黃亮

隨著信息技術(shù)的發(fā)展和各生產(chǎn)應(yīng)用系統(tǒng)的廣泛應(yīng)用，烏石化公司對(duì)信息網(wǎng)絡(luò)系統(tǒng)的需求和依賴程度日益增加。如公司MES生產(chǎn)運(yùn)行系統(tǒng)、汽車裝油臺(tái)項(xiàng)目的投用及運(yùn)行，為公司生產(chǎn)調(diào)度、數(shù)據(jù)采集、過程控制、油品銷售搭建了“管控一體化”的生產(chǎn)運(yùn)行平臺(tái)。生產(chǎn)網(wǎng)絡(luò)同辦公網(wǎng)絡(luò)的關(guān)系也變得尤為緊密、不可分割，然而與此同時(shí)來自辦公網(wǎng)及英特網(wǎng)對(duì)生產(chǎn)網(wǎng)的安全威脅也變得越來越嚴(yán)重緊迫。分析影響網(wǎng)絡(luò)安全的威脅因素，提出保障生產(chǎn)、辦公網(wǎng)絡(luò)安全的對(duì)策迫在眉睫。在實(shí)際網(wǎng)絡(luò)規(guī)劃應(yīng)用過程中，結(jié)合具體網(wǎng)絡(luò)環(huán)境，采用多種手段，綜合考慮、制定公司生產(chǎn)網(wǎng)與辦公網(wǎng)的網(wǎng)絡(luò)安全策略規(guī)劃及實(shí)施。

一、網(wǎng)絡(luò)安全策略整體規(guī)劃

（一）對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)的網(wǎng)絡(luò)架構(gòu)進(jìn)行規(guī)劃設(shè)計(jì)

在進(jìn)行公司生產(chǎn)網(wǎng)與辦公網(wǎng)的網(wǎng)絡(luò)安全策略規(guī)劃及實(shí)施之時(shí)，梳理兩個(gè)網(wǎng)絡(luò)的訪問需求，主要為以下幾個(gè)方面：

1.公司辦公網(wǎng)絡(luò)從邏輯上包含了核心區(qū)、辦公區(qū)以及服務(wù)器區(qū)。

2.公司生產(chǎn)網(wǎng)絡(luò)主要包括MES生產(chǎn)運(yùn)行系統(tǒng)和汽車裝油臺(tái)應(yīng)用系統(tǒng)及其附屬的工控及儀表終端，需要訪問辦公網(wǎng)內(nèi)服務(wù)器區(qū)相應(yīng)的服務(wù)器。

3.公司辦公網(wǎng)側(cè)終端需訪問MES生產(chǎn)運(yùn)行系統(tǒng)和汽車裝油臺(tái)應(yīng)用系統(tǒng)。

4.生產(chǎn)網(wǎng)汽車裝油臺(tái)系統(tǒng)內(nèi)的PLC上位機(jī)（工業(yè)控制計(jì)算機(jī)），訪問辦公網(wǎng)的裝車臺(tái)服務(wù)器的同時(shí)需要與現(xiàn)場(chǎng)儀表控制系統(tǒng)。

在公司龐大且相互交織的網(wǎng)絡(luò)中，如果沒有統(tǒng)籌的網(wǎng)絡(luò)安全策略部署，必然會(huì)帶來諸多負(fù)面、惡劣的后果，運(yùn)維管理難度大，網(wǎng)絡(luò)安全性無法保證造成網(wǎng)絡(luò)攻擊、信息泄露甚至裝置停車、生產(chǎn)事故。根據(jù)辦公網(wǎng)與生產(chǎn)網(wǎng)的網(wǎng)絡(luò)特點(diǎn)及訪問需求，烏石化辦公網(wǎng)整體架構(gòu)設(shè)計(jì)如圖1所示，公司核心交換機(jī)分別連接辦公網(wǎng)、生產(chǎn)網(wǎng)、視頻監(jiān)控網(wǎng)、各類應(yīng)用服務(wù)器，同時(shí)通過核心路由器連接至集團(tuán)公司廣域網(wǎng)。生產(chǎn)網(wǎng)通過防火墻連接辦公網(wǎng)和服務(wù)器區(qū)。

