部網絡的互聯(lián)互通也帶來不小的安全風險和隱患。鋼鐵工業(yè)企業(yè)是典型的生產、資金、技術密集型企業(yè),其生產連續(xù)性強,生產系統(tǒng)耦合性高。對于鋼鐵行業(yè)工業(yè)控制系統(tǒng)而言,產生安全威脅的因素也是多方面的,例如系統(tǒng)終端防護漏洞、系統(tǒng)配置和軟件缺陷、協(xié)議漏洞、隱藏后門、非法外聯(lián)、違規(guī)操作、弱密碼等。如何有效地防范內外部入侵攻擊,做好工業(yè)控制系統(tǒng)網絡安全的防護工作,確保生產系統(tǒng)的穩(wěn)定運行,是鋼鐵行業(yè)信息安全所亟待解決的問題。
1鋼鐵工控系統(tǒng)網絡架構
鋼鐵行業(yè)企業(yè)信息化體系分為五級架構:一級基礎自動化系統(tǒng)(BAS),如一些現(xiàn)場的數(shù)據(jù)采集儀表、PLC等設備;二級過程控制系統(tǒng)(PCS),包括各類相對獨立的功能模塊,如計量系統(tǒng)二級、掃描發(fā)貨二級、設備管理二級系統(tǒng)等;三級車間級制造執(zhí)行系統(tǒng)(MES),負責計劃排產、下達生產指令、倉儲管理、質量管理、物流管理等;四級企業(yè)資源計劃系統(tǒng)(ERP);五級企業(yè)間管理決策系統(tǒng)(DSS)。鋼鐵企業(yè)內部主要以煉鐵、煉鋼、熱軋、冷軋等大工序為區(qū)域劃分,或者以公輔類處理為綜合區(qū)域的車間。組網方式一般采用星型或環(huán)網架構,稱為實時控制網,負責控制器、操作站之間的過程控制實時通訊,環(huán)網內數(shù)采機、工作站、PLC等設備多使用以太網接口通訊,傳輸介質通常采用光纖或網線。工業(yè)主機通過雙網卡與上下級網絡通訊。在鋼鐵冶煉工業(yè)自動化過程中,高精度板厚控制器、煉鋼智能控制系統(tǒng)、軋薄帶智能系統(tǒng)、高爐控制系統(tǒng)、SCADA系統(tǒng)、PLC、DCS等普遍應用在生產控制系統(tǒng);MES、ERP、CIMS也被廣泛應用于企業(yè)管理運營,使企業(yè)的生產管理產生了革命化的轉變。
2鋼鐵行業(yè)安全現(xiàn)狀分析
2.1網絡結構
鋼鐵生產控制系統(tǒng)每一條生產線通過光纖或網線連通到上行網絡,操作層網絡同上行網絡間缺乏必要的邊界防護措施,如果病毒從管理網侵入網絡后,就可以長驅直入到生產現(xiàn)場,甚至直接威脅到PLC等設備的正常運行。另外,生產現(xiàn)場存在不同控制系統(tǒng)共用控制設備和網絡設備的情況,各區(qū)域邊界劃分不清,存在安全風險,某條生產線出現(xiàn)問題,會很快傳播到其他生產線進而來影響整個工控系統(tǒng)網絡。
2.2操作主機
(1)操作系統(tǒng)漏洞風險。出于對程序運行的兼容性和穩(wěn)定性等因素的考慮,現(xiàn)場有很多工業(yè)主機采用Windows操作系統(tǒng),廠商在系統(tǒng)穩(wěn)定運行之后不會去更新補丁,并處于裸機運行的狀態(tài),也因此留下安全隱患,容易受到惡意代碼、蠕蟲、病毒的攻擊。(2)防病毒軟件風險。為提高主機安全防護能力,一些用戶僅僅是在主機上安裝黑名單殺毒軟件,但是存在較大的缺陷,原因在于需要不定期更新病毒庫,這一點并不適用于工業(yè)場景,無法及時發(fā)現(xiàn)和查殺新型病毒或是在面對未知的程序文件產生誤殺現(xiàn)象,導致每年都會爆發(fā)大規(guī)模的網絡安全攻擊事件。工控現(xiàn)場的主機開放TCP102、TCP135、TCP445等業(yè)務必要使用的端口。攻擊者可利用操作系統(tǒng)漏洞輕松地控制上位機,給生產安全帶來巨大風險,如2018—2019年勒索病毒事件利用的就是主機開放的445端口。
2.3網絡入侵
