摘要:对分散在钢铁行业物理隔离的各生产流程中的工业控制系统进行数据采集,物理单向上传至生产调度系统,对工业生产网络进行网络安全防护建设的同时,满足企业生产调度系统对生产业务调度、监控的需求,抵御两网间相互的非法入侵与攻击。

关键词:信息安全;工控安全;数据采集;物理单向;单向上传;生产调度系统;非法入侵

01 项目背景

本文主要介绍宣化钢铁企业的生产调度系统网络安全防护建设,在钢铁企业的实际网络环境中,支撑生产调度业务的网络系统主要包含:工业控制系统网络与生产管理网络。工业控制系统网络主要负责企业实际的生产业务,生产管理网络主要负责生产调度级决策。

1.1 工业控制系统网络

分散在物理隔离的各生产流程中的34套工业控制系统,大部分为DCS控制系统,部分控制系统采用西门子PLC设备。现场控制层:主要包括各类DCS控制器及PLC控制器,用于对各现场设备进行控制;过程监控层:主要包括过程控制服务器与HMI/SCADA系统功能单元,用于对整个生产过程数据进行采集和监控,工艺技术人员通过操作员站对现场控制层进行工艺参数的调整和优化,维护正常的生产过程。

1.2 生产管理网络

主要通过生产综合调度系统、能源管理系统(EMS)等生产管理系统,用于为企业提供包括生产过程数据管理、计划排产管理、生产调度管理、库存管理、质量管理、人力资源管理、成本管理、物流管理等生产管理服务。

生产管理网络通过部署2台冗余数采服务器实现对生产线的实时生产信息的采集,上传到生产综合调度系统等系统的实时数据库及业务数据库中,为生产决策提供数据支撑。通过对生产综合调度系统的建设,可快速全面地得到企业绩效目标与实际生产指标的差异,监控生产运动动态情况及时发现异常并做出正确决策,实现企业绩效持续提升。

02 项目目标

依照本试点项目的设计,可使宣化钢铁工控系统实现对黑客、病毒、恶意代码等高风险抵御,阻止内部/外部人员的非法访问,工控系统中的相关数据采集做到纯物理单向上传到生产管理网络的生产综合调度系统中,零数据包返回。

本试点项目的建设目标和主要任务如下:

(1)抵御互联网/办公网发起的恶意攻击和破坏;

(2)防止勒索病毒、木马等恶意程序对工控关键系统造成不利影响和破坏;

(3)对工控关键系统主机进行USB接口管控、系统加固、病毒预防等;

(4)对数采服务器及生产综合调度系统等生产管理系统的运维人员实时管控与审计;

(5)实现数采链路间的物理隔离与访问控制;

(6)对生产管理网络进行深度的审计及行为管控;

(7)对过程监控层内由DCS、SCADA系统组成的安全域做域间安全隔离与访问控制;

(8)生产设备资产结合安全设备防护日志等信息汇聚至统一的安全管理平台,以网络拓扑、事件预警的方式做微态势感知。

03 方案设计思路

本方案主要实现宣化钢铁企业工控系统单向数据采集上传到生产管理网络生产综合调度系统的功能,同时又要做到各生产控制系统安全域间的安全隔离与访问控制,因此推荐安盟华御“工业数采单向光闸+工业防火墙”方案,以实现安全防护功能。

(1)工业数采单向光闸:实现关键生产数据单向数据采集上传到生产管理层生产综合调度系统(光信号,无反馈)。

(2)工业防火墙:实现各生产控制系统安全域间的安全隔离与信息交换访问控制。

04 整体解决方案

在宣化钢铁企业实际应用环境中,控制网络都是“敞开的”,比如与生产综合调度与办公网OA/ERP的业务交互,在各控制系统安全域边界及层级边界缺乏有效单向控制与隔离、安全审计、运维防护等技术和机制。

在本项目中的关键技术使用安盟华御工业数采单向光闸将生产控制区中的各类数据采集汇总,单向导出至外网侧,可对外提供OPC、Modbus TCP等通用数据服务,同时可对接阿里、华为等各类云平台。数据从工控网向管理网的单向传输,规避了威胁信息通过管理网进入工控网的风险。

本项目建设需要对3条数采链路及1条办公网络系统的链路进行防护,做到生产系统的高安全隔离。辅以工业防火墙设备、工业审计系统、主机卫士及网络安全管理平台,对工控生产网络进行全方位的网络安全防护,保护企业生产网络的安全。网络安全设计图如图1所示。

网络安全设计图

以宣化钢铁企业实际业务需求为基础,综合各类安全产品特性,以生产安全为目的,通过最小经济投入,合理配备少量安全产品,实现最大化的安全收益。

(1)使用工业数采单向光闸实现单向数据采集与上传。根据数采链路数量以及工业数采单向光闸产品的物理接口数量,兼顾接口冗余备份功能,可配备12台安盟华御工业数采单向光闸(每套工业数采单向光闸共5个通信接口,启用其中3个通信接口作为采集接口,留1个接口备用、1个接口管理使用),如图2所示。

工业数采单向光闸数采链路

(2)使用工业防火墙防护数据采集链路,同时对安全域间的信息交换做安全策略配置,并做到采集链路间的隔离。每3条数采链路汇聚到1台工业防火墙上,每条链路使用独立网桥,互不干涉。34条数采链路,配备12台工业防火墙(通过接口扩展,每台工业防火墙最大支持10个通信接口,提供6个接口作为通信口,做3进3出的3条链路防护,留2进2出作为备份。每台工业防火墙对应1台工业数采单向光闸),如图3所示。

