本文主要介紹某鋼鐵企業(yè)的生產(chǎn)調度系統網(wǎng)絡(luò )安全防護建設，在鋼鐵企業(yè)的實(shí)際網(wǎng)絡(luò )環(huán)境中，支撐生產(chǎn)調度業(yè)務(wù)的網(wǎng)絡(luò )系統主要包含：工業(yè)控制系統網(wǎng)絡(luò )與生產(chǎn)管理網(wǎng)絡(luò )。工業(yè)控制系統網(wǎng)絡(luò )主要負責企業(yè)實(shí)際的生產(chǎn)業(yè)務(wù)，生產(chǎn)管理網(wǎng)絡(luò )主要負責生產(chǎn)調度級決策。

1.1?工業(yè)控制系統網(wǎng)絡(luò )

分散在物理隔離的各生產(chǎn)流程中的34套工業(yè)控制系統，大部分為DCS控制系統，部分控制系統采用西門(mén)子PLC設備?，F場(chǎng)控制層：主要包括各類(lèi)DCS控制器及PLC控制器，用于對各現場(chǎng)設備進(jìn)行控制；過(guò)程監控層：主要包括過(guò)程控制服務(wù)器與HMI/SCADA系統功能單元，用于對整個(gè)生產(chǎn)過(guò)程數據進(jìn)行采集和監控，工藝技術(shù)人員通過(guò)操作員站對現場(chǎng)控制層進(jìn)行工藝參數的調整和優(yōu)化，維護正常的生產(chǎn)過(guò)程。

1.2?生產(chǎn)管理網(wǎng)絡(luò )

主要通過(guò)生產(chǎn)綜合調度系統、能源管理系統（EMS）等生產(chǎn)管理系統，用于為企業(yè)提供包括生產(chǎn)過(guò)程數據管理、計劃排產(chǎn)管理、生產(chǎn)調度管理、庫存管理、質(zhì)量管理、人力資源管理、成本管理、物流管理等生產(chǎn)管理服務(wù)。

生產(chǎn)管理網(wǎng)絡(luò )通過(guò)部署2臺冗余數采服務(wù)器實(shí)現對生產(chǎn)線(xiàn)的實(shí)時(shí)生產(chǎn)信息的采集，上傳到生產(chǎn)綜合調度系統等系統的實(shí)時(shí)數據庫及業(yè)務(wù)數據庫中，為生產(chǎn)決策提供數據支撐。通過(guò)對生產(chǎn)綜合調度系統的建設，可快速全面地得到企業(yè)績(jì)效目標與實(shí)際生產(chǎn)指標的差異，監控生產(chǎn)運動(dòng)動(dòng)態(tài)情況及時(shí)發(fā)現異常并做出正確決策，實(shí)現企業(yè)績(jì)效持續提升。

依照本試點(diǎn)項目的設計，可使某鋼鐵工控系統實(shí)現對黑客、病毒、惡意代碼等高風(fēng)險抵御，阻止內部/外部人員的非法訪(fǎng)問(wèn)，工控系統中的相關(guān)數據采集做到純物理單向上傳到生產(chǎn)管理網(wǎng)絡(luò )的生產(chǎn)綜合調度系統中，零數據包返回。

本試點(diǎn)項目的建設目標和主要任務(wù)如下：

（1）抵御互聯(lián)網(wǎng)/辦公網(wǎng)發(fā)起的惡意攻擊和破壞；

（2）防止勒索病毒、木馬等惡意程序對工控關(guān)鍵系統造成不利影響和破壞；

（3）對工控關(guān)鍵系統主機進(jìn)行USB接口管控、系統加固、病毒預防等；

（4）對數采服務(wù)器及生產(chǎn)綜合調度系統等生產(chǎn)管理系統的運維人員實(shí)時(shí)管控與審計；

（5）實(shí)現數采鏈路間的物理隔離與訪(fǎng)問(wèn)控制；

（6）對生產(chǎn)管理網(wǎng)絡(luò )進(jìn)行深度的審計及行為管控；

（7）對過(guò)程監控層內由DCS、SCADA系統組成的安全域做域間安全隔離與訪(fǎng)問(wèn)控制；

（8）生產(chǎn)設備資產(chǎn)結合安全設備防護日志等信息匯聚至統一的安全管理平臺，以網(wǎng)絡(luò )拓撲、事件預警的方式做微態(tài)勢感知。

本方案主要實(shí)現某鋼鐵企業(yè)工控系統單向數據采集上傳到生產(chǎn)管理網(wǎng)絡(luò )生產(chǎn)綜合調度系統的功能，同時(shí)又要做到各生產(chǎn)控制系統安全域間的安全隔離與訪(fǎng)問(wèn)控制，因此推薦安盟華御“工業(yè)數采單向光閘+工業(yè)防火墻”方案，以實(shí)現安全防護功能。

（1）工業(yè)數采單向光閘：實(shí)現關(guān)鍵生產(chǎn)數據單向數據采集上傳到生產(chǎn)管理層生產(chǎn)綜合調度系統（光信號，無(wú)反饋）。

