摘要：在早期，由于信息化發(fā)展水平有限，工業(yè)控制系統與信息管理層基本上處于隔離狀態(tài)。因此，企業(yè)的信息化建設首先從信息層開(kāi)始，經(jīng)過(guò)10多年的建設積累，信息層的信息化建設已經(jīng)有了較好的基礎，涉及到了鋼鐵、勘探、加工、煉化、化工、儲運等諸多工業(yè)領(lǐng)域，企業(yè)在管理層的指揮、協(xié)調和監控能力都有很大提升，提高了生產(chǎn)信息上傳下達的實(shí)時(shí)性、完整性和一致性，相應的網(wǎng)絡(luò )安全防護也有了較大提高。在信息管理層面，企業(yè)在生產(chǎn)領(lǐng)域大量引入IT技術(shù)，同時(shí)也包括各種如防火墻、IDS、VPN、防病毒等IT網(wǎng)絡(luò )安全技術(shù)，這些技術(shù)主要面向商用網(wǎng)絡(luò )應用層面，技術(shù)應用方面也相對成熟。

關(guān)鍵詞：訪(fǎng)問(wèn)控制；行為監測；白名單；行為基線(xiàn)；鋼鐵；工業(yè)控制系統；信息安全

鋼鐵行業(yè)是自動(dòng)化普及度較高的行業(yè)之一，同時(shí)也是對工業(yè)控制系統的穩定性和控制策略復雜性要求很高的行業(yè)。系統一旦出現故障，不僅造成巨大的經(jīng)濟損失和能源安全沖擊，還會(huì )造成人身安全影響。因此對控制層的網(wǎng)絡(luò )安全重視程度最高。

河北某鋼鐵自動(dòng)化建設相對完善，但對于其控制系統網(wǎng)絡(luò )仍處于空白部分，本設計在分析工業(yè)控制中心信息安全需求的基礎上，通過(guò)部署信息安全設備，對工業(yè)控制中心信息安全建設提供合理依據。

1.1 設計范圍

本設計針對XX鋼鐵軋鋼產(chǎn)線(xiàn)及煉鋼產(chǎn)線(xiàn)控制環(huán)境信息安全進(jìn)行設計，按IEC62443的層級劃分結構，本設計旨在對L1-L3層級信息安全進(jìn)行設計。

1.2 設計原則

（1）技術(shù)可行性原則

設計過(guò)程中采用可落地的信息安全技術(shù)應用，確保選擇的信息安全手段可發(fā)揮既定的作用。

（2）生產(chǎn)可用性?xún)?yōu)先原則

設計過(guò)程需要建立在生產(chǎn)流程的基礎上，除非必須場(chǎng)景外，在L1.5層級不采用阻斷類(lèi)的管控手段，從而保障生產(chǎn)過(guò)程不受信息安全策略的影響，確保不會(huì )造成二次安全威脅。

（3）經(jīng)濟性原則

設計過(guò)程中需考慮經(jīng)濟的有效利用，合理應用技術(shù)手段，避免資源浪費。

（4）合規性原則

設計過(guò)程需依照《工業(yè)信息安全防護指南》、《等保2.0工業(yè)擴展部分》等國家標準，確保建設過(guò)程符合國家相關(guān)要求；同時(shí)也需參照《IEC62443》《SP800-82》等國際領(lǐng)先標準，依照相關(guān)信息安全標準，確保設計的合理性。

（5）生命周期延續原則

設計采用成熟穩定的主流技術(shù)手段，保障在業(yè)務(wù)生命周期內的信息安全防護，在保障期間內，應用技術(shù)不處于落后淘汰范圍。

2.1 網(wǎng)絡(luò )結構梳理

2.1.1 軋鋼產(chǎn)線(xiàn)

某鋼鐵軋鋼產(chǎn)線(xiàn)網(wǎng)絡(luò )結構如圖1所示：

圖1 某鋼鐵軋鋼產(chǎn)線(xiàn)原始拓撲

軋鋼產(chǎn)線(xiàn)包含加熱爐區域、主扎線(xiàn)區域、平整加工區域、磨輥區域，其中主扎線(xiàn)區域可以根據工段劃分為粗軋、精軋、卷曲區域。

其中加熱爐區域、平整加工區域、磨輥區域在網(wǎng)絡(luò )結構中相對獨立。特別為磨輥區域，其L1~L2層未與其他系統連接。主扎線(xiàn)區域相對復雜，粗軋與精軋共用一套電氣室，在控制流程中，無(wú)法在物理層面區分。卷曲主控接入節點(diǎn)為粗精軋Switch3/6，間接與卷曲電氣室（Switch5）連接。

2.1.2 煉鋼產(chǎn)線(xiàn)

