摘要：在早期，由于信息化發(fā)展水平有限，工業(yè)控制系統與信息管理層基本上處于隔離狀態(tài)。因此，企業(yè)的信息化建設首先從信息層開(kāi)始，經(jīng)過(guò)10多年的建設積累，信息層的信息化建設已經(jīng)有了較好的基礎，涉及到了鋼鐵、勘探、加工、煉化、化工、儲運等諸多工業(yè)領(lǐng)域，企業(yè)在管理層的指揮、協(xié)調和監控能力都有很大提升，提高了生產(chǎn)信息上傳下達的實(shí)時(shí)性、完整性和一致性，相應的網(wǎng)絡(luò )安全防護也有了較大提高。在信息管理層面，企業(yè)在生產(chǎn)領(lǐng)域大量引入IT技術(shù)，同時(shí)也包括各種如防火墻、IDS、VPN、防病毒等IT網(wǎng)絡(luò )安全技術(shù)，這些技術(shù)主要面向商用網(wǎng)絡(luò )應用層面，技術(shù)應用方面也相對成熟。

關(guān)鍵詞：訪(fǎng)問(wèn)控制；行為監測；白名單；行為基線(xiàn)；鋼鐵；工業(yè)控制系統；信息安全

Abstract: In the early days, due to the limitation of developmentof informatization, industrial control system and informationmanagement were basically in isolation. Therefore, if enterprisewants togetinformatization construction, itshould begin withinformation layer. After more than ten years' accumulation, theinformatization construction of information layer already has agood foundation which involves many industrial fields such assteel,exploration, processing,refining,chemical industry, storageand transportation, etc. The ability of command, coordination andmonitoring of enterprise management has been greatly improved,the transmission of the production information becoming timely,complete and consistent, and the relating network security protectionhas been also greatly improved. In the management of information,enterprises introduce a large number of IT technology in theproduction field, meanwhile they introduce other IT network security technologylikeavarietyoffirewall,IDS,VPN,antivirus,etc.These technologies are mainly aimed at commercial network applicationsand the technology applications are also more mature.

Key words: Access control; Behavioral monitoring; White list; Behavioralbaseline; Steel; Industrial control system; Informational security

1 設計背景

鋼鐵行業(yè)是自動(dòng)化普及度較高的行業(yè)之一，同時(shí)也是對工業(yè)控制系統的穩定性和控制策略復雜性要求很高的行業(yè)。系統一旦出現故障，不僅造成巨大的經(jīng)濟損失和能源安全沖擊，還會(huì )造成人身安全影響。因此對控制層的網(wǎng)絡(luò )安全重視程度最高。

河北某鋼鐵自動(dòng)化建設相對完善，但對于其控制系統網(wǎng)絡(luò )仍處于空白部分，本設計在分析工業(yè)控制中心信息安全需求的基礎上，通過(guò)部署信息安全設備，對工業(yè)控制中心信息安全建設提供合理依據。

1.1 設計范圍

本設計針對XX鋼鐵軋鋼產(chǎn)線(xiàn)及煉鋼產(chǎn)線(xiàn)控制環(huán)境信息安全進(jìn)行設計，按IEC62443的層級劃分結構，本設計旨在對L1-L3層級信息安全進(jìn)行設計。

1.2 設計原則

（1）技術(shù)可行性原則

設計過(guò)程中采用可落地的信息安全技術(shù)應用，確保選擇的信息安全手段可發(fā)揮既定的作用。

（2）生產(chǎn)可用性?xún)?yōu)先原則

設計過(guò)程需要建立在生產(chǎn)流程的基礎上，除非必須場(chǎng)景外，在L1.5層級不采用阻斷類(lèi)的管控手段，從而保障生產(chǎn)過(guò)程不受信息安全策略的影響，確保不會(huì )造成二次安全威脅。

