鑄造行業(yè)工控安全技術(shù)措施淺析

楊 軍，劉亞賓，常 濤，劉 洋，馬 濤

（共享智能鑄造產(chǎn)業(yè)創(chuàng)新中心有限公司，寧夏銀川750021）

隨著中國制造2025全面推進，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，新形勢下工控安全工作的重要性和緊迫性更加凸顯。2016年10月17日，工信部頒布《工業(yè)控制系統(tǒng)信息安全防護指南》，指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環(huán)境安全防護、身份認證、遠程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實責任十一個方面做好工控安全防護工作；2017年12月29日，工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全行動計劃（2018-2020年）》的通知，明確安全與發(fā)展并重，把工控安全作為工業(yè)生產(chǎn)安全的重要組成部分，并以落實企業(yè)主體責任為關(guān)鍵，確保信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運行，切實提升工業(yè)控制系統(tǒng)信息安全防護水平，保障工業(yè)控制系統(tǒng)安全[1]。

另一方面，鑄造行業(yè)作為傳統(tǒng)行業(yè)，其數(shù)字化、網(wǎng)絡(luò)化、智能化過程是逐步發(fā)展的。由于歷史原因，在前期往往缺乏整體規(guī)劃，為了網(wǎng)絡(luò)化而網(wǎng)絡(luò)化，其網(wǎng)絡(luò)電氣接口與光纖接口轉(zhuǎn)接隨意，生產(chǎn)網(wǎng)、管理網(wǎng)、辦公網(wǎng)、視頻網(wǎng)等沒有進行合理劃分而混雜在一起，在不改變當前網(wǎng)絡(luò)拓樸的前提下，對關(guān)鍵設(shè)備進行相關(guān)安全部署時，需要相當數(shù)量的防護與審計產(chǎn)品。為充分提高工控防護與審計產(chǎn)品的覆蓋利用率，倒逼一線工程師在不影響生產(chǎn)、管理、辦公等要求下先進行網(wǎng)絡(luò)優(yōu)化，組織協(xié)調(diào)牽涉面廣、難度大。整個網(wǎng)絡(luò)基礎(chǔ)的不利現(xiàn)狀，導(dǎo)致在后續(xù)工控安全部署時，或因拓樸調(diào)整過繁投入過高，或因技術(shù)路線不明而無從著手，工控安全近時期僅局限于紙面或口號而無從落實。

本文試圖從鑄造行業(yè)工控安全隱患分析著手，通過給出網(wǎng)絡(luò)典型拓樸及工控安全產(chǎn)品典型部署方式，為鑄造行業(yè)工控安全的實施提供借鑒。

1 常見工控安全隱患分析

1.1 工控主機

現(xiàn)場仍有相當部分工控主機安裝Windows XP等微軟官方技術(shù)不再支持的系統(tǒng)，且系統(tǒng)的安全漏洞常因封閉的生產(chǎn)網(wǎng)絡(luò)限制，而不能進行可控的升級與更新。

因工控軟件與殺毒軟件兼容性問題，以及遠程訪問的需要，技術(shù)人員為圖方便，在工控軟件的安裝、配置、運行過程中，往往關(guān)閉殺毒軟件、防火墻、系統(tǒng)更新，相當于裸機運行。

移動介質(zhì)如U盤、移動硬盤、共享文件夾等方式的不規(guī)范使用，即使在局域網(wǎng)內(nèi)也會帶來交叉?zhèn)魅镜劝踩L險。

工控軟件的登錄口令、訪問權(quán)限、通信協(xié)議端口、工業(yè)協(xié)議常采用默認配置，僅依靠常規(guī)的IT防護手段難以有效防護復(fù)雜的工控應(yīng)用環(huán)境。

1.2 信息基礎(chǔ)設(shè)施

邊界防護往往僅在局域網(wǎng)與公網(wǎng)之間部署傳統(tǒng)的IT防火墻與審計軟件，對基于工業(yè)協(xié)議的識別與攻擊無能為力；生產(chǎn)網(wǎng)、管理網(wǎng)、辦公網(wǎng)、視頻網(wǎng)等常為同一局域網(wǎng)段內(nèi)混用，絕大部分接入層的數(shù)據(jù)傳輸與交互使用不帶網(wǎng)管功能的傻瓜式交換機，形成局域網(wǎng)內(nèi)安全防護的真空地帶；服務(wù)器等設(shè)施安全隱患與工控主機類似，不再贅述。