工控系統(tǒng)網絡中缺乏網絡防入侵及流量審計相關措施,外界木馬、病毒等一旦突破網絡邊界進入現(xiàn)場工控網絡,系統(tǒng)不能在第一時間進行發(fā)現(xiàn)、記錄等,不能對網絡攻擊及時發(fā)現(xiàn)、預警、處理等。
2.4外來設備
(1)維護設備風險。工業(yè)控制網絡中存在大量工控設備,很多工控設備需要定期維護、升級等,這些操作大多會依賴第三方集成商甚至是國外廠商,基本會使用到第三方軟件和相應硬件。這些軟件和硬件的接入會直接威脅到工業(yè)控制網絡。(2)外設風險。外設風險是目前工業(yè)控制網絡系統(tǒng)中公認存在的最普遍最具威脅的風險。如“震網病毒”事件就是典型的依靠U盤將外界網絡病毒攜帶進工業(yè)控制網絡的典型案例。綜合區(qū)域、燒結區(qū)域、煉鐵區(qū)域、煉鋼區(qū)域,包括堿洗退火工藝工控系統(tǒng)網絡相關上位主機上存在使用U盤的使用痕跡。現(xiàn)場操作人員不規(guī)范使用U盤,或者使用相關USB端口為手機充電等。USB端口的管理需要使用技術手段進行管控,同時也要加強現(xiàn)場操作人員的安全管理意識。
2.5制度缺失
(1)管理制度風險。管理人員、運維人員的技術能力和安全意識參差不齊,容易發(fā)生越權訪問、下達非法指令等行為,給生產系統(tǒng)帶來隱患。因此,對內外部人員的操作訪問行為進行監(jiān)控、管理與審計是非常必要的。(2)安全意識風險。一般而言,工業(yè)控制系統(tǒng)相對互聯(lián)網或傳統(tǒng)企業(yè)IT網絡較為封閉,在“震網病毒”事件發(fā)生之前少有黑客攻擊工業(yè)控制網絡。工業(yè)控制系統(tǒng)在設計之初往往忽略了系統(tǒng)本身的安全性問題,更沒有制訂完善的安全防護標準、管理制度,對人員的安全意識培養(yǎng)不重視,導致用戶對危險源沒有感知,出現(xiàn)網絡安全事件沒有應急處理能力。
2.6安全管理
(1)威脅發(fā)現(xiàn)不及時。目前主流的工業(yè)控制系統(tǒng)大多存在安全漏洞,如SQL注入、跨站腳本攻擊XSS、網站掛馬、弱用戶認證、緩沖區(qū)溢出、CGI漏洞等,而且近年來公布的漏洞數(shù)量依然呈現(xiàn)增長趨勢。工業(yè)控制系統(tǒng)私有協(xié)議種類繁多、系統(tǒng)軟件升級難、設備使用周期較長且考慮可用性無法打補丁等問題,導致威脅漏洞處理不及時,系統(tǒng)補丁升級困難。(2)設備管理混亂及預警風險。工控網絡中部署大量的安全設備和安全軟件,這些設備或軟件會來自不同廠商或集成商。如何對設備和軟件進行集中管理、策略下發(fā)、狀態(tài)監(jiān)測,發(fā)揮各個設備的優(yōu)勢為整個生產網絡提供漏洞監(jiān)測、風險預警等最基本的技術支撐是管理者需要考慮的重要問題。此外,由于工控網絡中設備數(shù)量及種類眾多,導致資產統(tǒng)計不完整、不完全、不定時等,可能會造成資產管理混亂。(3)安全態(tài)勢缺失。很多規(guī)模較大的生產控制系統(tǒng)沒有對整個企業(yè)工控網絡安全進行頂層設計。公司在技術層面上缺少對全網風險預警和對風險的實時感知能力,無法完成對攻擊源的精準定位和研判,缺乏整體應急指揮能力、決策能力和應急處置能力。
3安全防護設計
本研究結合鋼鐵行業(yè)工控網絡安全現(xiàn)狀分析和等級保護要求,從管理中心、區(qū)域邊界、通信網絡、計算環(huán)境層面,構建鋼鐵行業(yè)工控系統(tǒng)事前預警、事中防御、事后溯源的安全防護體系。圖1所示為安全防護系統(tǒng)布局。(1)數(shù)據(jù)安全交換與隔離。鋼鐵生產控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議,且因為前期并沒有安全層面的考慮,導致許多生產數(shù)據(jù),如用料成分、生產排程、材料試驗數(shù)值等都是明文傳輸或是HEX類型的文件,通過報文監(jiān)聽手段就能輕易地獲取傳輸內容,造成生產數(shù)據(jù)的外泄。