鋼鐵企業工控網絡安全分析及安全示范線建設

武漢鋼鐵有限公司 程曦 王晶

結合某鋼鐵制造基地及下屬產線的工控系統的網絡實際情況，分析工控網絡中存在的安全隱患，從主機安全防護、邊界安全管理、準入安全管控、網絡入侵檢測等方面提出安全防護方案，結合國家等級保護制度相關要求開展工控網絡安全示范線建設，提升企業的管控網絡安全防護能力，完善安全架構和技術支撐體系，確保生產穩定運行。

近年來，工控系統安全風險持續增加，大量安全威脅不斷滲透至工控網絡，安全形勢日趨嚴峻。2022 年伊朗胡齊斯坦鋼鐵公司在遭受網絡攻擊后被迫停止生產，這是近年來針對該國戰略工業部門最大規模網絡攻擊之一，這一事件也為我們敲醒了警鐘！隨著鋼鐵行業智能制造及兩化融合推進，打破了工控系統原有“孤島式”的管理模式，對工控系統安全提出了更高要求，如何有效地防御內、外部攻擊，降低工控網絡安全風險，筑牢工控網絡安全防線，確保生產穩定順行，工控網絡穩定可靠，是鋼鐵行業工控網絡安全所關注和需要解決的問題。

1 鋼鐵企業工控系統網絡架構

鋼鐵企業生產信息系統主要包括L1（基礎自動化系統）例如現場采集設備、PLC、DCS 等、L2（過程自動化系統）各生產單元生產過程控制系統、控制模型等、L3（各廠作業層生產執行系統）負責生產計劃編排、生產指令存儲管理、質量控制計劃管理等、L4（公司層制造管理系統）、L5（公司一體化經營決策ERP 系統）。某鋼鐵企業生產信息系統構架，如圖1 所示。

L2 及以下層級統稱廠級工控系統，L3 及以上層級稱公司信息管理系統，承載工控系統的網絡為各廠工控網絡，實現信息系統交互的網絡為公司信息主干網。各層級相互協調，完成從煉焦到軋制等一系列連續的生產控制任務，在生產過程中如果遭受惡意攻擊、發生病毒感染和擴散，就會使整改生產流程中斷，工控系統的控制組件被迫停止運轉，造成嚴重的生產故障和巨大的經濟損失[1]。

2 現狀及存在問題

“智慧制造”推進要求實現與生產業務相關網絡之間互聯互通，公司、生產廠內新增業務系統有工控網絡與信息主干網連接訪問要求，打破了原有相對封閉的工控網絡管理模式，對整體安全提出了更高的要求。通過對近年發生的工控安全事件進行分析，發現70%以上都是由于蠕蟲病毒、漏洞利用或網絡攻擊導致，隨著網絡架構逐步向“高可用、扁平化”趨勢發展，基于網絡傳播的各種安全威脅將帶來重大安全隱患[2]。

2.1 工控主機安全加固實施難度大

各生產廠的控制系統中存在大量硬件和操作系統老舊的工控主機，部分控制設備還在使用Windows XP、Windows 2000 Server 等操作系統，微軟已不再對這些系統提供安全技術服務，存在大量高危安全漏洞，對已知漏洞的修復需要升級操作系統版本，降低主機運行速度，且漏洞修復后可能造成控制系統應用或通信異常。

現有殺毒軟件基于黑名單方式，需要相關技術人員定期對病毒庫進行更新，在鋼鐵企業生產環境不適用，無法及時發現和查殺新型病毒，對無法識別的工控系統程序會存在誤殺風險，對工控主機進行定期病毒查殺占用系統資源，影響工控主機的性能，導致生產作業線運行狀態不穩定。

工控系統在防病毒軟件方面的選擇面非常狹窄，經廠商認證的防病毒軟件主要是國外的McAfee、Symantec、Trend 產品，少數使用國產火絨，有些甚至指定版本，殺毒軟件全面覆蓋和國產防病毒軟件替代難度和阻力將很大。

2.2 移動存儲介質管控缺乏技術手段

目前工控系統終端USB 端口的管控，主要通過修改系統注冊表禁用空閑USB 端口，主機的外設接口張貼一次性的密封條方式進行管控，但現場人員工控網絡安全、保密意識不強，仍使用未經過授權移動存儲介質或其他USB 設備進行報表下載、程序修改及數據拷貝等情況。缺乏必要的技術手段控制外部存儲介質的非授權接入，需要對USB 端口授權管理和動態監控，利用未授權的移動存儲介質將病毒、蠕蟲等惡意代碼滲透進入工業控制系統的安全事件屢見不鮮[3]。

2.3 網絡邊界存在的風險

通過長期以來的檢查、整改，逐步落實公司安全管理要求，各生產廠工控網和信息主干網基本實現物理隔離，PLC、DCS 等L1 基礎自動化層級接入區域內部工控網交換機，部分L2 層級服務器需要與L3 進行交互，接入信息主干網前配了防火墻，而且對安全防護策略也進行配置。