某鋼鐵煉鋼（150T轉爐&150連鑄）產(chǎn)線(xiàn)網(wǎng)絡(luò )結構如圖2所示：

圖2 某鋼鐵煉鋼產(chǎn)線(xiàn)原始拓撲

煉鋼產(chǎn)線(xiàn)網(wǎng)絡(luò )結構相對復雜，同時(shí)煉鋼網(wǎng)絡(luò )中存在大量環(huán)網(wǎng)應用，具體參考圖3，其中紅色標記鏈路為環(huán)網(wǎng)鏈路：

圖3 某鋼鐵煉鋼產(chǎn)線(xiàn)環(huán)網(wǎng)應用

環(huán)網(wǎng)交換機連接均連接多條鏈路，造成訪(fǎng)問(wèn)控制裝置無(wú)法有效部署，同時(shí)由于環(huán)網(wǎng)鏈路的建立通常包含了環(huán)網(wǎng)交換機的私有協(xié)議，工業(yè)防火墻不具備上述寫(xiě)，故不可以串接在環(huán)網(wǎng)主干鏈路中。

2.2 網(wǎng)絡(luò )層威脅分析

網(wǎng)絡(luò )層威脅主要體現在訪(fǎng)問(wèn)控制、流量?jì)热葸^(guò)濾，未知流量方面。

2.2.1 未經(jīng)授權的訪(fǎng)問(wèn)

當前在各個(gè)產(chǎn)線(xiàn)控制系統中，通過(guò)Vlan進(jìn)行了網(wǎng)段劃分，但仍存在利用交換機作為“中間人”對下發(fā)起訪(fǎng)問(wèn)的行為。

同時(shí)，軋鋼產(chǎn)線(xiàn)特別是粗精軋產(chǎn)線(xiàn)存在共用控制器的場(chǎng)景，上述環(huán)境造成理論中存在異常操作可能。

2.2.2 拒絕服務(wù)攻擊

若在網(wǎng)絡(luò )中任意節點(diǎn)下發(fā)大量無(wú)效報文，會(huì )對正常通信造成影響，從而影響生產(chǎn)。在網(wǎng)絡(luò )層面而言，究其原因缺少針對報文的有效識別及過(guò)濾能力，無(wú)法過(guò)濾無(wú)效報文內容。

2.2.3 未知流量威脅

對于未知流量，缺少有效的識別及管控手段，無(wú)法判定網(wǎng)絡(luò )中是否存在漏洞利用攻擊行為，需要在網(wǎng)絡(luò )層面實(shí)現對于漏洞攻擊的有效識別及防范。

2.2.4 利用無(wú)線(xiàn)網(wǎng)絡(luò )的入侵行為

軋鋼產(chǎn)線(xiàn)中Switch3接入設備包含無(wú)線(xiàn)AP，無(wú)線(xiàn)網(wǎng)絡(luò )因其開(kāi)放性，相比于傳統網(wǎng)絡(luò )更易造成網(wǎng)絡(luò )侵入，存在仿冒設備接入的可能。

2.3 主機層信息安全威脅

2.3.1 惡意代碼

部分操作工或運維人員通過(guò)移動(dòng)存儲設備或感染惡意代碼的個(gè)人PC與控制系統中上位機進(jìn)行連接，造成惡意代碼植入上位機。

2.3.2 非法存儲介質(zhì)接入

在工程建設或生產(chǎn)過(guò)程中不可避免涉及到移動(dòng)存儲介質(zhì)的接入問(wèn)題，當前缺少對移動(dòng)存儲介質(zhì)可信性進(jìn)行認證的措施，這也是主機惡意代碼的主要來(lái)源。

2.3.3 脆弱性威脅

工業(yè)應用及主機存在眾多已知漏洞，上述漏洞則會(huì )成為攻擊者利用的條件，對生產(chǎn)環(huán)境進(jìn)行影響。

2.4 主機層信息安全威脅

2.4.1 缺少進(jìn)程、服務(wù)管控

由于工控機特別是老式工控機性能受限，且其物理環(huán)境缺少必要的監控，存在操作人員利用工程師站、操作員站計算資源進(jìn)行非生產(chǎn)操作的場(chǎng)景。

2.4.2 應用脆弱威脅

工業(yè)應用如SCADA、組態(tài)編程軟件，其通常不進(jìn)行補丁加固，存在較多已知漏洞，造成漏洞攻擊成本降低，易遭受漏洞利用攻擊。

2.5 數據層信息安全威脅

控制系統通訊協(xié)議均為工業(yè)專(zhuān)用協(xié)議，其在設計支持考慮多為數據傳輸的實(shí)時(shí)性、容錯性等，無(wú)安全層面考慮，造成其中數據部分多為明文或HEX類(lèi)型數據，通過(guò)對報文監聽(tīng)即可獲取數據內容，造成生產(chǎn)數據的外泄。