（二）生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)的防火墻安全接入規(guī)劃

生產(chǎn)網(wǎng)絡(luò)作為相對(duì)獨(dú)立封閉的網(wǎng)絡(luò)，為防護(hù)外界信息網(wǎng)絡(luò)對(duì)內(nèi)部的安全入侵，可通過物理安全設(shè)備分置，使生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)在邏輯上得以分割。基于防火墻的解決方案，適用對(duì)于辦公網(wǎng)和控制網(wǎng)的隔離。辦公網(wǎng)中存在對(duì)數(shù)據(jù)應(yīng)用需求，防火墻需要授權(quán)這部分?jǐn)?shù)據(jù)與控制網(wǎng)絡(luò)中的控制設(shè)備通信，則惡意不正確配置的主機(jī)發(fā)送的數(shù)據(jù)包將會(huì)被轉(zhuǎn)發(fā)到各別數(shù)據(jù)控制終端上。為了構(gòu)建隔離區(qū)，防火墻至少需要提供2個(gè)接口。一個(gè)接口連接辦公網(wǎng)，一個(gè)接口連接生產(chǎn)網(wǎng)。（如圖1）由于辦公網(wǎng)和生產(chǎn)網(wǎng)之間不再直接通信，并規(guī)定各區(qū)之間通信的規(guī)則。通過制定良好的規(guī)則，在控制網(wǎng)絡(luò)與其他網(wǎng)絡(luò)間明確細(xì)分的措施，確保了辦公網(wǎng)和生產(chǎn)網(wǎng)絡(luò)間沒用直接的通信，保證了工控生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全。

二、安全策略實(shí)施

在目前的技術(shù)條件下，以物理隔離為核心構(gòu)建邊界隔離是一種安全可靠的解決方案，結(jié)合高強(qiáng)度的網(wǎng)絡(luò)協(xié)議分析和安全防護(hù)策略的控制下，共同構(gòu)建一個(gè)在網(wǎng)絡(luò)邊界處隔離網(wǎng)絡(luò)已知和未知攻擊行為的高網(wǎng)絡(luò)安全設(shè)備。由此在生產(chǎn)網(wǎng)和辦公網(wǎng)絡(luò)間設(shè)置防火墻，進(jìn)行雙網(wǎng)間的隔離，安全策略的配置防護(hù)，實(shí)現(xiàn)目標(biāo)地址相互訪問，從而滿足辦公網(wǎng)、生產(chǎn)網(wǎng)整體安全需求。

（一）對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)的匯聚交換機(jī)、接入交換機(jī)、終端等進(jìn)行業(yè)務(wù)應(yīng)用配置

1.首先對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)匯聚交換機(jī)、接入交換機(jī)、終端的IP地址段進(jìn)行分配。

2.確定生產(chǎn)網(wǎng)和辦公網(wǎng)匯聚交換機(jī)、接入交換機(jī)所使用的vlan，、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)。

3.確定生產(chǎn)網(wǎng)和辦公網(wǎng)匯聚交換機(jī)、接入交換機(jī)、終端之間的連接方式。生產(chǎn)網(wǎng)與辦公網(wǎng)匯聚交換機(jī)分別與辦公網(wǎng)核心交換機(jī)與生產(chǎn)網(wǎng)核心交換機(jī)進(jìn)行連接，通過OSPF動(dòng)態(tài)路由協(xié)議進(jìn)行三層架構(gòu)連接。辦公網(wǎng)匯聚交換機(jī)與接入層交換機(jī)采取二層連接，對(duì)應(yīng)接口采用trunk連接模式。最終實(shí)現(xiàn)生產(chǎn)網(wǎng)、辦公網(wǎng)整體互聯(lián)。

（二）對(duì)防火墻進(jìn)行安全策略的配置

僅有硬件是無法動(dòng)態(tài)進(jìn)行雙網(wǎng)的安全防護(hù)的，那么防火墻策略配置則是實(shí)現(xiàn)安全功能的重要環(huán)節(jié)。當(dāng)數(shù)據(jù)在兩個(gè)安全區(qū)域之間流動(dòng)時(shí)，域間防火墻策略實(shí)現(xiàn)對(duì)IP報(bào)文的過濾（如圖2）。對(duì)于需要轉(zhuǎn)發(fā)的報(bào)文，USG5300先獲取報(bào)文頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號(hào)、報(bào)文的源地址、目的地址、源端口號(hào)和目的端口號(hào)等，然后和設(shè)定的域間防火墻策略進(jìn)行匹配，根據(jù)設(shè)定的動(dòng)作允許或拒絕對(duì)報(bào)文的轉(zhuǎn)發(fā)。

我們?cè)谏a(chǎn)網(wǎng)和辦公網(wǎng)的實(shí)際安全訪問策略實(shí)施前，梳理了雙網(wǎng)間的訪問需求。地址規(guī)劃、接口分配以及身份認(rèn)證是防火墻最為基本的安全需求。經(jīng)常采用的用戶名/口令方式已經(jīng)被證明為弱認(rèn)證方式，存在明顯的安全隱患，非法分子可利用簡(jiǎn)單的黑客工具竊取登錄者的用戶名和口令，假冒合法身份進(jìn)入系統(tǒng)。因此防火墻也需要完善的身份認(rèn)證體系，實(shí)現(xiàn)強(qiáng)身份認(rèn)證機(jī)制，保障系統(tǒng)安全可靠，配置實(shí)施內(nèi)容如下：

