鋼鐵企業工控安全研究與設計

張 偉，于目奎，羅顯科

(中冶賽迪重慶信息技術有限公司，重慶 401122)

工業控制系統作為工業基礎設施的核心，極大地保障了工業生產的穩定性和高效性，是國家重要的基礎設施組成部分，廣泛應用于冶金、化工、電力等重要行業。20世紀以來，針對工業控制系統的病毒、木馬等攻擊行為大幅度增長，一旦遭到破壞，可能造成人員傷亡、環境污染、停產停工等嚴重后果，甚至威脅國家經濟安全、政治安全和社會穩定。典型案例如： 2010年伊朗布什爾核電站員工電腦感染震網(Stuxnet)病毒，嚴重威脅核反應堆安全運營；2012年美國兩座電廠遭USB病毒攻擊，導致數據泄密；2015年烏克蘭電力系統遭受網絡攻擊導致大面積電力中斷[1]。

鋼鐵行業一直是工業自動化和信息化的先行者，工業控制系統作為生產控制的“大腦”，是行業自動化水平不斷提升的基礎支撐。在日益嚴重的安全威脅態勢下，工控安全問題成了未來鋼鐵企業需要重點關注的課題，特別是隨著兩化融合背景下智能制造轉型升級的持續推進，傳統封閉的鋼鐵工業控制系統會越來越多的暴露在互聯網場景下，維護和保障工控安全將成為智能制造的關鍵目標之一。

本文主要討論和研究鋼鐵行業自動化控制系統中基礎自動化(L1)、過程自動化(L2)、制造執行系統(L3 或者MES)相關的網絡安全設計與實現，也是行業工控安全需要重點關注的對象。

1 工控安全現狀

鋼鐵行業生產流程長，包括原料場、煉鐵、煉鋼、連鑄、熱軋、冷軋等工藝單元，各單元自動化控制系統遵循典型的基礎自動化(L1)、過程自動化(L2)、制造執行系統(L3或者MES)分層次架構，如圖1所示。

經過行業多年的設計、實施和運維經驗積累，自動化控制系統已經在工控安全防護方面采用了一些信息化技術和手段，包括：

(1)各層次計算機系統都會安裝殺毒軟件，預防病毒攻擊和傳播，如L1層的HMI服務器、工程師站、HMI客戶端、上位機、iba數據服務器等。

(2)各層次網絡相互隔離，使用的手段包括劃分不同的VLAN，或者通過服務器多網卡通信方式限制互訪通道，以限制各層次間的網絡攻擊和病毒傳播。

(3)限制L1、L2、L3與外部互聯網的連通，盡可能減少外部網絡的攻擊。

圖1 自動化控制系統分層架構

新形勢下，工控安全問題愈發突出，傳統措施已無法滿足安全要求。隨著鋼鐵行業智能制造轉型升級的持續推進，集成、協同、優化等核心要求正在促進工控系統從傳統封閉系統向開放系統演進，通過工業互聯網的建立打破信息孤島、打通跨流程的數據關聯與應用、實現扁平化的上傳下達、實現總部與分部的協同以及生產現場與遠程運維的協同，最終完成智能工廠在智能設計、智能生產、智能運維和智能決策等方面的升級。因此，企業生產對內部、外部網絡的依賴程度越來越高，要求更加復雜，從而導致安全問題也愈發凸顯[2]。

當前，鋼鐵企業工控系統面臨的安全問題包括：

1)網絡邊界安全控制能力較弱，入侵及威脅傳播防御能力差

盡管大多數L1、L2、L3進行了網絡分段隔離(有的企業甚至沒有做隔離)，各層通常沒有防火墻或者其他安全訪問控制策略，數據交互隨意，導致攻擊進入任意層次后都會比較容易直接威脅到L1對設備的控制。同時，隨著跨單元應用的豐富，各單元之間(比如煉鋼和軋鋼)的網絡連接也缺乏足夠的邊界保護。

2)計算機及工控系統嚴重漏洞檢測及處理不及時，系統安全風險大

鋼鐵企業PC終端、服務器、PLC控制器等普遍存在系統安全漏洞，包括能夠造成遠程攻擊、越權執行的嚴重威脅類漏洞，各個廠商也在不停升級和發布補丁彌補缺陷，然而，由于設備、協議多導致管理難度大，以及企業專業技能缺乏、安全認識不足等現實問題，造成工業控制系統的補丁管理困難，難以及時處理威脅嚴重的漏洞。