（2）工業(yè)防火墻：實(shí)現各生產(chǎn)控制系統安全域間的安全隔離與信息交換訪(fǎng)問(wèn)控制。

在某鋼鐵企業(yè)實(shí)際應用環(huán)境中，控制網(wǎng)絡(luò )都是“敞開(kāi)的”，比如與生產(chǎn)綜合調度與辦公網(wǎng)OA/ERP的業(yè)務(wù)交互，在各控制系統安全域邊界及層級邊界缺乏有效單向控制與隔離、安全審計、運維防護等技術(shù)和機制。

在本項目中的關(guān)鍵技術(shù)使用安盟華御工業(yè)數采單向光閘將生產(chǎn)控制區中的各類(lèi)數據采集匯總，單向導出至外網(wǎng)側，可對外提供OPC、Modbus TCP等通用數據服務(wù)，同時(shí)可對接阿里、華為等各類(lèi)云平臺。數據從工控網(wǎng)向管理網(wǎng)的單向傳輸，規避了威脅信息通過(guò)管理網(wǎng)進(jìn)入工控網(wǎng)的風(fēng)險。

本項目建設需要對3條數采鏈路及1條辦公網(wǎng)絡(luò )系統的鏈路進(jìn)行防護，做到生產(chǎn)系統的高安全隔離。輔以工業(yè)防火墻設備、工業(yè)審計系統、主機衛士及網(wǎng)絡(luò )安全管理平臺，對工控生產(chǎn)網(wǎng)絡(luò )進(jìn)行全方位的網(wǎng)絡(luò )安全防護，保護企業(yè)生產(chǎn)網(wǎng)絡(luò )的安全。網(wǎng)絡(luò )安全設計圖如圖1所示。

以某鋼鐵企業(yè)實(shí)際業(yè)務(wù)需求為基礎，綜合各類(lèi)安全產(chǎn)品特性，以生產(chǎn)安全為目的，通過(guò)最小經(jīng)濟投入，合理配備少量安全產(chǎn)品，實(shí)現最大化的安全收益。

（1）使用工業(yè)數采單向光閘實(shí)現單向數據采集與上傳。根據數采鏈路數量以及工業(yè)數采單向光閘產(chǎn)品的物理接口數量，兼顧接口冗余備份功能，可配備12臺安盟華御工業(yè)數采單向光閘（每套工業(yè)數采單向光閘共5個(gè)通信接口，啟用其中3個(gè)通信接口作為采集接口，留1個(gè)接口備用、1個(gè)接口管理使用），如圖2所示。

（2）使用工業(yè)防火墻防護數據采集鏈路，同時(shí)對安全域間的信息交換做安全策略配置，并做到采集鏈路間的隔離。每3條數采鏈路匯聚到1臺工業(yè)防火墻上，每條鏈路使用獨立網(wǎng)橋，互不干涉。34條數采鏈路，配備12臺工業(yè)防火墻（通過(guò)接口擴展，每臺工業(yè)防火墻最大支持10個(gè)通信接口，提供6個(gè)接口作為通信口，做3進(jìn)3出的3條鏈路防護，留2進(jìn)2出作為備份。每臺工業(yè)防火墻對應1臺工業(yè)數采單向光閘），如圖3所示。

（1）工業(yè)數據收集層面

在某鋼鐵企業(yè)實(shí)際的34條數采鏈路中，包含了多種類(lèi)型的工業(yè)自動(dòng)化系統，廠(chǎng)家也存在差異，因此數據采集工作需要一種具備多種采集協(xié)議的平臺設備。安盟華御工業(yè)數采單向光閘的內網(wǎng)單元數采模塊支持多類(lèi)工業(yè)協(xié)議，如常見(jiàn)的DCS系統、PLC控制器、智能儀表、數控機床類(lèi)設備等，具備高速集成各類(lèi)工業(yè)控制系統的能力。

（2）邊界安全隔離層面

隨著(zhù)工業(yè)自動(dòng)化及智能制造技術(shù)的大力推進(jìn)，企業(yè)內的生產(chǎn)管理網(wǎng)絡(luò )與生產(chǎn)控制網(wǎng)絡(luò )的邊界變得不再清晰，存在著(zhù)業(yè)務(wù)信息的上傳和數據的交叉，而兩個(gè)網(wǎng)絡(luò )中都存在系統升級、數據備份等，移動(dòng)介質(zhì)的不規范使用給兩個(gè)網(wǎng)絡(luò )都帶來(lái)了安全威脅。安盟華御數采單向光閘利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點(diǎn)，設備既實(shí)現了工控網(wǎng)數據的單向導出，又實(shí)現了辦公網(wǎng)無(wú)任何反饋信號至工控網(wǎng)，將兩網(wǎng)絡(luò )間的安全邊界做到了物理隔離。

