摘要：文章分析了冶金行業(yè)（煉鋼）高爐工業(yè)控制系統所面臨的網(wǎng)絡(luò )安全威脅以及用戶(hù)所切實(shí)關(guān)注的安全問(wèn)題，并在現有安全技術(shù)和解決方案的基礎上，提出了適用于冶金行業(yè)（煉鋼）高爐防御體系。

關(guān)鍵詞：工業(yè)控制系統；工控網(wǎng)絡(luò )安全；安全防護體系

Abstract: Analyze the network security threats faced by the blastfurnace industrial control system of the metallurgical industry(steelmaking) and the security issues that users are really concerned about. Based on existing safety technologies and solutions, a blastfurnace defense system suitable for the metallurgical industry(steelmaking) is proposed.

Key words: Industrial control system; Industrial control network; Security protection system

1 前言

工業(yè)控制系統在發(fā)展之初是相對封閉和獨立的，傳統工業(yè)控制系統安全防護往往采用物理隔離等方式。隨著(zhù)通信信息技術(shù)的發(fā)展和深入應用，工業(yè)控制系統正趨于使用通用協(xié)議（Modbus、OPC）、通用操作、通用軟硬件，以太網(wǎng)、無(wú)線(xiàn)設備的使用無(wú)處不在。在冶金行業(yè)（煉鋼）整個(gè)工業(yè)控制系統可與遠程端的數據采集網(wǎng)、生產(chǎn)管理網(wǎng)和辦公網(wǎng)實(shí)現信息互聯(lián)和數據交互。網(wǎng)絡(luò )蠕蟲(chóng)、永恒之藍、震網(wǎng)（Stuxnet）等病毒的攻擊，工控系統漏洞的利用，互聯(lián)網(wǎng)、可移動(dòng)存儲介質(zhì)、設備未經(jīng)授權的操作，大量密集無(wú)效數據的傳輸及人為因素等使得網(wǎng)絡(luò )安全問(wèn)題直接延伸到工業(yè)控制系統，導致工業(yè)控制系統固有漏洞和攻擊面不斷增加，易引發(fā)工業(yè)生產(chǎn)的緊急停車(chē)、設備故障，或影響工控系統組件的可靠性和靈敏度，由此產(chǎn)生的安全事件或事故也日趨增多，給傳統工業(yè)控制系統防護體系帶來(lái)嚴峻挑戰，給工業(yè)控制系統網(wǎng)絡(luò )信息安全、公司生產(chǎn)經(jīng)營(yíng)穩順、健康持續發(fā)展等造成不可估量的影響。

2 冶金行業(yè)（煉鋼）高爐工業(yè)控制系統安全現狀

大多數冶金行業(yè)（煉鋼）高爐工業(yè)控制系統安全還是以管理為主的被動(dòng)防御，管理體系和管理機制不夠完善，且在技術(shù)上缺乏主動(dòng)感知防御的控制類(lèi)安全產(chǎn)品，冶金行業(yè)（煉鋼）高爐的日常生產(chǎn)嚴重依賴(lài)于國外公司的工業(yè)控制系統和設備，這些都表明煉鋼高爐工業(yè)控制系統安全形勢十分嚴峻。

2.1 冶金行業(yè)（煉鋼）高爐工控網(wǎng)絡(luò )和控制系統情況

煉鋼過(guò)程的高爐是自動(dòng)化程度和生產(chǎn)過(guò)程自動(dòng)化要求最高的場(chǎng)景和關(guān)鍵的環(huán)節，生產(chǎn)全過(guò)程均采用自動(dòng)化技術(shù)進(jìn)行嚴格的控制和管理，具有大型化、連續化、自動(dòng)化、高速化等特點(diǎn)。因此高爐的工業(yè)控制系統網(wǎng)絡(luò )的安全平穩、安全運行是保證安全生產(chǎn)的前提。當前高爐自動(dòng)化網(wǎng)絡(luò )結構層次如下：

圖1 高爐自動(dòng)化網(wǎng)絡(luò )結構圖

其中L1、L2、L3屬于生產(chǎn)環(huán)境的工業(yè)控制網(wǎng)絡(luò )（以下簡(jiǎn)稱(chēng)：工控網(wǎng)絡(luò )）通常采用同一網(wǎng)段的以太網(wǎng)通訊連接，任何連接到網(wǎng)絡(luò )內的工控終端（例如：PC、工程師站等）都能訪(fǎng)問(wèn)網(wǎng)絡(luò )中的PLC或RTU，并對其進(jìn)行操作、組態(tài)修改和發(fā)布。