總體上工控網較封閉，安全防護有保障，但是隨著兩化融合的推進，各類自動化、智能化項目的實施，工控網、信息網之間的通訊越來越多，界限越來越模糊，為實現現場實時數據的高效采集，需要工控網與信息網、主干網建立廣范的連接，部分工控設備甚至通過無線網卡接入互聯網絡，違規接入工控網情況屢見不鮮，例如表檢儀、孔洞儀等測量系統、區域數據采集設備等，為實現不同網段間的數據共享及信息主干網的業務發布，配備有多塊網卡和IP 地址，接入工控網絡未經過審核、評估，容易導致原有的網絡邊界防線失效，一旦某臺服務器感染惡意代碼或遭受黑客攻擊，可能會導致擴散到其他工控主機被感染或被攻擊。

2.4 安全策略配置漏洞，弱口令和遠程、共享等問題難以根除

由于生產或操作需要，共享服務無法棄用，例如Wincc、Intoch 等控制軟件Clinte 與Server 端通過共享文件方式實現數據交互功能，如果工控主機的445、139 端口被封鎖，可能造成組態軟件無法正常運行，系統運行終斷，然而Wannercry 勒索病毒正是利用了微軟 MS17-010 漏洞并通過445 端口傳播。“向日葵控控”等遠程應用軟件已禁止在工控系統中使用，但現場技術人員為提高故障處理效率，未遵循“最小原則”，開啟139、445、3389等端口、FTP、Telnet 等非業務必須的服務及Windows遠程桌面服務。因通信賬戶被編譯到程序中，涉及底層的應用開發而無能為力，對弱密鑰進行修改，技術難度較大，無法完全避免弱口令問題。

3 改進措施

結合《工業控制系統信息安全防護指引》與《等級保護2.0-工業控制系統安全擴展要求》等相關制度、法規要求，基于某企業工控系統實際應用情況，以終端安全加固和網絡邊界防護、加強移動介質管控為重點，強化工控網絡安全監管，降低工控網絡安全風險，保障區域內工控網絡安全穩定運行[4]。

3.1 終端主機的安全加固

通過管理制度要求工控網絡運維人員關注工控安全形勢，及時知悉重大安全漏洞和補丁發布情況，對安全補丁進行安裝后對工控主機可能造成的安全風險評估，在測試環境做好充分的測試、驗證，確保安全可行后在生產環境中為工控主機安裝安全補丁。

對于已安裝殺毒軟件但不方便定期更新病毒庫的工控主機，使用應用程序白名單軟件來防范風險，僅允許通過業務單位授權和安全評估的軟件在工控主機中運行。對于配置老舊不具備安裝條件的，以殺毒U 盤的方式定期對終端病毒進行查殺。

在生產線進行升級改造時，逐步實現工控終端及核心網絡設備的國產化升級替代，避免被外方“卡脖子”。

3.2 加強移動介質管控

定期開展工控網絡安全檢查，檢查內容包括工控主機外部設備接口情況，對非必要USB 接口、光驅等設備接口封閉或拆除，做好外接設備的授權管理。比如:部署移動介質授權管理系統，僅允許被授權的安全移動介質通過指定的方式接入工控主機，禁止沒有授權的U盤、光驅等外部設備接入工控主機，防范病毒、木馬等惡意代碼程序通過移動存儲介質侵入工控系統。

3.3 邊界隔離與訪問控制

建立清晰的工控系統網絡邊界，加強工控網絡的縱向安全隔離和橫向安全認證。

做好縱向安全隔離，通過終端雙網卡加前置防火墻、網閘等網絡安全設備，合理配置訪問控制策略，實現不同層面間設備的授權訪問，允許L2 與L3 層進行生產計劃、生產實績數據交互等合法業務數據，阻止非授權訪問流量通過邊界，例如在熱軋生產線L3 和L2 的網絡邊界部署工業網閘，實現工控網絡與主干信息網絡邊界隔離，避免L3 及以上網絡非授權訪問工控系統網絡的風險。

做好橫向安全認證，在工業系統網絡中，在交換機上按照區域、工藝流程和功能等維度劃分不同的安全防護區域，例如:煉鐵、煉鋼、條材、熱軋區域，分廠的工控網絡都匯聚至集中控制中心核心交換機，通過核心交換機劃分VLAN，前置工業防火墻、工業安全網閘等防護設備，有效對工業通信協議的數據包進行深度檢查和識別，實現篩選并屏蔽非法指令，避免安全風險在不同區域進行擴散，便于風險源追溯。保證只有可信任的流量可以在工業網絡上傳輸，實現對非法操作指令的攔截和告警。

