工控网络安全设备在冶金行业 (炼钢) 高炉的应用

摘要：文章分析了冶金行业（炼钢）高炉工业控制系统所面临的网络安全威胁以及用户所切实关注的安全问题，并在现有安全技术和解决方案的基础上，提出了适用于冶金行业（炼钢）高炉防御体系。

关键词：工业控制系统；工控网络安全；安全防护体系

1 前言

工业控制系统在发展之初是相对封闭和独立的，传统工业控制系统安全防护往往采用物理隔离等方式。随着通信信息技术的发展和深入应用，工业控制系统正趋于使用通用协议（Modbus、OPC）、通用操作、通用软硬件，以太网、无线设备的使用无处不在。在冶金行业（炼钢）整个工业控制系统可与远程端的数据采集网、生产管理网和办公网实现信息互联和数据交互。网络蠕虫、永恒之蓝、震网（Stuxnet）等病毒的攻击，工控系统漏洞的利用，互联网、可移动存储介质、设备未经授权的操作，大量密集无效数据的传输及人为因素等使得网络安全问题直接延伸到工业控制系统，导致工业控制系统固有漏洞和攻击面不断增加，易引发工业生产的紧急停车、设备故障，或影响工控系统组件的可靠性和灵敏度，由此产生的安全事件或事故也日趋增多，给传统工业控制系统防护体系带来严峻挑战，给工业控制系统网络信息安全、公司生产经营稳顺、健康持续发展等造成不可估量的影响。

2 冶金行业（炼钢）高炉工业控制系统安全现状

大多数冶金行业（炼钢）高炉工业控制系统安全还是以管理为主的被动防御，管理体系和管理机制不够完善，且在技术上缺乏主动感知防御的控制类安全产品，冶金行业（炼钢）高炉的日常生产严重依赖于国外公司的工业控制系统和设备，这些都表明炼钢高炉工业控制系统安全形势十分严峻。

2.1 冶金行业（炼钢）高炉工控网络和控制系统情况

炼钢过程的高炉是自动化程度和生产过程自动化要求最高的场景和关键的环节，生产全过程均采用自动化技术进行严格的控制和管理，具有大型化、连续化、自动化、高速化等特点。因此高炉的工业控制系统网络的安全平稳、安全运行是保证安全生产的前提。当前高炉自动化网络结构层次如下：

图1 高炉自动化网络结构图

其中L1、L2、L3属于生产环境的工业控制网络（以下简称：工控网络）通常采用同一网段的以太网通讯连接，任何连接到网络内的工控终端（例如：PC、工程师站等）都能访问网络中的PLC或RTU，并对其进行操作、组态修改和发布。

通过对多家大型钢铁企业高炉工业控制系统研究，发现钢铁高炉工业控制系统主要设备包括可逻辑编程控制器（PLC）、组态软件&数据采集与监控系统（SCADA）软件、制造执行系统（MES）等，其中大量使用诸如西门子等国外主流工控厂商工控设备。

2.2 冶金行业（钢铁）高炉工业控制系统网络安全现状

根据调研发现当前大多数钢铁高炉工控网络无任何隔离防护设备，同时炼钢高炉高度自动化和智能化，给炼钢高炉的工控网络增加了安全隐患，主要集中在以下几个方面：

（1）外部攻击

炼钢高炉大量的采用IT技术，其使用的工业控制系统日益进入黑客的研究范围。随着黑客的攻击技术不断进步，攻击的手段日趋多样，对于他们来说，入侵到某个系统，实施恶意破坏已经不再是问题。2014年，黑客入侵德国钢铁厂办公网络，利用该网络进入到钢铁厂的生产网络。对炼钢高炉工控系统的控制组件进行攻击，迫使整个生产线停止运转，从而给钢厂带来了重大破坏，以及近几年的震网、duqu、火焰、havex等病毒证明工控系统的网络威胁日趋严峻。

（2）内部威胁的加剧

据中国信息安全测评中心的调查结果显示，网络安全的主要威胁为内部人员有意或无意的破坏，而不是来自外部黑客攻击或病毒入侵。炼钢高炉集成、互联的各自动化系统普遍缺乏网络检测和防护机制，上位机与下位机通讯缺乏必要的身份鉴别和认证机制，只要能够从协议层面跟下位机建立连接，就可以对下位机进行修改，普遍缺乏对系统最高权限的限制，高权限账号往往具有掌控系统和数据的能力，因此，任意一种非法操作都会导致系统瘫痪。缺乏有效的审计和事后追溯的工具，也使责任划分和威胁追踪变得更加困难。