所以需要在生產網與辦公網之間增加雙向物理隔離設備,數(shù)據(jù)包只以專有數(shù)據(jù)塊方式靜態(tài)地在內外網絡間進行安全“擺渡”,切斷了內外網絡之間的直接連接,保證數(shù)據(jù)能夠安全、可靠、穩(wěn)定地交換。當內網與外網之間無信息交換時,數(shù)據(jù)交換單元、內網交換單元與外網處理單元,三者之間不存在任何物理連接。辦公網若試圖對生產網發(fā)起攻擊時,可使攻擊者對目標網絡不可達,無法發(fā)現(xiàn)工控網資產。(2)邊界訪問控制。按照工藝劃分安全域,主要分為煉鐵區(qū)域、煉鋼區(qū)域、綜合區(qū)域等;可分別在各安全域網絡邊界位置橋接部署工業(yè)級防火墻,通過對工業(yè)協(xié)議的深度解析,綜合運用工控威脅特征識別技術、機器自學習與可信白名單技術,在提供傳統(tǒng)防火墻的邏輯隔離、訪問控制等功能的同時,也可有效抵御各類針對工控系統(tǒng)的網絡攻擊和惡意破壞,為生產控制系統(tǒng)的穩(wěn)定運行提供安全保障。(3)入侵檢測與審計。在各安全域匯聚交換機位置旁路鏡像部署流量審計或入侵檢測類設備,作為工業(yè)防火墻的補充,通過內置的工控威脅特征庫、病毒特征庫等功能模塊,對網絡進行入侵攻擊檢測,提供動態(tài)保護。在病毒對網絡系統(tǒng)造成危害前,及時檢測到危險源,并產生報警事件,攻擊事件發(fā)生后,能夠給用戶提供詳細的攻擊信息,便于后期調查取證和溯源。(4)主機安全加固。應在操作員站、工程師站、服務器等設備上安裝白名單防護軟件,通過白名單式管控技術,一鍵固化系統(tǒng)當前運行環(huán)境,阻斷震網、Havex、沙蟲、已知和未知病毒木馬攻擊,細粒度管控外設接口,切斷移動介質傳播病毒的途徑。采用雙因子認證、注冊表保護、重要文件行為審計等功能,確保主機實現(xiàn)身份鑒別、訪問控制、惡意代碼防范等功能。(5)集中管理控制。建立一個安全管理中心,對業(yè)務系統(tǒng)、網絡設備、安全設備、操作系統(tǒng)、數(shù)據(jù)庫等相關系統(tǒng)日志、運行日志、告警日志進行采集、分析、儲存;監(jiān)控各設備的操作行為,實現(xiàn)賬號集中授權管理、身份認證、深層次訪問授權控制等功能,讓內外部人員的操作處于可管控、可審計的狀態(tài)下,預防非法操作帶來的風險隱患;對生產網各類安全設備進行統(tǒng)一管理配置、策略下發(fā)。打破安全孤島,幫助企業(yè)建立縱深防御體系來抵御網絡中的威脅攻擊。要通過大數(shù)據(jù)分析、機器學習等技術對工業(yè)互聯(lián)網業(yè)務安全行為進行分析和建模,對威脅和攻擊行為進行預測、響應和溯源,通過多維度可視化技術展示,使整體安全狀態(tài)可感知,安全態(tài)勢可預測。(6)規(guī)范管理制度。制定安全管理制度,指定專人負責管理制度的日常運營工作,包括制度存檔、制度修訂、制度維護、制度發(fā)布和制度銷毀工作,并將相關責任落實到對應崗位人員;確立安全管理機構和安全管理人員,明確各崗位人員職責分工;建立完善的安全培訓體系,包括工控網絡安全意識培訓、工控網絡安全技術培訓、設備安全使用培訓等。
4結語
本文通過對鋼鐵行業(yè)工業(yè)控制系統(tǒng)安全現(xiàn)狀的探討與分析,深入到鋼鐵行業(yè)工控安全技術研究,挖掘實際生產業(yè)務場景下的安全需求,提出了一系列有針對性的安全防護策略。關鍵技術可廣泛應用于鋼鐵行業(yè)含有工業(yè)控制系統(tǒng)的企業(yè)或集團,有助于提高鋼鐵行業(yè)整體的網絡安全技術水平。最終達到威脅攻擊可防御、安全配置可查詢、網絡通信行為可管理、風險隱患可控制、系統(tǒng)運行安全可信任。
作者:劉虹炎 于方元 曹磊 單位:江陰興澄特種鋼鐵有限公司 上海金自天正信息技術有限公司 北京珞安科技有限責任公司