通過(guò)對多家大型鋼鐵企業(yè)高爐工業(yè)控制系統研究，發(fā)現鋼鐵高爐工業(yè)控制系統主要設備包括可邏輯編程控制器（PLC）、組態(tài)軟件&數據采集與監控系統（SCADA）軟件、制造執行系統（MES）等，其中大量使用諸如西門(mén)子等國外主流工控廠(chǎng)商工控設備。

2.2 冶金行業(yè)（鋼鐵）高爐工業(yè)控制系統網(wǎng)絡(luò )安全現狀

根據調研發(fā)現當前大多數鋼鐵高爐工控網(wǎng)絡(luò )無(wú)任何隔離防護設備，同時(shí)煉鋼高爐高度自動(dòng)化和智能化，給煉鋼高爐的工控網(wǎng)絡(luò )增加了安全隱患，主要集中在以下幾個(gè)方面：

（1）外部攻擊

煉鋼高爐大量的采用IT技術(shù)，其使用的工業(yè)控制系統日益進(jìn)入黑客的研究范圍。隨著(zhù)黑客的攻擊技術(shù)不斷進(jìn)步，攻擊的手段日趨多樣，對于他們來(lái)說(shuō)，入侵到某個(gè)系統，實(shí)施惡意破壞已經(jīng)不再是問(wèn)題。2014年，黑客入侵德國鋼鐵廠(chǎng)辦公網(wǎng)絡(luò )，利用該網(wǎng)絡(luò )進(jìn)入到鋼鐵廠(chǎng)的生產(chǎn)網(wǎng)絡(luò )。對煉鋼高爐工控系統的控制組件進(jìn)行攻擊，迫使整個(gè)生產(chǎn)線(xiàn)停止運轉，從而給鋼廠(chǎng)帶來(lái)了重大破壞，以及近幾年的震網(wǎng)、duqu、火焰、havex等病毒證明工控系統的網(wǎng)絡(luò )威脅日趨嚴峻。

（2）內部威脅的加劇

據中國信息安全測評中心的調查結果顯示，網(wǎng)絡(luò )安全的主要威脅為內部人員有意或無(wú)意的破壞，而不是來(lái)自外部黑客攻擊或病毒入侵。煉鋼高爐集成、互聯(lián)的各自動(dòng)化系統普遍缺乏網(wǎng)絡(luò )檢測和防護機制，上位機與下位機通訊缺乏必要的身份鑒別和認證機制，只要能夠從協(xié)議層面跟下位機建立連接，就可以對下位機進(jìn)行修改，普遍缺乏對系統最高權限的限制，高權限賬號往往具有掌控系統和數據的能力，因此，任意一種非法操作都會(huì )導致系統癱瘓。缺乏有效的審計和事后追溯的工具，也使責任劃分和威脅追蹤變得更加困難。

（3）應用軟件威脅

由外部提供的授權應用軟件無(wú)法保證提供完整的保護功能，因此后門(mén)、漏洞等問(wèn)題都有可能出現。

（4）第三方維護人員的威脅

因為發(fā)展戰略、經(jīng)營(yíng)規劃、資源投入等原因，會(huì )將非核心維護業(yè)務(wù)外包，維護人員的素質(zhì)和能力不可控。如何有效地對運維人員的操作進(jìn)行授權和控制，執行規范化的嚴格審計是煉鐵高爐工業(yè)控系統安全運行面臨的一個(gè)關(guān)鍵問(wèn)題。

（5）多種病毒的泛濫

病毒可通過(guò)移動(dòng)存儲設備（USB、硬盤(pán)等）、外來(lái)運維的電腦等進(jìn)入工控網(wǎng)絡(luò )，當病毒感染一個(gè)設備就有可能利用高爐工控網(wǎng)絡(luò )進(jìn)行大面積復制和擴散。這種大規模的傳播與復制，會(huì )極大地消耗網(wǎng)絡(luò )資源，造成網(wǎng)絡(luò )擁塞、網(wǎng)絡(luò )風(fēng)暴甚至網(wǎng)絡(luò )癱瘓，成為影響工控網(wǎng)絡(luò )安全的主要因素之一。

（6）通信協(xié)議的安全性考慮不足

專(zhuān)用的工控通信協(xié)議或規約在設計之初一般只考慮通信的實(shí)時(shí)性和可用性，很少或根本沒(méi)有考慮安全性問(wèn)題，例如缺乏強度足夠的認證、加密或授權措施等，特別是工控系統中的無(wú)線(xiàn)通信協(xié)議，更容易受到中間人的竊聽(tīng)和欺騙性攻擊。為保證數據傳輸的實(shí)時(shí)性，Modbus/TCP、OPC、Profinet、EtherNet/IP等工控協(xié)議多采用明文傳輸，易于被劫持和修改。