3.1 設計思路

依照行為基線(xiàn)，整體安全設計參照“白名單”環(huán)境進(jìn)行設定，即僅限定合法流量、進(jìn)程、服務(wù)的應用。

在IT環(huán)境下由于流量種類(lèi)及目標指向過(guò)于繁雜，白名單很難執行落地，在工業(yè)環(huán)境下，通信結構及流量、應用較IT環(huán)境簡(jiǎn)化，基于白名單結構可以更簡(jiǎn)單實(shí)現安全策略的落地。

3.2 安全域劃分

對網(wǎng)絡(luò )各個(gè)系統進(jìn)行安全域劃分，目的旨在切割風(fēng)險，同時(shí)方便管理策略的執行。

軋鋼產(chǎn)線(xiàn)具體劃分如圖4所示：

圖4 某鋼鐵軋鋼產(chǎn)線(xiàn)安全域劃分

根據軋鋼連扎車(chē)間的生產(chǎn)流程及接入環(huán)境，共劃分為6個(gè)區域，如圖5所示，分別為加熱爐控制區、磨輥控制區、主扎線(xiàn)控制區、平整加工控制區及無(wú)線(xiàn)接入區等。

圖5 某鋼鐵煉鋼產(chǎn)線(xiàn)安全域劃分

3.3 技術(shù)設計

3.3.1 訪(fǎng)問(wèn)控制設計

（1）與非控制系統邊界訪(fǎng)問(wèn)控制設計

為保障IT至OT網(wǎng)絡(luò )間實(shí)現對于指令級別的訪(fǎng)問(wèn)控制，需要部署具備對功能工業(yè)協(xié)議識別的訪(fǎng)問(wèn)控制裝置。目前等保2.0對控制區與非控制區邊界要求實(shí)現單向隔離即協(xié)議剝離，故在該節點(diǎn)建議將原防火墻替換為工業(yè)網(wǎng)閘實(shí)現訪(fǎng)問(wèn)控制功能。

圖6 二級中控與非控制區邊界訪(fǎng)問(wèn)設計

圖7 磨輥車(chē)間與非控制區邊界訪(fǎng)問(wèn)控制設計

煉鋼車(chē)間中150T轉爐五樓值班室具備對其他網(wǎng)絡(luò )接口，包括OA系統（辦公）、MES系統（生產(chǎn)管理）、質(zhì)量系統（ERP），其均為對生產(chǎn)數據進(jìn)行分析、研判等應用，根據劃分，屬于非控制區域。

圖8 煉鋼車(chē)間與非控制區邊界訪(fǎng)問(wèn)控制設計

（2）產(chǎn)線(xiàn)間控制系統邊界訪(fǎng)問(wèn)控制設計

XX鋼鐵采用的數采網(wǎng)關(guān)為windows PE操作系統，在隔離作用中可視作雙網(wǎng)卡PC，僅實(shí)現通訊協(xié)議的采集及轉發(fā)功能，較易作為“中間跳板”對軋鋼產(chǎn)線(xiàn)進(jìn)行非法訪(fǎng)問(wèn)，綜上所述，數采網(wǎng)關(guān)不具備邊界隔離作用。需要在其邊界部署訪(fǎng)問(wèn)控制手段實(shí)現對于其他產(chǎn)線(xiàn)訪(fǎng)問(wèn)流量管控。

圖9 與其他產(chǎn)線(xiàn)控制邊界訪(fǎng)問(wèn)控制設計

（3）無(wú)線(xiàn)區域邊界訪(fǎng)問(wèn)控制設計

無(wú)線(xiàn)接入區域中輥道小車(chē)均為獨立控制（本地HMI），部分數據通過(guò)Wi-Fi傳輸與其他區域，該區域相對其他區域，安全性較低，需要增加訪(fǎng)問(wèn)控制措施實(shí)現不同安全等級安全域的隔離。

圖10 無(wú)線(xiàn)區域邊界訪(fǎng)問(wèn)控制設計

（4）區域間訪(fǎng)問(wèn)控制設計

在生產(chǎn)網(wǎng)中，網(wǎng)絡(luò )邊界防火墻將以最小通過(guò)性原則部署配置，根據業(yè)務(wù)需求采用白名單方式，逐條梳理業(yè)務(wù)流程，增加開(kāi)放IP和開(kāi)放端口，實(shí)現嚴格流量管控。