3.4 根據業務配置合理的安全策略，減少安全漏洞

加強設備的口令防護強度，根據業務需求為工控主機配置合理的密碼策略。遵循“最小原則”開放工控主機端口或服務。所有非必要的遠程桌面、遠程登錄等服務關閉，如廠部有遠程維護需求，應在有安全措施和策略的通道下進行，具體的措施如下：如運維人員需從外網使用VPN 等遠程登錄工業系統網絡，應限制用戶數量，防火墻上配置安全策略，僅允許限制的時間內從指定的IP 地址進行遠程訪問。

清理工控主機、網絡設備中的賬戶，確認賬戶使用情況，禁用冗余賬號、過期賬號。同時，按照“最小原則”為賬號賦權，分配與工作角色、工作職責相符的權限。

4 安全示范線建設

以煉鋼廠區域為試點進行工控網絡安全示范線建設，基于煉鋼區域現場情況，設計了工控安全整體架構。參照《工業控制系統安全防護指引》相關要求，建設工控網絡安全示范線，關注工控系統邊界安全、終端安全加固、遠程運維管控、安全威脅感知、安全管理中心建設等方面內容[5]，如圖2 所示。

圖2 煉鋼廠工業控制系統網絡安全建設示意圖Fig.2 Schematic diagram of network security construction of industrial control system in steel mill

4.1 工控系統邊界安全

在L1 與L2 邊界處部署工控防火墻，通過工業協議的深度解析確保過程控制系統與現場控制設備之間、HMI 和現場控制設備之間通訊與控制的合法性，有效阻止利用工控協議進行漏洞攻擊，并同步管控網絡非法入侵、惡意訪問的威脅。

4.2 終端安全加固

終端設備安裝基于白名單方式主機安全衛士，實現已知、未知病毒的防范。由于傳統殺毒軟件的“黑名單”方式嚴重依賴病毒庫，所以在遠程控制中心操作員站、工程師站，服務器上部署工控主機衛士，采用更適用于工業網絡環境的輕量級“白名單”機制，可以有效阻止未知病毒、木馬、蠕蟲等惡意代碼的執行。

4.3 安全威脅發現

提高已知、未知威脅攻擊防御能力，在生產控制層與生產管理層網絡邊界處部署高級威脅檢測系統，采用基于沙箱行為的未知威脅檢測技術，實時檢測威脅情報、密碼暴力破解、潛在隱私策略等APT 攻擊行為，解決勒索病毒、變種病毒、未知威脅無法定位的問題。

4.4 移動介質管控

在工控示范區規劃部署移動介質管控系統，實現工控網絡終端外設統一管理，并同步存儲外設的接入控制與內容檢查，存儲外設掃描通過內置防病毒引擎及病毒特征庫，實現對存儲外設內的文件進行病毒特征掃描。存儲外設殺毒，通過內置防病毒引擎對掃描出來的染毒文件進行清除。

4.5 遠程運維管控

“智慧制造”建設帶來大量遠程運維需求，其接入工控系統需要實現安全訪問、權限管理及安全審計要求。運維人員通過VPN 設備連接至主干網內，登錄堡壘機進行認證授權，基于堡壘機操作錄屏功能實現運程運維操作審計功能。通過堡壘機發布中心平臺連接至廠部遠程通信服務器，廠部設備管理員可以通過遠程通信服務器完成遠程接入人員的賬戶創建、刪除、禁止以及用戶授權等操作，并可記錄和追溯設備與人員訪問日志，支持多人同時訪問多個設備，默認封閉遠程通信服務器訪問端口，網絡管理員可按需進行配置管理，保障遠程訪問安全。現場遠程運維設備通過工業遠程網關設備進行連接，網關部署在工控網現場，如圖3 所示。

圖3 遠程運維方案Fig.3 Remote operation and maintenance scheme

4.6 安全管理中心建設

構建工控案示范區統一管理平臺，對部署的所有安全設備進行統一管理、策略配置，解決安全設備難運維的問題，同時將工控系統告警信息集中展現，包括告警監控終端列表、告警類型統計、業務異常分布圖、攻擊行為分布、用戶行為分布圖、未處理告警信息實時監視統計等[6]。

5 結語

通過對某鋼鐵企業工控網絡安全體系全面診斷，分析存在問題，制定針對性的提升措施，完善工控網絡安全防護體系。以煉鋼廠工控網絡安全示范線建設為切入點，阻止勒索、蠕蟲等病毒、木馬、惡意程序在生產區域之間的傳播和擴散，防范違規接入設備對生產控制系統惡意操作、違規指令的下發，加強邊界安全管控，防范工控網絡安全風險，避免工控安全事件的發生，確保工控網絡的安全、穩定和可靠，煉鋼廠由于網絡安全事件導致的故障停機時間由平均0.6 小時/月降低為零。管理方式和技術經驗可廣泛應用于類似系統構架的鋼鐵企業，有助于提高鋼鐵企業工控網絡安全防護水平。