3 冶金行業(yè)（煉鋼）高爐工業(yè)控制系統安全方案的實(shí)現

對高爐工業(yè)控制系統的檢測和防護是工控安全的防護核心，也是構建整個(gè)工業(yè)控制系統防護體系的難點(diǎn)，對安全設備的性能和適應性要求極高。如果不從控制系統開(kāi)始自下而上建立完整的檢測和防護體系，那么所謂工控系統安全將會(huì )形同虛設，猶如空中樓閣。因此我們提倡“自下而上”、“分區分域”、“整體保護”、“積極預防”、“動(dòng)態(tài)管理”的安全防護策略，建立設備、行為以及軟件白名單等控制機制，實(shí)現對已知、未知威脅以及全局、局部安全態(tài)勢的感知，具備多種安全防護技術(shù)聯(lián)動(dòng)和主動(dòng)防御的能力，形成事前預警、事中組織和事后追溯的行為安全防護體系，其拓撲圖如圖2所示：

圖2 某公司高爐工控網(wǎng)絡(luò )安全解決方案圖

在L1層的工業(yè)控制系統PLC部署前控制器邊界防護模塊，實(shí)現橫向不同工藝段不同功能的工控終端（例如：工程師站、操作站等）的訪(fǎng)問(wèn)限制或防護，縱向抑制來(lái)自其它工藝段的訪(fǎng)問(wèn)或病毒的攻擊。同時(shí)工控環(huán)網(wǎng)中部署PLC完整性檢測系統，一旦在正常生產(chǎn)中的PLC組態(tài)程序遭遇非法修改，能夠及時(shí)告警，在必要的時(shí)刻恢復被修改的程序，以盡快恢復生產(chǎn)。

在L2層的匯聚交換機部署工控審計系統和入侵檢測系統，對L1和L2交互的數據進(jìn)行記錄和分析，通過(guò)工控審計系統實(shí)現網(wǎng)絡(luò )數據傳輸可視化，基于對工業(yè)控制協(xié)議（如OPC、SiemensS7等）的通信報文進(jìn)行深度解析，對工業(yè)協(xié)議的網(wǎng)絡(luò )攻擊、用戶(hù)違規操作、非法設備接入等進(jìn)行實(shí)時(shí)監測并報警，同時(shí)詳實(shí)記錄一切網(wǎng)絡(luò )通信行為，包括指令級的工業(yè)控制協(xié)議通信記錄，對工業(yè)控制系統的安全事故調查提供追溯依據。在工業(yè)入侵檢測設備中預置工控和網(wǎng)絡(luò )病毒、漏洞特征庫實(shí)現入侵行為的實(shí)時(shí)檢測和預警。同時(shí)在工控終端（例如：工程師站、操作員站）部署基于白名單的主機安全衛士，限制非法移動(dòng)設備的接入，限制非法程序的安裝、運行，對主機的行為進(jìn)行嚴格的審計。

在L3和L4層應根據業(yè)務(wù)的特點(diǎn)合理部署網(wǎng)絡(luò )安全隔離設備（例如：工業(yè)防火墻、網(wǎng)閘）實(shí)現不同橫向的有效隔離和數據過(guò)濾，做到自下而上層級防控。同時(shí)部署工控安全管理平臺實(shí)現對所有安全設備的集中管控，對安全數據的集中分析，最終達到自下而上的整體防護。

4 結束語(yǔ)

目前，該工控安全防護體系在某公司鋼鐵高爐場(chǎng)景平穩運行，也為客戶(hù)安全生產(chǎn)強有力的保障?？v觀(guān)冶金行業(yè)，由于近些年國內外的安全教訓，國家的大力支持，我國冶金行業(yè)工控安全防護意識正逐步提升，工控防護方式和防護策略日趨成熟和標準化。冶金行業(yè)的高自動(dòng)化、智能化的工廠(chǎng)作為我國關(guān)鍵基礎設施的重要組成部分，正朝著(zhù)更高效、更安全的運行。

參考文獻：

[1] 王浩, 吳中福, 王平. 工業(yè)控制網(wǎng)絡(luò )安全模型研究[J]. 計算機科學(xué), 2007, 34 (5) 96 - 98.

[2] 李國芳. 西門(mén)子PLC在中小型高爐噴煤技術(shù)自動(dòng)控制設計中的應用[D]. 全國冶金自動(dòng)化信息網(wǎng)2008年會(huì )論文集. 2008.

[3] 張瑩. 冶金技術(shù)在煉鐵高爐中的應用和發(fā)展[J]. 山東工業(yè)技術(shù), 2018 (5) 43.

摘自《自動(dòng)化博覽》2020年2月刊