鋼鐵行業是我國的基礎性產業，更是國民經濟的支柱產業，鋼鐵工業控制系統主要包括現場設備控制級、區域自動化控制級、過程控制級、制造執行級、企業信息管理級等，各級協調完成原料供配、焦化、燒結、煉鐵、煉鋼、連鑄、軋制等一系列連續的控制任務，該系統一旦受到惡性攻擊、病毒感染，就會導致工控系統的控制組件和整個生產線被迫停止運轉，嚴重時造成人員傷亡和巨大的直接經濟損失，甚至會危及環境及國家安全。鋼鐵企業的信息化建設中存在著 “信息孤島”“安全隱患”等問題，MIS系統與DCS系統溝通不暢形成信息孤島，控制網絡的實時數據不能被合理利用，企業有限資源得不到充分利用，形成巨大浪費，但是管理信息系統（MIS）與DCS系統互聯互通，可能會從MIS系統導入DDoS攻擊，導致控制網絡的癱瘓，造成極為嚴重的后果和重大經濟損失。

1.1 項目背景

某鋼鐵股份有限公司為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》（國發〔2016〕28號），保障工業企業工業控制系統信息安全；參照工業和信息化部制定的《工業控制系統信息安全防護指南》的要求，并依托國家及行業監管機構與工控安全的相關政策和標準要求，結合生產需求，完善鋼鐵行業生產網絡信息安全技術防護體系、信息安全管理體系，提升鋼鐵行業的信息安全預警能力、信息安全保障能力、信息安全檢測能力、信息安全應急能力和信息安全恢復能力，亟需建立一套適用于某鋼鐵廠的工業網絡安全防護體系。

1.2 項目簡介

目前鋼鐵行業生產網絡抗風險能力較弱，安全防范工作難度較大，特別是近年來，由于恐怖分子和故意犯罪分子的威脅，國內外鋼鐵行業生產網絡安全事故時有發生，各國對此高度重視，紛紛采取各種安全防范措施，防止發生新的恐怖襲擊。我國鋼鐵行業生產網絡同樣面臨恐怖襲擊和故意犯罪事件的威脅，要應對這些威脅或將受到襲擊后的損失降到最小，必須進一步加強我國鋼鐵行業生產網絡安全防范建設。某鋼鐵工業以太網為實時控制網，負責控制器、操作員站和工程師站之間過程控制數據實時通訊，網絡上所有操作員站、數采機和PLC都采用以太網接口，網絡中遠距離傳輸介質為光纜，本地傳輸介質為網線（如PLC與操作站之間）。在冶煉工業自動化過程中，連鑄機結晶器、液面控制器、高爐控制系統、煉鋼智能控制系統、軋薄帶智能控制系統、高精度板厚控制器、SCADA系統以及DCS分散控制系統越來越廣泛地應用在冶煉行業，同時制造執行系統（MES）、現代集成制造系統（CIMS）、企業資源計劃系統（ERP）也被廣泛應用于企業管理過程中。

1.3 項目目標

工業設備高危漏洞、外國設備后門、高級持續性威脅（APT）、工業網絡病毒以及無線技術應用的風險是鋼鐵行業生產網絡安全現實存在的五大威脅。目前國內面對這些威脅缺乏相關的產品、技術、標準以及有效的解決方案，因此鋼鐵行業生產網絡工業控制系統威脅感知與智能防護技術研究勢在必行、刻不容緩。鋼鐵工業控制系統網絡威脅感知與智能防護需要從對鋼鐵行業生產網絡現有的各個層次系統部署狀況、網絡架構及主要安全問題進行分析，形成一套有自主知識產權的信息安全產品和國家標準，推動鋼鐵行業信息安全基礎建設，完善鋼鐵行業生產網絡信息安全技術防護體系、信息安全管理體系，提升鋼鐵行業的信息安全預警能力、信息安全保障能力、信息安全檢測能力、信息安全應急能力和信息安全恢復能力。同時通過項目研發成果和推廣應用，可以大幅提高鋼鐵行業的安全防護水平，推動國家自主的鋼鐵行業生產網絡工業控制系統標準體系的建設和規范，有利于提高我國國民經濟重要領域的信息安全防護能力，為國家整體信息安全環境奠基筑石。

2 項目實施

通過多層次的隔離防護措施、全面的監控手段、完善的行為審計措施、縱深的防御技術，實現對鋼鐵行業工控網絡整體安全防護，從而保障生產安全，建立健全企業安全基線，整體提升生產控制系統信息安全管理水平和企業核心競爭能力，滿足國家對關鍵基礎設施安全水平的要求，為國家關鍵基礎設施的信息安全防護提供有力支撐。要實現對鋼鐵工業網絡不同層級、不同區域的縱深防護，需要對工業網絡內部通信的各種數據采集協議和控制協議進行深度解析，對工控主機進行安全加固以及外設管理，阻止病毒木馬入侵，對工控網絡進行全網安全審計和威脅感知，并進行統一平臺管理。鋼鐵行業工控網絡整體安全防護架構如圖1所示。