（3）应用软件威胁

由外部提供的授权应用软件无法保证提供完整的保护功能，因此后门、漏洞等问题都有可能出现。

（4）第三方维护人员的威胁

因为发展战略、经营规划、资源投入等原因，会将非核心维护业务外包，维护人员的素质和能力不可控。如何有效地对运维人员的操作进行授权和控制，执行规范化的严格审计是炼铁高炉工业控系统安全运行面临的一个关键问题。

（5）多种病毒的泛滥

病毒可通过移动存储设备（USB、硬盘等）、外来运维的电脑等进入工控网络，当病毒感染一个设备就有可能利用高炉工控网络进行大面积复制和扩散。这种大规模的传播与复制，会极大地消耗网络资源，造成网络拥塞、网络风暴甚至网络瘫痪，成为影响工控网络安全的主要因素之一。

（6）通信协议的安全性考虑不足

专用的工控通信协议或规约在设计之初一般只考虑通信的实时性和可用性，很少或根本没有考虑安全性问题，例如缺乏强度足够的认证、加密或授权措施等，特别是工控系统中的无线通信协议，更容易受到中间人的窃听和欺骗性攻击。为保证数据传输的实时性，Modbus/TCP、OPC、Profinet、EtherNet/IP等工控协议多采用明文传输，易于被劫持和修改。

3 冶金行业（炼钢）高炉工业控制系统安全方案的实现

对高炉工业控制系统的检测和防护是工控安全的防护核心，也是构建整个工业控制系统防护体系的难点，对安全设备的性能和适应性要求极高。如果不从控制系统开始自下而上建立完整的检测和防护体系，那么所谓工控系统安全将会形同虚设，犹如空中楼阁。因此我们提倡“自下而上”、“分区分域”、“整体保护”、“积极预防”、“动态管理”的安全防护策略，建立设备、行为以及软件白名单等控制机制，实现对已知、未知威胁以及全局、局部安全态势的感知，具备多种安全防护技术联动和主动防御的能力，形成事前预警、事中组织和事后追溯的行为安全防护体系，其拓扑图如图2所示：

图2 某公司高炉工控网络安全解决方案图

在L1层的工业控制系统PLC部署前控制器边界防护模块，实现横向不同工艺段不同功能的工控终端（例如：工程师站、操作站等）的访问限制或防护，纵向抑制来自其它工艺段的访问或病毒的攻击。同时工控环网中部署PLC完整性检测系统，一旦在正常生产中的PLC组态程序遭遇非法修改，能够及时告警，在必要的时刻恢复被修改的程序，以尽快恢复生产。

在L2层的汇聚交换机部署工控审计系统和入侵检测系统，对L1和L2交互的数据进行记录和分析，通过工控审计系统实现网络数据传输可视化，基于对工业控制协议（如OPC、SiemensS7等）的通信报文进行深度解析，对工业协议的网络攻击、用户违规操作、非法设备接入等进行实时监测并报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录，对工业控制系统的安全事故调查提供追溯依据。在工业入侵检测设备中预置工控和网络病毒、漏洞特征库实现入侵行为的实时检测和预警。同时在工控终端（例如：工程师站、操作员站）部署基于白名单的主机安全卫士，限制非法移动设备的接入，限制非法程序的安装、运行，对主机的行为进行严格的审计。

在L3和L4层应根据业务的特点合理部署网络安全隔离设备（例如：工业防火墙、网闸）实现不同横向的有效隔离和数据过滤，做到自下而上层级防控。同时部署工控安全管理平台实现对所有安全设备的集中管控，对安全数据的集中分析，最终达到自下而上的整体防护。

4 结束语

目前，该工控安全防护体系在某公司钢铁高炉场景平稳运行，也为客户安全生产强有力的保障。纵观冶金行业，由于近些年国内外的安全教训，国家的大力支持，我国冶金行业工控安全防护意识正逐步提升，工控防护方式和防护策略日趋成熟和标准化。冶金行业的高自动化、智能化的工厂作为我国关键基础设施的重要组成部分，正朝着更高效、更安全的运行。

本文摘自《自动化博览》2020年2月刊

声明：本文来自控制网，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。