（3）工業(yè)協(xié)議自身漏洞層面

由于工控發(fā)展史及工控系統限制性等，工控系統SCADA軟件、PLC控制系統、工業(yè)通信協(xié)議等在設計過(guò)程中主要考慮可用性、實(shí)時(shí)性，對安全性的考慮不足，存在著(zhù)被入侵和攻擊的可能。而生產(chǎn)管理網(wǎng)絡(luò )與生產(chǎn)控制多使用工業(yè)協(xié)議進(jìn)行通訊，安全性不能得到保證。安盟華御數采單向光閘對生產(chǎn)控制系統不同的工業(yè)協(xié)議類(lèi)型進(jìn)行數據采集，以統一的工業(yè)協(xié)議轉發(fā)給采集服務(wù)器，單向上傳過(guò)程中使用安盟華御專(zhuān)有協(xié)議進(jìn)行通訊，物理隔離的同時(shí)也做到協(xié)議隔離，形成安全邊界的雙重安全防護。

（4）安全設備自身安全層面

在數據采集工作進(jìn)行時(shí)一般采用建立二級中心的方式，使用雙網(wǎng)卡數采機進(jìn)行數據采集轉發(fā)，使用的系統存在著(zhù)不打補丁、不做備份、漏洞遍布的情況，很難保證其自身安全。安盟華御工業(yè)數采單向光閘采用SUOS自主操作系統（類(lèi)Linux操作系統），經(jīng)過(guò)專(zhuān)業(yè)系統加固，具備工控行業(yè)里高可靠、高安全的特性，是安全邊界的可靠保障。

（1）無(wú)縫兼容

所選工業(yè)數采單向光閘產(chǎn)品數采模塊支持多類(lèi)工業(yè)協(xié)議，能夠滿(mǎn)足與某鋼鐵企業(yè)工控系統無(wú)縫對接，又能夠提升整體計算環(huán)境的性能和穩定性，實(shí)現數據采集與物理單向上傳，安全量身定做。

（2）物理單向隔離

利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點(diǎn)，設備既實(shí)現了工控網(wǎng)數據的單向導出，又實(shí)現辦公網(wǎng)無(wú)任何反饋信號至工控網(wǎng)，為工控網(wǎng)提供絕對安全的運行環(huán)境。能夠阻止各種已知與未知的安全風(fēng)險，防止病毒以及相關(guān)變種通過(guò)數據采集鏈路傳播到工控生產(chǎn)系統中。

（3）協(xié)議歸一

工業(yè)數采單向光閘可對生產(chǎn)控制系統不同的工業(yè)協(xié)議類(lèi)型進(jìn)行數據采集，以統一的工業(yè)協(xié)議轉發(fā)給采集服務(wù)器，如OPC DA，Modbus TCP等。OPC DA協(xié)議轉發(fā)功能具備分離式部署能力，既可保證工業(yè)數采單向光閘外網(wǎng)單元與數采服務(wù)器間協(xié)議隔離，又可方便用戶(hù)省去傳統OPC配置DCOM的繁瑣操作，減輕工作量。

（4）設備自身安全

工業(yè)數采單向光閘采用SUOS自主操作系統（類(lèi)Linux操作系統），設備規避了微軟Windows操作系統多漏洞風(fēng)險，并可屏蔽常規桌面系統的惡意代碼，自身安全性高。

（5）可視化管控

實(shí)現對生產(chǎn)網(wǎng)業(yè)務(wù)系統操作的管理和審計，對操作人員做到“事前可知、事中可控、事后可查”的運維操作全過(guò)程管理。

（6）異常操作審計與攻擊預警

快速識別出數采層中的相關(guān)非法操作、異常事件、外部攻擊等，并實(shí)時(shí)報警。

（7）工控工作站防護

能實(shí)時(shí)防止用戶(hù)的違規和誤操作、阻止不明程序，授權移動(dòng)存儲介質(zhì)訪(fǎng)問(wèn)權限等，有效提高工控主機的深度“免疫”能力。

（8）綜合審計

可完成數采層設備實(shí)時(shí)信息收集，實(shí)時(shí)監測終端設備的通信流量和安全事件。進(jìn)行不間斷安全事件關(guān)聯(lián)分析，通過(guò)強大的一體化安全管控功能界面實(shí)現多視角、多層次的管理與安全可視化。

隨著(zhù)兩化融合、工業(yè)互聯(lián)網(wǎng)等信息化建設的步伐越來(lái)越快，各企業(yè)中的自動(dòng)化網(wǎng)絡(luò )系統不再是信息孤島，網(wǎng)絡(luò )間的業(yè)務(wù)交換需求也越來(lái)越多，安全問(wèn)題因此日益增多，生產(chǎn)網(wǎng)絡(luò )和信息安全問(wèn)題成為威脅工業(yè)企業(yè)安全的重大隱患。隨著(zhù)對工控安全問(wèn)題的不斷認識和了解，尤其是關(guān)鍵基礎設備的安全防護，國家已頒布和制定了相應的制度和法規，信息安全建設提到一定的高度，建設的重點(diǎn)也從開(kāi)始的自動(dòng)化應用、技術(shù)研發(fā)轉移到現在的安全建設以及全面的安全監測，目前安盟華御工業(yè)數采單向光閘設備已在制造、能源、水利、軍事等行業(yè)大力推廣。