圖11 加熱爐控制區與主扎線(xiàn)區域邊界訪(fǎng)問(wèn)控制設計

3.3.2 網(wǎng)絡(luò )行為監測設計

（1）操作行為監測設計

在控制器前端交換機部署監測審計手段，用來(lái)實(shí)現對于操作過(guò)程的監測。

（2）訪(fǎng)問(wèn)流量回溯

針對控制系統外對控制系統訪(fǎng)問(wèn)內容進(jìn)行回溯，該設計要求行為審計不僅對工業(yè)流量進(jìn)行解析，而且對遠程桌面、telnet等行為進(jìn)行有效解析，同時(shí)針對控制器與上位機固定通訊流量進(jìn)行監測并統計。

（3）網(wǎng)絡(luò )白名單

通過(guò)策略設定或自學(xué)習，對網(wǎng)絡(luò )監測節點(diǎn)協(xié)議進(jìn)行白名單過(guò)濾，限定可流通協(xié)議，對于限定外協(xié)議進(jìn)行報警。

3.3.3 主機行為管控設計

主機白名單客戶(hù)端部署于軋鋼產(chǎn)線(xiàn)全部PC，原則上不允許存在例外，通過(guò)對終端的管控，構成工業(yè)安全實(shí)質(zhì)層面最外層的安全防線(xiàn)。

（1）進(jìn)程及服務(wù)管控

主機白名單以最小化設定為原則，對主機中應用進(jìn)行管控，針對目標應用必要進(jìn)程及服務(wù)開(kāi)放白名單，非限定進(jìn)程及服務(wù)均禁止運行。該策略在保證生產(chǎn)持續進(jìn)行條件下有效降低對工控計算資源的占用。

（2）接口管控

對軋鋼產(chǎn)線(xiàn)中移動(dòng)存儲介質(zhì)通過(guò)終端管控進(jìn)行分級授權，未經(jīng)授權移動(dòng)存儲介質(zhì)從驅動(dòng)層面禁用。在管理層面，禁止運維移動(dòng)終端作為工程師個(gè)人PC，第三方調試PC均需要納入終端管控范圍。

3.3.4 脆弱性檢測設計

采用離線(xiàn)工控系統漏洞掃描和入網(wǎng)檢測，對目標設備進(jìn)行掃描，凡是生產(chǎn)網(wǎng)內工業(yè)控制系統中所特有的設備/系統必須經(jīng)工控漏洞掃描檢測合格后，方能具備入網(wǎng)資格。

4.1 部署結構

軋鋼產(chǎn)線(xiàn)部署結構如圖12所示：

圖12 軋鋼產(chǎn)線(xiàn)信息安全整體部署結構圖

本次設計在不改變原有網(wǎng)絡(luò )結構的基礎上，將原有網(wǎng)絡(luò )劃分為6個(gè)獨立區域，在其間部署訪(fǎng)問(wèn)控制手段進(jìn)行隔離；控制器接入前端部署審計探針，對出入棧內容進(jìn)行解析及檢測；全部主機部署主機白名單面對進(jìn)程及服務(wù)進(jìn)行管控；漏洞掃描以服務(wù)形式，對停產(chǎn)維護資產(chǎn)以及新上線(xiàn)系統進(jìn)行健康性檢測。

煉鋼產(chǎn)線(xiàn)部署結構圖如圖13所示：

圖13 煉鋼產(chǎn)線(xiàn)信息安全整體部署結構圖

由于環(huán)網(wǎng)主干鏈路的存在，煉鋼車(chē)間部分區域無(wú)法進(jìn)行有效訪(fǎng)問(wèn)控制。同時(shí)由于煉鋼車(chē)間與軋鋼車(chē)間間隔兩臺數據采集網(wǎng)關(guān)，造成網(wǎng)絡(luò )不可達，故在部署過(guò)程中煉鋼產(chǎn)線(xiàn)也部署一套獨立的審計系統。

4.2 技術(shù)對應設備說(shuō)明

表1 技術(shù)對應設備說(shuō)明

5 補充設計說(shuō)明

由于本次設計僅針對軋鋼產(chǎn)線(xiàn)及煉鋼產(chǎn)線(xiàn)，建議在全廠(chǎng)基礎設施信息安全建設完畢后，增加全廠(chǎng)信息安全調度平臺及廠(chǎng)級工業(yè)信息安全態(tài)勢感知平臺及相關(guān)服務(wù)應用。

整體信息安全防護框架如圖14所示：

圖14 安全框架設計

整體框架分別由安全防護體系、態(tài)勢感知體系及應急響應體系構成，三套體系分別承擔生產(chǎn)網(wǎng)中的安全防護及安全檢測能力，安全場(chǎng)景分析能力，安全應急響應能力。三套體系數據交互，構成整體縱向防御架構。

來(lái)源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