1.定義信任區(qū)域和非信任區(qū)域的接口和管理接口

對(duì)防火墻的接口地址和互聯(lián)地址進(jìn)行定義，規(guī)劃防火墻的管理接口，配置管理地址；定義接辦公網(wǎng)核心交換接口和生產(chǎn)網(wǎng)核心交換機(jī)接口（如圖3）。

2.創(chuàng)建生產(chǎn)網(wǎng)和辦公網(wǎng)的地址集

在防火墻的安全策略中引用生產(chǎn)網(wǎng)及辦公網(wǎng)各自的IP地址集，可將該防火墻策略應(yīng)用于匹配生產(chǎn)網(wǎng)及辦公網(wǎng)特定源、目的IP地址的報(bào)文。

3.配置策略會(huì)話流量統(tǒng)計(jì)

在防火墻策略上開啟策略會(huì)話流量統(tǒng)計(jì)，將對(duì)匹配該防火墻策略的會(huì)話信息進(jìn)行統(tǒng)計(jì)，如入安全區(qū)域和出安全區(qū)域、會(huì)話所匹配的策略ID、會(huì)話的源/目的IP地址，限定了生產(chǎn)網(wǎng)與辦公網(wǎng)間特定的IP地址段訪問策略。

4.安全遠(yuǎn)程控制路由

在配置以下兩條靜態(tài)路由條目情況下，僅辦公網(wǎng)內(nèi)信息管理部IP地址終端可以獲取到去往防火墻的直連路由，除了該兩個(gè)網(wǎng)段以外的所有地址段均無法登陸防火墻，從技術(shù)層面保障了防火墻的安全登陸。

5.配置用戶3A安全認(rèn)證模式

通過對(duì)防火墻3A視圖下的用戶登錄密碼、權(quán)限級(jí)別、服務(wù)類型、密碼顯示模式的配置，加固了訪問防火墻的安全等級(jí)。針對(duì)VTY端口設(shè)置相應(yīng)的訪問控制列表來限制通過VTY端口對(duì)路由器的訪問。訪問控制列表通過區(qū)分不同用戶的網(wǎng)段來進(jìn)行過濾，用戶進(jìn)行用戶名及密碼的驗(yàn)證成功后，才能進(jìn)入防火墻進(jìn)行操作，安全訪問等級(jí)提升。

三、實(shí)施效果

自項(xiàng)目實(shí)施以來，烏石化公司MES生產(chǎn)運(yùn)行系統(tǒng)和汽車裝車臺(tái)管控一體化項(xiàng)目安全、穩(wěn)定運(yùn)行，通過對(duì)生產(chǎn)網(wǎng)和辦公網(wǎng)的統(tǒng)籌合理規(guī)劃，確保路由的連通性的同時(shí)也保證了鏈路的冗余和高效性，極大程度提升了網(wǎng)絡(luò)的抗風(fēng)險(xiǎn)能力。通過架設(shè)防火墻設(shè)備在生產(chǎn)網(wǎng)和公司辦公網(wǎng)之間架設(shè)了一條安全的網(wǎng)絡(luò)訪問通道，對(duì)網(wǎng)內(nèi)不安全因素進(jìn)行過濾，自汽車裝油臺(tái)項(xiàng)目啟動(dòng)運(yùn)行至今，防火墻已攔截非法訪問及攻擊1557357次，極大程度保護(hù)了公司MES生產(chǎn)運(yùn)行系統(tǒng)和汽車裝油臺(tái)生產(chǎn)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全，為現(xiàn)場(chǎng)各業(yè)務(wù)流程的正常進(jìn)行提供可靠的網(wǎng)絡(luò)環(huán)境。實(shí)現(xiàn)對(duì)儀表設(shè)備的控制，實(shí)現(xiàn)流程自動(dòng)化。

四、結(jié)論

通過對(duì)生產(chǎn)網(wǎng)與辦公網(wǎng)的網(wǎng)絡(luò)安全策略規(guī)劃及部署實(shí)施，以生產(chǎn)網(wǎng)現(xiàn)場(chǎng)情況和業(yè)務(wù)需求為技術(shù)攻關(guān)的目標(biāo)方向，在技術(shù)層面實(shí)現(xiàn)了多層級(jí)安全策略重疊的安全機(jī)制。自2016年至今公司MES生產(chǎn)運(yùn)行系統(tǒng)和汽車裝油系統(tǒng)網(wǎng)絡(luò)運(yùn)行正常，沒有因?yàn)榫W(wǎng)絡(luò)因素導(dǎo)致生產(chǎn)系統(tǒng)故障的發(fā)生，達(dá)到了網(wǎng)絡(luò)安全策略部署的預(yù)期目的，確保了生產(chǎn)網(wǎng)和辦公網(wǎng)的網(wǎng)絡(luò)安全使用、生產(chǎn)指令的順利下達(dá)以及公司油品銷售各環(huán)節(jié)的安全穩(wěn)定運(yùn)行。