（3）經(jīng)濟性原則

設計過(guò)程中需考慮經(jīng)濟的有效利用，合理應用技術(shù)手段，避免資源浪費。

（3）合規性原則

設計過(guò)程需依照《工業(yè)信息安全防護指南》、《等保2.0工業(yè)擴展部分》等國家標準，確保建設過(guò)程符合國家相關(guān)要求；同時(shí)也需參照《IEC62443》《SP800-82》等國際領(lǐng)先標準，依照相關(guān)信息安全標準，確保設計的合理性。

（4）生命周期延續原則

設計采用成熟穩定的主流技術(shù)手段，保障在業(yè)務(wù)生命周期內的信息安全防護，在保障期間內，應用技術(shù)不處于落后淘汰范圍。

2 信息安全威脅分析

2.1 網(wǎng)絡(luò )結構梳理

2.1.1 軋鋼產(chǎn)線(xiàn)

某鋼鐵軋鋼產(chǎn)線(xiàn)網(wǎng)絡(luò )結構如圖1所示：

圖1 某鋼鐵軋鋼產(chǎn)線(xiàn)原始拓撲

軋鋼產(chǎn)線(xiàn)包含加熱爐區域、主扎線(xiàn)區域、平整加工區域、磨輥區域，其中主扎線(xiàn)區域可以根據工段劃分為粗軋、精軋、卷曲區域。

其中加熱爐區域、平整加工區域、磨輥區域在網(wǎng)絡(luò )結構中相對獨立。特別為磨輥區域，其L1~L2層未與其他系統連接。主扎線(xiàn)區域相對復雜，粗軋與精軋共用一套電氣室，在控制流程中，無(wú)法在物理層面區分。卷曲主控接入節點(diǎn)為粗精軋Switch3/6，間接與卷曲電氣室（Switch5）連接。

2.1.2 煉鋼產(chǎn)線(xiàn)

某鋼鐵煉鋼（150T轉爐&150連鑄）產(chǎn)線(xiàn)網(wǎng)絡(luò )結構如圖2所示：

圖2 某鋼鐵煉鋼產(chǎn)線(xiàn)原始拓撲

煉鋼產(chǎn)線(xiàn)網(wǎng)絡(luò )結構相對復雜，同時(shí)煉鋼網(wǎng)絡(luò )中存在大量環(huán)網(wǎng)應用，具體參考圖3，其中紅色標記鏈路為環(huán)網(wǎng)鏈路：

圖3 某鋼鐵煉鋼產(chǎn)線(xiàn)環(huán)網(wǎng)應用

環(huán)網(wǎng)交換機連接均連接多條鏈路，造成訪(fǎng)問(wèn)控制裝置無(wú)法有效部署，同時(shí)由于環(huán)網(wǎng)鏈路的建立通常包含了環(huán)網(wǎng)交換機的私有協(xié)議，工業(yè)防火墻不具備上述寫(xiě)，故不可以串接在環(huán)網(wǎng)主干鏈路中。

2.2 網(wǎng)絡(luò )層威脅分析

網(wǎng)絡(luò )層威脅主要體現在訪(fǎng)問(wèn)控制、流量?jì)热葸^(guò)濾，未知流量方面。

2.2.1 未經(jīng)授權的訪(fǎng)問(wèn)

當前在各個(gè)產(chǎn)線(xiàn)控制系統中，通過(guò)Vlan進(jìn)行了網(wǎng)段劃分，但仍存在利用交換機作為“中間人”對下發(fā)起訪(fǎng)問(wèn)的行為。

同時(shí)，軋鋼產(chǎn)線(xiàn)特別是粗精軋產(chǎn)線(xiàn)存在共用控制器的場(chǎng)景，上述環(huán)境造成理論中存在異常操作可能。

2.2.2 拒絕服務(wù)攻擊

若在網(wǎng)絡(luò )中任意節點(diǎn)下發(fā)大量無(wú)效報文，會(huì )對正常通信造成影響，從而影響生產(chǎn)。在網(wǎng)絡(luò )層面而言，究其原因缺少針對報文的有效識別及過(guò)濾能力，無(wú)法過(guò)濾無(wú)效報文內容。