圖1 鋼鐵行業工控網絡整體安全防護架構

安全防護思路如下：

2.1 設計原則

（1）安全性原則

產品設計方案要能夠為鋼鐵行業的信息安全提供 指導、建設方向，必須保證其工控信息資源受控、合法、安全地使用。

（2）可靠性原則

產品應在不影響鋼鐵行業工控系統功能和效率的前提下，做到穩定、可靠、不間斷地運行。

（3）可擴展性原則

安全產品必須滿足工控系統安全性不斷增長的需要。

（4）標準化原則

工控系統安全防護產品的安全規劃、安全建設、安全整改及建設的各個環節都必須符合國家關于信息安全的法律、法規和相關行業標準

（5）可管理性原則工控系統安全防護產品必須可管理，做到分布式安全布控、集中式安全管理。

（6）經濟適用原則鋼鐵行業工控系統安全防護產品方案的設計要在安全需求、安全風險和安全成本之間進行科學的平衡（比較和折中），使工控系統安全、經濟、適用、性價比合理。

（7）統籌規劃、分步實施的原則鋼鐵行業工控系統安全防護產品的現場實施將做好統籌規劃工作，制訂總體方案，貫徹邊開發、邊服務的分步實施方針，避免因防護產品不能有效發揮作用而影響效益。

（8）嚴格監督的原則鋼鐵行業工控系統安全防護方案的具體實施，將在信息部的嚴格監督下開展，可對產品設計方案進行嚴格的論證、把關和監督，以確保方案有計劃、按步驟地順利進行。

2.2 防護體系

（1）區域隔離

運用工業控制防火墻對不同的網絡域進行隔離，防護各域的網絡邊界。阻止來自業務辦公網絡的攻擊、病毒、木馬等感染入侵其它網絡域。抑制在某一個網絡域中的病毒木馬向其它網絡傳播擴散，縮小安全問題影響范圍。

· 通過白名單策略和協議分析實現工控網絡之間、工控網絡與管理信息網絡之間的邊界訪問控制；

· 為工控網絡安全接入管理信息網絡提供邏輯安全隔離手段，實現通訊的單向傳輸；

· 快速識別網絡上的非法操作、外部攻擊和異常事件，實時告警和阻斷非法數據包。

（2）控制/數據業務流及協議識別確定網絡域之間，工作組之間，上位機、下位機、服務器、客戶端、操作站、監控站之間的控制及數據業務流的傳輸關系、應用的協議等。利用終端安全衛士軟件收集統計工作站、服務器等終端設備上運行的工控軟件，針對每臺終端配置軟件白名單，保證工作站、服務器的軟件安全穩定運行。對于白名單以外的軟件、進程、通信等阻止運行。對于白名單內軟件的更新、修改、移動、刪除等操作進行審計或控制。

· 創建操作員站終端計算機的可信運行環境，有效抵御病毒、木馬和非法主機入侵；

· 通過進程與應用程序白名單管理、移動存儲介質注冊與使用管理、計算外設管理，有效防范用戶違規操作和誤操作；

· 實現主機非法入侵和違規操作的監測、報警與審計記錄。

（3）工控網絡安全審計

在各網絡域邊界處部署智能工控網絡安全審計系統，進行威脅感知及故障監測，發現工控網絡中的異常行為、攻擊入侵行為，定位被攻擊點及故障點。加強工控網絡流量監測與分析能力，有效提升事件發現、安全處置和事件回溯等安全運維能力水平。可集中呈現整個工控網絡的安全異常、安全威脅態勢、病毒爆發趨勢、設備故障情況等。

· 工控網絡資產管理，設備運行狀態監測，異常行為監測和工控協議細粒度審計；

· 基于機器學習和深度協議分析技術，自動收集網絡數據，識別行為并提取特征，生成白名單規則；

· 內置安全黑名單，有效識別惡意入侵和安全威脅；

· 支持字符和圖形操作兩種管理方式，完整記錄和回放操作人員的運維操作會話；行為進行現場檢查。 · 實時切入用戶運維操作會話，對用戶運維操作

（4）工控主機安全防護

在服務器與操作員站、工程師站上部署終端安全衛士，通過其白名單機制為終端計算機創建了一個安全的運行環境，非法進程和應用程序無法通過安全檢驗，確保將病毒、木馬以及惡意軟件阻擋在終端運行環境之外。時對USB端口、藍牙、無線接口進行全面管控，U盤等未授權設備無法接入終端計算機，有效防范通過USB接口發起的高級攻擊。