工业防火墙防护数据采集链路

05 项目难点与创新点

(1)工业数据收集层面

在宣化钢铁企业实际的34条数采链路中,包含了多种类型的工业自动化系统,厂家也存在差异,因此数据采集工作需要一种具备多种采集协议的平台设备。安盟华御工业数采单向光闸的内网单元数采模块支持多类工业协议,如常见的DCS系统、PLC控制器、智能仪表、数控机床类设备等,具备高速集成各类工业控制系统的能力。

(2)边界安全隔离层面

随着工业自动化及智能制造技术的大力推进,企业内的生产管理网络与生产控制网络的边界变得不再清晰,存在着业务信息的上传和数据的交叉,而两个网络中都存在系统升级、数据备份等,移动介质的不规范使用给两个网络都带来了安全威胁。安盟华御数采单向光闸利用SFP光模块中发光器和收光器分离的技术特点,设备既实现了工控网数据的单向导出,又实现了办公网无任何反馈信号至工控网,将两网络间的安全边界做到了物理隔离。

(3)工业协议自身漏洞层面

由于工控发展史及工控系统限制性等,工控系统SCADA软件、PLC控制系统、工业通信协议等在设计过程中主要考虑可用性、实时性,对安全性的考虑不足,存在着被入侵和攻击的可能。而生产管理网络与生产控制多使用工业协议进行通讯,安全性不能得到保证。安盟华御数采单向光闸对生产控制系统不同的工业协议类型进行数据采集,以统一的工业协议转发给采集服务器,单向上传过程中使用安盟华御专有协议进行通讯,物理隔离的同时也做到协议隔离,形成安全边界的双重安全防护。

(4)安全设备自身安全层面

在数据采集工作进行时一般采用建立二级中心的方式,使用双网卡数采机进行数据采集转发,使用的系统存在着不打补丁、不做备份、漏洞遍布的情况,很难保证其自身安全。安盟华御工业数采单向光闸采用SUOS自主操作系统(类Linux操作系统),经过专业系统加固,具备工控行业里高可靠、高安全的特性,是安全边界的可靠保障。

06 项目价值

(1)无缝兼容

所选工业数采单向光闸产品数采模块支持多类工业协议,能够满足与宣化钢铁企业工控系统无缝对接,又能够提升整体计算环境的性能和稳定性,实现数据采集与物理单向上传,安全量身定做。

(2)物理单向隔离

利用SFP光模块中发光器和收光器分离的技术特点,设备既实现了工控网数据的单向导出,又实现办公网无任何反馈信号至工控网,为工控网提供绝对安全的运行环境。能够阻止各种已知与未知的安全风险,防止病毒以及相关变种通过数据采集链路传播到工控生产系统中。

(3)协议归一

工业数采单向光闸可对生产控制系统不同的工业协议类型进行数据采集,以统一的工业协议转发给采集服务器,如OPC DA,Modbus TCP等。OPC DA协议转发功能具备分离式部署能力,既可保证工业数采单向光闸外网单元与数采服务器间协议隔离,又可方便用户省去传统OPC配置DCOM的繁琐操作,减轻工作量。

(4)设备自身安全

工业数采单向光闸采用SUOS自主操作系统(类Linux操作系统),设备规避了微软Windows操作系统多漏洞风险,并可屏蔽常规桌面系统的恶意代码,自身安全性高。

(5)可视化管控

实现对生产网业务系统操作的管理和审计,对操作人员做到“事前可知、事中可控、事后可查”的运维操作全过程管理。

(6)异常操作审计与攻击预警

快速识别出数采层中的相关非法操作、异常事件、外部攻击等,并实时报警。

(7)工控工作站防护

能实时防止用户的违规和误操作、阻止不明程序,授权移动存储介质访问权限等,有效提高工控主机的深度“免疫”能力。

(8)综合审计

可完成数采层设备实时信息收集,实时监测终端设备的通信流量和安全事件。进行不间断安全事件关联分析,通过强大的一体化安全管控功能界面实现多视角、多层次的管理与安全可视化。

07 技术推广

随着两化融合、工业互联网等信息化建设的步伐越来越快,各企业中的自动化网络系统不再是信息孤岛,网络间的业务交换需求也越来越多,安全问题因此日益增多,生产网络和信息安全问题成为威胁工业企业安全的重大隐患。随着对工控安全问题的不断认识和了解,尤其是关键基础设备的安全防护,国家已颁布和制定了相应的制度和法规,信息安全建设提到一定的高度,建设的重点也从开始的自动化应用、技术研发转移到现在的安全建设以及全面的安全监测,目前安盟华御工业数采单向光闸设备已在制造、能源、水利、军事等行业大力推广。

作者简介

代明祥(1985-),男,河北廊坊人,高级工程师,现就职于北京安盟信息技术股份有限公司,从事工控网络安全方面的工作,熟悉路由、交换、安全架构。专研工控安全方案设计,如钢铁、煤矿、长输管线等行业网络安全方案的设计,电力系统如110kV变电站电力监控系统安全防护方案设计等。

程顺(1983-),男,天津河东人,高级工程师,现就职于北京安盟信息技术股份有限公司。拥有14年信息安全与工控安全工作经验,国家注册信息安全专业人员(CISP),2018~2019年参与国家能源集团《煤化工工控安全防护规范》《智慧矿山工控安全防护规范》等标准编写;发表论文《关于军工智联融网互联与保密安全设计与实现》、《关于泛在电力物联网智能变电站高安全隔离与安全接入设计》。

摘自《自动化博览》2021年1月刊暨《工业控制系统信息安全专刊(第七辑)》

声明:本文来自工业安全产业联盟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。