2.2.3 未知流量威脅

對于未知流量，缺少有效的識別及管控手段，無(wú)法判定網(wǎng)絡(luò )中是否存在漏洞利用攻擊行為，需要在網(wǎng)絡(luò )層面實(shí)現對于漏洞攻擊的有效識別及防范。

2.2.4 利用無(wú)線(xiàn)網(wǎng)絡(luò )的入侵行為

軋鋼產(chǎn)線(xiàn)中Switch3接入設備包含無(wú)線(xiàn)AP，無(wú)線(xiàn)網(wǎng)絡(luò )因其開(kāi)放性，相比于傳統網(wǎng)絡(luò )更易造成網(wǎng)絡(luò )侵入，存在仿冒設備接入的可能。

2.3 主機層信息安全威脅

2.3.1 惡意代碼

部分操作工或運維人員通過(guò)移動(dòng)存儲設備或感染惡意代碼的個(gè)人PC與控制系統中上位機進(jìn)行連接，造成惡意代碼植入上位機。

2.3.2 非法存儲介質(zhì)接入

在工程建設或生產(chǎn)過(guò)程中不可避免涉及到移動(dòng)存儲介質(zhì)的接入問(wèn)題，當前缺少對移動(dòng)存儲介質(zhì)可信性進(jìn)行認證的措施，這也是主機惡意代碼的主要來(lái)源。

2.3.3 脆弱性威脅

工業(yè)應用及主機存在眾多已知漏洞，上述漏洞則會(huì )成為攻擊者利用的條件，對生產(chǎn)環(huán)境進(jìn)行影響。

2.4 主機層信息安全威脅

2.4.1 缺少進(jìn)程、服務(wù)管控

由于工控機特別是老式工控機性能受限，且其物理環(huán)境缺少必要的監控，存在操作人員利用工程師站、操作員站計算資源進(jìn)行非生產(chǎn)操作的場(chǎng)景。

2.4.1 應用脆弱威脅

工業(yè)應用如SCADA、組態(tài)編程軟件，其通常不進(jìn)行補丁加固，存在較多已知漏洞，造成漏洞攻擊成本降低，易遭受漏洞利用攻擊。

2.5 數據層信息安全威脅

控制系統通訊協(xié)議均為工業(yè)專(zhuān)用協(xié)議，其在設計支持考慮多為數據傳輸的實(shí)時(shí)性、容錯性等，無(wú)安全層面考慮，造成其中數據部分多為明文或HEX類(lèi)型數據，通過(guò)對報文監聽(tīng)即可獲取數據內容，造成生產(chǎn)數據的外泄。

3 信息安全設計

3.1 設計思路

依照行為基線(xiàn)，整體安全設計參照“白名單”環(huán)境進(jìn)行設定，即僅限定合法流量、進(jìn)程、服務(wù)的應用。

在IT環(huán)境下由于流量種類(lèi)及目標指向過(guò)于繁雜，白名單很難執行落地，在工業(yè)環(huán)境下，通信結構及流量、應用較IT環(huán)境簡(jiǎn)化，基于白名單結構可以更簡(jiǎn)單實(shí)現安全策略的落地。

3.2 安全域劃分

對網(wǎng)絡(luò )各個(gè)系統進(jìn)行安全域劃分，目的旨在切割風(fēng)險，同時(shí)方便管理策略的執行。

軋鋼產(chǎn)線(xiàn)具體劃分如圖4所示：

圖4 某鋼鐵軋鋼產(chǎn)線(xiàn)安全域劃分

根據軋鋼連扎車(chē)間的生產(chǎn)流程及接入環(huán)境，共劃分為6個(gè)區域，如圖5所示，分別為加熱爐控制區、磨輥控制區、主扎線(xiàn)控制區、平整加工控制區及無(wú)線(xiàn)接入區等。

