鋼鐵企業鍊鋼工藝工控防護方案

4. 鋼鐵廠工控網絡防護解決方案

由於鋼鐵廠工控網絡設計之初處於與外網隔離狀態，並未考慮安全防護手段，大部分工業控制系統連傳統的信息安全防護手段都沒有。近些年隨著工業互聯趨勢的逐步深入，安全防護能力低帶來的信息安全風險逐步顯現。

4.1鋼鐵廠工控網絡風險分析

鋼鐵廠鍊鋼工控網絡結構，L1級網絡中每一個子工序是一個環形網絡，有兩個上聯出口，一個出口連接子工序L2系統，另一個出口連接到其它子工序（各個子工序間構成一個環形網絡）

◆基礎自動化級(L1)

主要完成設備的順序控制及連鎖控制，故障檢測與報警，各種操作界面和數據採集等任務。

◆過程自動化級（L2）

主要完成初始數據處理、材料跟蹤、數學模型計算及設定、過程數據收集、數據通信以及操作指導等任務。

鋼鐵廠鍊鋼工控網絡風險分析

（1）L1級和L2級之間沒有隔離設備

當L1級和L2級系統中沒有隔離一方有病毒存在，瞬間就能感染整個工控網絡造成生產上的損失。

（2）自動化控制器和工程師站之間無隔離防護

工程師站是系統組態和系統維護的核心。工程師站負責規劃系統規模，創建工程、完成建域、建站、生成系統數據庫、生成監視操作畫面、生成控制算法、生成報警功能、生成報表功能等，工程師站是整個系統中的高風險點，一旦受到人為或非人為的病毒感染或攻擊，都會對整個系統的運行安全造成威脅。PLC現場設備非常脆弱，沒有任何防護，一般的病毒攻擊就可能造成死機

（3）工程師站和服務器沒有主機加固

工程師站和服務器都是基於Windows平臺的控制系統，一般不能修復補丁，也不安裝防病毒軟件，即使安裝了防病毒軟件，由於不能更新病毒庫，也會失去防病毒功能。因此這些操作站（工程師站）、各種服務器感染病毒的機率較大，感染病毒和傳播的影響極大。

（4）網絡安全事件不能報警且無法追蹤

目前的工控控制系統中沒有日誌分析和事件報警功能，當發生安全事件時，不能追蹤、定位事件的源頭。對網絡故障進行快速的診斷，並記錄、儲存、分析，通過報警和預警可以減少或避免事故帶來的損失，也為加強事件管理提供方便。

4.2鋼鐵廠鍊鋼工控網絡安全防護解決方案

如圖所示：

鋼鐵廠鍊鋼工控網絡安全防護說明：

（1）L1級網絡上聯L2級網絡出口部署工業防火牆

L1級和L2級兩個網絡安全隔離，如果有一方網絡有病毒感染或攻擊時另一方網絡不會造成影響。

（2）自動化控制器和工程師站之間部署工業防火牆

工程師站是系統組態和系統維護的核心也是高風險源。部署工業防火牆隔離防護自動化控制器，使得工業生產更穩定也可控制誤操作的行為。

（3）工程師站和各種服務器部署可信計算安全產品，解決工控系統終端病毒感染、惡意代碼進程啟動、操作系統內核漏洞、USB誤用濫用等安全隱患，從根本上實現了對各種不安全因素的主動護。

(4) L2級網絡中部署安全管理平臺

安全管理平臺接收來自工業網絡防火牆和可信終端的報警及日誌。安全管理平臺具有工控網絡行為審計記錄的智能分析的功能，具備強大的審計日誌存儲查詢功能，可以對海量的審計數據進行實時監控和網絡行為態勢分析，使系統安全運維人員能夠通過實時日誌展示畫面隨時監控正在發生的不同級別審計日誌和報警信息，也可以通過安全管理平臺的條件查詢、統計、篩選、圖表展示和態勢分析算法模型等強大的功能迅速得出網絡健康狀況，最終自動獲得詳細的統計分析報告和事件處置方式建議，實現系統安全運維管理的實時性、完整性、自動化、智能化。

安全管理平臺針對工控網絡行為進行監控和與智能安全分析，監控平臺以底層工業防火牆、工控可信計算安全平臺以及其他網絡設備為探針，針對內置的“工業控制網絡通訊行為模型庫”核心模塊，能及時檢測工業網絡中出現的工業攻擊、蠕蟲病毒及非法入侵、設備異常等情況，並對危及系統網絡安全的因素做出智能預警分析，為管理者提供決策支持，以總覽大局的方式為工業網絡信息安全故障的及時排查、分析提供可靠地依據。

4.3鋼鐵廠鍊鐵高爐工控網絡風險分析

鋼鐵廠鍊鐵高爐工控網絡系統中各個子工序和主控室、工程師室組成一個L1級環形網絡。

（1）主控室、噴煤控制室和L1級環形網絡沒有隔離防護設備。

主控室、噴煤控制室都有大量的操作員站，在人機對話工作中容易將危險帶到L1級環形網絡中，造成生產上的不穩定因素。

（2）工程師站和L1級環網沒有隔離防護設備。

工程師站是系統組態和系統維護的核心。工程師站負責規劃系統規模，創建工程、完成建域、建站、生成系統數據庫、生成監視操作畫面、生成控制算法、生成報警功能、生成報表功能等，工程師站是整個系統中的高風險點，一旦受到人為或非人為的病毒感染或攻擊，都會對整個系統的運行安全造成威脅。

（3）OPC數據庫服務器和L1級環網絡沒有隔離防護設備。

OPC是工業通訊中最常用的一種標準協議，廣泛應用於不同品牌工控系統與統一的信息管理系統之間的數據採集與傳輸，但由於OPC基於DCOM技術，在應用過程中通訊端口在1024-65535間不固定使用，這就使得基於端口防護的常規防火牆根本無法進行安全防護。

（4）工程師站和數據服務器沒有主機加固

工程師站和服務器都是基於Windows平臺的控制系統，一般不能修復補丁，也不安裝防病毒軟件，即使安裝了防病毒軟件，由於不能更新病毒庫，也會失去防病毒功能。因此這些操作站（工程師站）、各種服務器感染病毒的機率較大，感染病毒和傳播的影響極大。