3)違規操作及越權行為監控不力，主機安全不可控

缺乏對移動介質的安全管控，操作人員直接通過主機USB接口、串口、光驅等外設進行文件、程序等傳輸，成為了當前病毒感染的主要途徑之一；企業由實施階段進入生產運維階段后，任意接入計劃外操作站、移動筆記本、網絡設備，甚至違規接入互聯網等行為都是重大的安全隱患。

4)基于工控協議的安全保護機制欠缺，缺乏針對性

專有的工業控制通信協議或規約在設計時通常更強調通信的實時性及可用性，對安全性普遍考慮不足，比如缺少足夠強度的認證、加密、授權等。隨著Mod-bus、OPC、Siemens S7、IEC104等工業協議的廣泛認知提升，攻擊者更容易掌握協議的格式和內容，對PLC等系統的攻擊變得更加容易，因此針對工控協議的安全防范就更加重要。

5)缺乏網絡攻擊行為動態監測部署，主動防御能力欠缺

隨著針對工控系統的攻擊行為的增加，互聯網中攻擊方式多、病毒傳播快、變種快等特征也很快被應用到工業領域，傳統防御以不斷豐富病毒知識和攻擊特征來預防非法網絡行為，缺乏主動學習能力，如何動態監測攻擊行為并進行預測性主動防御也將是未來工控安全建設的關鍵技術。

2 工控安全設計

2.1 總體設計

基于鋼鐵行業自動化控制系統網絡特征和安全現狀，本方案遵循“分層分區”的策略進行總體設計，工控網絡安全按照L1、L2、L3進行縱向分層保護，同時按照高爐、煉鋼、軋鋼等工藝單元進行橫向分區域保護。

自動化控制系統安全設計要求按照L1、L2、L3、外部網絡進行網絡隔離劃分，做好內部防護的同時，加強邊界攻擊防御，總體方案拓撲圖如圖2所示。

圖2 總體方案拓撲圖

2.2 L1基礎自動化安全防護

基礎自動化(L1)網絡連接PLC控制器、HMI服務器、工程師站、操作終端、儀表上位機、數據服務器(iba等)、打印機等設施，構成了工業控制的核心業務系統，其中PLC直接控制設備動作，是工控安全的重點保護對象。

L1主要通過部署工業防火墻、工業入侵檢測系統硬件產品，以及殺毒軟件、主機安全防護軟件產品，實現安全管控。

(1)在PLC與各計算機系統之間部署工業防火墻。一方面通過訪問控制策略限定指定計算機才能訪問PLC，管控網絡通信對象，降低計劃外設備非法訪問風險；另一方面，通過OPC、Modbus/TCP、Modbus/RTU、Siemens S7、IEC104等多種工業協議深度解析支持，實現指令級別的過濾防護，避免來源于HMI等計算機的非法控制命令下達；同時還可以通過流量自學習，自動推薦安全策略，不斷完善管控能力。

(2)在L1網絡與上層網絡、其他區域網絡之間部署工業防火墻。只允許L1網絡與外部網絡之間合法設備的數據交換，阻擋對生產網未經授權的非法訪問，同時也防止外部網絡的病毒感染擴散到車間PLC網絡中，從而提升網絡邊界安全水平，實現分層分區安全隔離和管控。

(3)在核心交換機旁路部署工業入侵檢測系統。通過捕獲經過交換機的所有數據包，進行基于規則的解析檢測，完成木馬、蠕蟲、緩沖區溢出攻擊、掃描探測等通用入侵檢測，以及非法功能碼、非法報文長度、非法地址等基于工控協議的入侵檢測，及時發現異常并報警。

(4)在計算機系統中部署主機安全防護軟件和殺毒軟件。工業控制系統應用相對固定，計算機主要安裝特定軟件程序，防范病毒或木馬等惡意攻擊最直接的方式是管理主機進程，主機安全防護軟件通過白名單的方式監控主機運行程序，并且管理和限制USB接口、光驅、網卡、串口等外設的使用，降低安全風險。殺毒軟件可以發揮基本的病毒防護和清除功能。

2.3 L2過程自動化安全防護

過程自動化(L2)網絡由數據采集及存儲服務器、應用服務器、數據庫服務器、工程師站、操作終端、打印機等設施組成。過程自動化以數據處理、模型算法為重點，在自動化系統中起著承上啟下的作用，安全威脅不僅影響本層網絡，還存在擴散到L1和L3層級的風險。