1.3 安全組織與意識

由IT運維人員兼職，將IT安全等同于工控安全；企業(yè)內(nèi)歷史上沒出過工控安全事件，防范意識薄弱；缺乏針對性的工控安全防護措施、應(yīng)急演練、應(yīng)急預(yù)案等管理制度；工控安全防護與審計類產(chǎn)品均價格不菲，在沒有政策引導(dǎo)與激勵措施存在的環(huán)境下，企業(yè)負責人、技術(shù)負責人、一線工程師等往往對工控安全需求選擇性漠視或弱化處理。

2 典型網(wǎng)絡(luò)拓樸

具體策劃及實施時，采用冗余高速工業(yè)以太光纖環(huán)網(wǎng)，沿廠區(qū)或單元邊界成環(huán)，工廠建立主環(huán)網(wǎng)，單元內(nèi)部建立小環(huán)網(wǎng)，小環(huán)網(wǎng)均分布在主環(huán)網(wǎng)上。采用單模光纖、雙線雙設(shè)備方式，兼顧后期網(wǎng)絡(luò)接入需求。

設(shè)備接入方面，千兆電氣鏈路的始端接入光纖環(huán)網(wǎng)的交換設(shè)備，千兆電氣鏈路的終端采用帶網(wǎng)管功能的工業(yè)級交換機，用于工業(yè)設(shè)備、傳感、網(wǎng)關(guān)、客戶端的就近接入，并避免形成電氣環(huán)網(wǎng)。

將生產(chǎn)網(wǎng)、管理網(wǎng)、辦公網(wǎng)、視頻網(wǎng)等物理分開，或通過劃分VLAN區(qū)進行邏輯隔離。

圖1 鑄造行業(yè)典型光纖環(huán)網(wǎng)拓樸示意

3 典型工控安全產(chǎn)品組合式部署

工控安全防護常見技術(shù)策略中，有效性排名靠前的為白名單、配置及補丁管理、隔離區(qū)等。白名單機制下，只有可信任的設(shè)備，才能接入工控網(wǎng)絡(luò)；只有可信任的消息，才能在工控網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行。以威努特工控安全產(chǎn)品為例，鑄造行業(yè)工控環(huán)境典型的組合式部署如圖2所示。

其中，可信網(wǎng)關(guān)(帶旁路機制的工業(yè)防火墻，進行網(wǎng)絡(luò)邊界實時防護)、工控主機衛(wèi)士+安全U盤（進行主機安全防護，及安全的數(shù)據(jù)交換）、安全運維管理系統(tǒng)（實現(xiàn)對用戶從登錄到退出的全程操作行為進行審計）、主機安全加固系統(tǒng)（對操作系統(tǒng)進行安全加固）、入侵檢測系統(tǒng)（對異常攻擊實時監(jiān)測）、安全隔離與信息交換系統(tǒng)（實現(xiàn)內(nèi)外網(wǎng)間隔離及數(shù)據(jù)安全交換）、統(tǒng)一安全管理平臺（進行工控安全軟硬件產(chǎn)品集中管理）屬于防護型產(chǎn)品，監(jiān)測與審計平臺（進行基于網(wǎng)絡(luò)通信的審計與溯源）屬于監(jiān)測型產(chǎn)品。

該組合式部署涵蓋鑄造工廠設(shè)備層、單元層與車間層，實現(xiàn)隔離、檢測、防護、響應(yīng)、審計、管理等全過程全方位的縱深防御。

圖2 鑄造行業(yè)典型工控安全產(chǎn)品組合式部署示意

4 小結(jié)

鑄造行業(yè)工控安全的具體實施，應(yīng)依據(jù)自身信息基礎(chǔ)設(shè)施的實際現(xiàn)狀，以及工控安全需求、重點防護對象或區(qū)域，參照典型光纖環(huán)網(wǎng)拓樸及工控安全產(chǎn)品組合式部署，遵循統(tǒng)籌規(guī)劃、分步實施的原則，逐步滿足工控安全的各項重點評價指標。