· 對操作員站運行的進程和應用程序設置白名單，只有白名單中的進程和應用程序才允許運行；

· 對移動存儲介質進行全生命周期管理，跟蹤移動存儲介質的行為，實現對移動存儲的可信管理；

· 檢測防病毒軟件安裝狀態、病毒庫版本和防病毒軟件運行狀態，全面保證內網計算機不受病毒侵擾；

· 安全事件及用戶行為審計，如文件操作、進程活動、系統日志、系統賬戶變更、信息泄密、資源濫用。

（5）賬號權限管控

在生產內網交換機旁路部署工控運維堡壘機，接管服務器、工程師站等設備的登錄，運維人員、第三方人員統一在堡壘機上操作。通過堡壘機進行權限分配、操作審計、合規性管理，對風險行為進行告警。通過堡壘機的部署可對內網進行集中管理、劃分權重等級和訪問控制權限。 · 對所有可遠程管理的服務器、網絡設備的賬號以及所有使用堡壘主機開展運維管理活動的自然人的 賬號實行集中管理；資源進行關聯授權； · 提供統一的管理界面，對用戶、角色、行為、號、操作命令、自定義命令的強訪問控制； · 提供基于訪問時間、訪問地點、資源、系統賬

· 系統支持靜態口令認證、動態口令認證、USBKEY、數字證書、動態令牌、生物特征等多種組合認 證方式，并且傳輸過程加密；

· 提供實時的運維會話監控功能，隨時可切入用戶操作會話當中進行運維過程監視和指導，對違規操作實時阻斷。

（6）統一監控管理

將所有的工控安全防護設備（網關/防火墻、主機安全加固軟件、安全審計系統等）接入統一的工控網絡安全管理平臺，實時監控設備狀態和工控網絡安全態勢，幫助管理人員進行工控安全評估、防護效果監測、工作情況總結、攻擊行為及違規操作溯源等，并且支持分級分權管理。

· 建立體系化的等級保護工作管理、信息通報工作管理機制和相應的工作平臺，促進安全管理工作落地；

· 實現工控網絡安全集中管理、事件監測和預警；

· 工控安全事件的關聯分析和集中展現。

（8）工控安全咨詢評估服務

通過工控安全咨詢評估服務，對生產系統的網絡安全、主機安全、應用安全，以及管理方面的安全風險進行全面評估，幫助了解現有工控系統安全的不足，并針對進行安全建設之后的安全狀況進行再評估，使得整體安全能夠達到較高水平。同時能夠滿足國家相關主管部門的安全要求。工控安全咨詢評估服務包括：

· 技術安全風險評估：網絡安全評估、主機安全評估、應用安全評估、PLC/DCS安全評估、數據庫安全評估、無線安全評估；

· 管理風險評估：網絡架構審計與優化、信息業務流程安全評估、安全策略流程審計與優化、公司安全規章建議、企業人員信息安全培訓；

· 政策法規輔導咨詢：信息安全管理體系

（ISMS）認證輔導、國家工控安全法規培訓、行業信息安全法規培訓與咨詢；

· 安全支持服務：業務系統安全攻防演練、安全預警服務、系統安全加固、事件應急響應。

（9）管理制度編寫

針對鋼鐵行業現有規章管理制度，并結合國家工控網絡信息安全相關標準，配合技術在生產管理方面發揮更大的作用，有效促進生產線的順利進行。管理制度的編寫從如下幾個方面進行：

· 從國家政策法規、工業控制系統相關標準出發，制定在機房等物理方面的管理制度； · 根據設備通用性，制定設備運維方面的管理規章制度；

· 結合實際情況，分析來自多方面的因素，制定針對核心業務系統的使用規章制度。

3 案例亮點

（1）建立業務安全通信基線模型，保證只有信任的數據在系統網絡內傳輸； （2）通過對網絡邊界防護、網絡異常流量監測、主機安全防護實現工業網絡的三重防護；

（3）建立針對工業控制系統網絡的黑名單與白名單機制，針對網絡上危險的數據包可根據級別進行報警、阻斷等操作；

（4）通過“白名單+自學習”技術對工業互聯網進行安全集中管理和縱深防御，解決來自工業控制網絡內、外部的攻擊，病毒感染，非法訪問等問題；

（5）利用物理隔離網閘超強的抗攻擊和自身防護能力，在內外網之間筑起了一道無法逾越的屏障；

（6）通過部署安全統一管理平臺實現對主機、網絡設備、安全設備等集中運維管理、日志審計分析和安全策略配置；

（7）對工業控制系統網絡的接入處進行工控協議的深度包解析；求，與工業控制系統的兼容性好；

（8）滿足防護指南和智能制造行業安全技術要

（9）增強了企業自身信息安全防護能力，降低生產安全的風險；

（10）完善了工控安全防護體系，提升了企業的精益化管理水平。