圖5 某鋼鐵煉鋼產(chǎn)線(xiàn)安全域劃分

3.3 技術(shù)設計

3.3.1 訪(fǎng)問(wèn)控制設計

（1）與非控制系統邊界訪(fǎng)問(wèn)控制設計

為保障IT至OT網(wǎng)絡(luò )間實(shí)現對于指令級別的訪(fǎng)問(wèn)控制，需要部署具備對功能工業(yè)協(xié)議識別的訪(fǎng)問(wèn)控制裝置。目前等保2.0對控制區與非控制區邊界要求實(shí)現單向隔離即協(xié)議剝離，故在該節點(diǎn)建議將原防火墻替換為工業(yè)網(wǎng)閘實(shí)現訪(fǎng)問(wèn)控制功能。

圖6 二級中控與非控制區邊界訪(fǎng)問(wèn)設計

圖7 磨輥車(chē)間與非控制區邊界訪(fǎng)問(wèn)控制設計

煉鋼車(chē)間中150T轉爐五樓值班室具備對其他網(wǎng)絡(luò )接口，包括OA系統（辦公）、MES系統（生產(chǎn)管理）、質(zhì)量系統（ERP），其均為對生產(chǎn)數據進(jìn)行分析、研判等應用，根據劃分，屬于非控制區域。

圖8 煉鋼車(chē)間與非控制區邊界訪(fǎng)問(wèn)控制設計

（2）產(chǎn)線(xiàn)間控制系統邊界訪(fǎng)問(wèn)控制設計

XX鋼鐵采用的數采網(wǎng)關(guān)為windows PE操作系統，在隔離作用中可視作雙網(wǎng)卡PC，僅實(shí)現通訊協(xié)議的采集及轉發(fā)功能，較易作為“中間跳板”對軋鋼產(chǎn)線(xiàn)進(jìn)行非法訪(fǎng)問(wèn)，綜上所述，數采網(wǎng)關(guān)不具備邊界隔離作用。需要在其邊界部署訪(fǎng)問(wèn)控制手段實(shí)現對于其他產(chǎn)線(xiàn)訪(fǎng)問(wèn)流量管控。

圖9 與其他產(chǎn)線(xiàn)控制邊界訪(fǎng)問(wèn)控制設計

（3）無(wú)線(xiàn)區域邊界訪(fǎng)問(wèn)控制設計

無(wú)線(xiàn)接入區域中輥道小車(chē)均為獨立控制（本地HMI），部分數據通過(guò)Wi-Fi傳輸與其他區域，該區域相對其他區域，安全性較低，需要增加訪(fǎng)問(wèn)控制措施實(shí)現不同安全等級安全域的隔離。

圖10 無(wú)線(xiàn)區域邊界訪(fǎng)問(wèn)控制設計

（4）區域間訪(fǎng)問(wèn)控制設計

在生產(chǎn)網(wǎng)中，網(wǎng)絡(luò )邊界防火墻將以最小通過(guò)性原則部署配置，根據業(yè)務(wù)需求采用白名單方式，逐條梳理業(yè)務(wù)流程，增加開(kāi)放IP和開(kāi)放端口，實(shí)現嚴格流量管控。

圖11 加熱爐控制區與主扎線(xiàn)區域邊界訪(fǎng)問(wèn)控制設計

3.3.2 網(wǎng)絡(luò )行為監測設計

（1）操作行為監測設計

在控制器前端交換機部署監測審計手段，用來(lái)實(shí)現對于操作過(guò)程的監測。

（2）訪(fǎng)問(wèn)流量回溯

針對控制系統外對控制系統訪(fǎng)問(wèn)內容進(jìn)行回溯，該設計要求行為審計不僅對工業(yè)流量進(jìn)行解析，而且對遠程桌面、telnet等行為進(jìn)行有效解析，同時(shí)針對控制器與上位機固定通訊流量進(jìn)行監測并統計。

（3）網(wǎng)絡(luò )白名單

通過(guò)策略設定或自學(xué)習，對網(wǎng)絡(luò )監測節點(diǎn)協(xié)議進(jìn)行白名單過(guò)濾，限定可流通協(xié)議，對于限定外協(xié)議進(jìn)行報警。

3.3.3 主機行為管控設計

主機白名單客戶(hù)端部署于軋鋼產(chǎn)線(xiàn)全部PC，原則上不允許存在例外，通過(guò)對終端的管控，構成工業(yè)安全實(shí)質(zhì)層面最外層的安全防線(xiàn)。