L2主要通過部署通用防火墻、通用入侵檢測系統硬件產品，以及殺毒軟件、主機安全防護軟件產品，實現安全管控。

(1)在L2網絡與上層網絡、其他區域網絡之間部署通用防火墻。只允許L2網絡與外部網絡之間合法設備的數據交換，提升網絡邊界安全水平，實現分層分區安全隔離和管控。

(2)在核心交換機旁路部署通用入侵檢測系統。通過捕獲經過交換機的所有數據包，進行基于規則的解析檢測，完成木馬、蠕蟲、緩沖區溢出攻擊、掃描探測等通用入侵檢測，及時發現異常并報警。

(3)在計算機系統中部署主機安全防護軟件和殺毒軟件。主機安全防護軟件監控主機運行程序，并且管理和限制外設使用情況，降低安全風險。

2.4 L3制造執行系統安全防護

制造執行系統(L3)網絡由應用服務器、數據庫服務器、工程師站、操作終端、打印機等設施組成，向下層發送生產計劃，從下層收集生產實際數據，還承擔分廠與總廠、分部與總部的數據通信功能，非常容易受到外部網絡攻擊，從而影響自動化系統的網絡安全。

L3主要通過部署VPN網關、通用入侵檢測系統、工控漏洞掃描系統、工控安全管理平臺硬件產品，以及殺毒軟件、主機安全防護軟件產品，實現安全管控。

(1)在L3網絡與外部網絡、其他區域網絡之間部署VPN網關。VPN網關一方面允許L3網絡與外部網絡之間合法設備的數據交換(例如病毒庫升級等)，另一方面只允許工程師通過加密通道遠程接入進行在線故障分析和協作，保障網絡邊界安全。

(2)在核心交換機旁路部署通用入侵檢測系統。實現通用威脅入侵檢測，及時發現異常并報警。

(3)部署工控漏洞掃描系統。負責計算機、服務器的系統漏洞掃描，以及PLC控制器、工控常用HMI軟件等系統的漏洞掃描，及時發現漏洞并提供分析報告。

(4)部署工控安全管理平臺。負責將所有網絡交換機、防火墻、安全檢測設備，以及計算機、服務器等硬件資源的運行信息進行統一收集和綜合分析，形成工業控制系統統一信息安全管理系統，幫助管理和運維人員更加宏觀、全面地了解設備運行情況、安全狀態等信息，及時掌握、報告和發布安全態勢。

(5)在計算機系統中部署主機安全防護軟件和殺毒軟件。主機安全防護軟件監控主機運行程序，并且管理和限制外設使用情況，降低安全風險。

3 效果分析

本文所述方案針對鋼鐵企業常用網絡架構，以分層分區為原則進行工控安全設計，以主動防范、及時發現、快速處理為目標，來提升工控安全防御能力，主要達到了以下效果：

各層次、各區域之間有效隔離防護：通過防火墻限定通信對象和內容，阻斷非法入侵和危險傳播，其中工業防火墻還可以進行基于協議解析的控制命令過濾,重點保護PLC控制器安全，保證生產正常進行。

系統安全漏洞掃描和修復：實時掃描操作系統、控制器、工控軟件漏洞，及時發現工控網絡脆弱點，提出風險預警及補丁修補意見。

工控異常監測及網絡流分析診斷：動態監測網絡信息流，及時發現傳統網絡木馬病毒入侵行為、針對工控設備的攻擊行為、未知設備接入和工控網絡流異常變化趨勢等，報警聯調防護設備。

違規操作監測和預防：實時監控外設使用情況和運行進程，設置管理策略，預防設備違規接入和計劃外軟件安裝行為，杜絕內部威脅傳播。

4 結 語

我國鋼鐵行業工業控制系統PLC控制器、工控軟件等重要設備與技術都還依賴于國外產品，關鍵數據、敏感信息泄漏風險巨大，在從傳統封閉網絡向開放網絡過渡的過程中，將面臨更多的安全攻擊和威脅。

本文所述工控安全設計思路僅從信息技術角度展開，力圖通過技術手段進行安全防御、檢測和排除，但是工控安全不只是一個技術問題，而是多層面、多因素、綜合、動態的體系保障問題。一個完備的工控安全防護體系，需要從組織與制度、標準與規范、技術與策略等多個維度同步建設。組織與制度層面需要加強以人為中心的安全意識觀念建設，標準與規范層面需要加強安全相關的設計及驗證標準和平臺建設[3]，技術與策略需要面向精細化、差異化保護持續優化和升級。