（1）進(jìn)程及服務(wù)管控

主機白名單以最小化設定為原則，對主機中應用進(jìn)行管控，針對目標應用必要進(jìn)程及服務(wù)開(kāi)放白名單，非限定進(jìn)程及服務(wù)均禁止運行。該策略在保證生產(chǎn)持續進(jìn)行條件下有效降低對工控計算資源的占用。

（2）接口管控

對軋鋼產(chǎn)線(xiàn)中移動(dòng)存儲介質(zhì)通過(guò)終端管控進(jìn)行分級授權，未經(jīng)授權移動(dòng)存儲介質(zhì)從驅動(dòng)層面禁用。在管理層面，禁止運維移動(dòng)終端作為工程師個(gè)人PC，第三方調試PC均需要納入終端管控范圍。

3.3.4 脆弱性檢測設計

采用離線(xiàn)工控系統漏洞掃描和入網(wǎng)檢測，對目標設備進(jìn)行掃描，凡是生產(chǎn)網(wǎng)內工業(yè)控制系統中所特有的設備/系統必須經(jīng)工控漏洞掃描檢測合格后，方能具備入網(wǎng)資格。

4 部署結構及說(shuō)明

4.1 部署結構

軋鋼產(chǎn)線(xiàn)部署結構如圖12所示：

圖12 軋鋼產(chǎn)線(xiàn)信息安全整體部署結構圖

本次設計在不改變原有網(wǎng)絡(luò )結構的基礎上，將原有網(wǎng)絡(luò )劃分為6個(gè)獨立區域，在其間部署訪(fǎng)問(wèn)控制手段進(jìn)行隔離；控制器接入前端部署審計探針，對出入棧內容進(jìn)行解析及檢測；全部主機部署主機白名單面對進(jìn)程及服務(wù)進(jìn)行管控；漏洞掃描以服務(wù)形式，對停產(chǎn)維護資產(chǎn)以及新上線(xiàn)系統進(jìn)行健康性檢測。

煉鋼產(chǎn)線(xiàn)部署結構圖如圖13所示：

圖13 煉鋼產(chǎn)線(xiàn)信息安全整體部署結構圖

由于環(huán)網(wǎng)主干鏈路的存在，煉鋼車(chē)間部分區域無(wú)法進(jìn)行有效訪(fǎng)問(wèn)控制。同時(shí)由于煉鋼車(chē)間與軋鋼車(chē)間間隔兩臺數據采集網(wǎng)關(guān)，造成網(wǎng)絡(luò )不可達，故在部署過(guò)程中煉鋼產(chǎn)線(xiàn)也部署一套獨立的審計系統。

4.2 技術(shù)對應設備說(shuō)明

表1 技術(shù)對應設備說(shuō)明

5 補充設計說(shuō)明

由于本次設計僅針對軋鋼產(chǎn)線(xiàn)及煉鋼產(chǎn)線(xiàn)，建議在全廠(chǎng)基礎設施信息安全建設完畢后，增加全廠(chǎng)信息安全調度平臺及廠(chǎng)級工業(yè)信息安全態(tài)勢感知平臺及相關(guān)服務(wù)應用。

整體信息安全防護框架如圖14所示：

圖14 安全框架設計

整體框架分別由安全防護體系、態(tài)勢感知體系及應急響應體系構成，三套體系分別承擔生產(chǎn)網(wǎng)中的安全防護及安全檢測能力，安全場(chǎng)景分析能力，安全應急響應能力。三套體系數據交互，構成整體縱向防御架構。

作者簡(jiǎn)介：

馬霄（1988-），男，自動(dòng)化、工商管理雙學(xué)士學(xué)位，現任北京天融信網(wǎng)絡(luò )安全技術(shù)有限公司解決方案中心總監，主要研究領(lǐng)域為工業(yè)控制系統信息安全、工業(yè)互聯(lián)網(wǎng)安全、內生安全等。

摘自《自動(dòng)化博覽》2020年2月刊