張 偉，于目奎，羅顯科

(中冶賽迪重慶信息技術(shù)有限公司，重慶 401122)

工業(yè)控制系統(tǒng)作為工業(yè)基礎設施的核心，極大地保障了工業(yè)生產(chǎn)的穩(wěn)定性和高效性，是國家重要的基礎設施組成部分，廣泛應用于冶金、化工、電力等重要行業(yè)。20世紀以來，針對工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為大幅度增長，一旦遭到破壞，可能造成人員傷亡、環(huán)境污染、停產(chǎn)停工等嚴重后果，甚至威脅國家經(jīng)濟安全、政治安全和社會穩(wěn)定。典型案例如： 2010年伊朗布什爾核電站員工電腦感染震網(wǎng)(Stuxnet)病毒，嚴重威脅核反應堆安全運營；2012年美國兩座電廠遭USB病毒攻擊，導致數(shù)據(jù)泄密；2015年烏克蘭電力系統(tǒng)遭受網(wǎng)絡攻擊導致大面積電力中斷[1]。

鋼鐵行業(yè)一直是工業(yè)自動化和信息化的先行者，工業(yè)控制系統(tǒng)作為生產(chǎn)控制的“大腦”，是行業(yè)自動化水平不斷提升的基礎支撐。在日益嚴重的安全威脅態(tài)勢下，工控安全問題成了未來鋼鐵企業(yè)需要重點關(guān)注的課題，特別是隨著兩化融合背景下智能制造轉(zhuǎn)型升級的持續(xù)推進，傳統(tǒng)封閉的鋼鐵工業(yè)控制系統(tǒng)會越來越多的暴露在互聯(lián)網(wǎng)場景下，維護和保障工控安全將成為智能制造的關(guān)鍵目標之一。

本文主要討論和研究鋼鐵行業(yè)自動化控制系統(tǒng)中基礎自動化(L1)、過程自動化(L2)、制造執(zhí)行系統(tǒng)(L3 或者MES)相關(guān)的網(wǎng)絡安全設計與實現(xiàn)，也是行業(yè)工控安全需要重點關(guān)注的對象。

1 工控安全現(xiàn)狀

鋼鐵行業(yè)生產(chǎn)流程長，包括原料場、煉鐵、煉鋼、連鑄、熱軋、冷軋等工藝單元，各單元自動化控制系統(tǒng)遵循典型的基礎自動化(L1)、過程自動化(L2)、制造執(zhí)行系統(tǒng)(L3或者MES)分層次架構(gòu)，如圖1所示。

經(jīng)過行業(yè)多年的設計、實施和運維經(jīng)驗積累，自動化控制系統(tǒng)已經(jīng)在工控安全防護方面采用了一些信息化技術(shù)和手段，包括：

(1)各層次計算機系統(tǒng)都會安裝殺毒軟件，預防病毒攻擊和傳播，如L1層的HMI服務器、工程師站、HMI客戶端、上位機、iba數(shù)據(jù)服務器等。

(2)各層次網(wǎng)絡相互隔離，使用的手段包括劃分不同的VLAN，或者通過服務器多網(wǎng)卡通信方式限制互訪通道，以限制各層次間的網(wǎng)絡攻擊和病毒傳播。

(3)限制L1、L2、L3與外部互聯(lián)網(wǎng)的連通，盡可能減少外部網(wǎng)絡的攻擊。

圖1 自動化控制系統(tǒng)分層架構(gòu)

新形勢下，工控安全問題愈發(fā)突出，傳統(tǒng)措施已無法滿足安全要求。隨著鋼鐵行業(yè)智能制造轉(zhuǎn)型升級的持續(xù)推進，集成、協(xié)同、優(yōu)化等核心要求正在促進工控系統(tǒng)從傳統(tǒng)封閉系統(tǒng)向開放系統(tǒng)演進，通過工業(yè)互聯(lián)網(wǎng)的建立打破信息孤島、打通跨流程的數(shù)據(jù)關(guān)聯(lián)與應用、實現(xiàn)扁平化的上傳下達、實現(xiàn)總部與分部的協(xié)同以及生產(chǎn)現(xiàn)場與遠程運維的協(xié)同，最終完成智能工廠在智能設計、智能生產(chǎn)、智能運維和智能決策等方面的升級。因此，企業(yè)生產(chǎn)對內(nèi)部、外部網(wǎng)絡的依賴程度越來越高，要求更加復雜，從而導致安全問題也愈發(fā)凸顯[2]。

當前，鋼鐵企業(yè)工控系統(tǒng)面臨的安全問題包括：

1)網(wǎng)絡邊界安全控制能力較弱，入侵及威脅傳播防御能力差

盡管大多數(shù)L1、L2、L3進行了網(wǎng)絡分段隔離(有的企業(yè)甚至沒有做隔離)，各層通常沒有防火墻或者其他安全訪問控制策略，數(shù)據(jù)交互隨意，導致攻擊進入任意層次后都會比較容易直接威脅到L1對設備的控制。同時，隨著跨單元應用的豐富，各單元之間(比如煉鋼和軋鋼)的網(wǎng)絡連接也缺乏足夠的邊界保護。

2)計算機及工控系統(tǒng)嚴重漏洞檢測及處理不及時，系統(tǒng)安全風險大

鋼鐵企業(yè)PC終端、服務器、PLC控制器等普遍存在系統(tǒng)安全漏洞，包括能夠造成遠程攻擊、越權(quán)執(zhí)行的嚴重威脅類漏洞，各個廠商也在不停升級和發(fā)布補丁彌補缺陷，然而，由于設備、協(xié)議多導致管理難度大，以及企業(yè)專業(yè)技能缺乏、安全認識不足等現(xiàn)實問題，造成工業(yè)控制系統(tǒng)的補丁管理困難，難以及時處理威脅嚴重的漏洞。

3)違規(guī)操作及越權(quán)行為監(jiān)控不力，主機安全不可控

缺乏對移動介質(zhì)的安全管控，操作人員直接通過主機USB接口、串口、光驅(qū)等外設進行文件、程序等傳輸，成為了當前病毒感染的主要途徑之一；企業(yè)由實施階段進入生產(chǎn)運維階段后，任意接入計劃外操作站、移動筆記本、網(wǎng)絡設備，甚至違規(guī)接入互聯(lián)網(wǎng)等行為都是重大的安全隱患。

4)基于工控協(xié)議的安全保護機制欠缺，缺乏針對性

專有的工業(yè)控制通信協(xié)議或規(guī)約在設計時通常更強調(diào)通信的實時性及可用性，對安全性普遍考慮不足，比如缺少足夠強度的認證、加密、授權(quán)等。隨著Mod-bus、OPC、Siemens S7、IEC104等工業(yè)協(xié)議的廣泛認知提升，攻擊者更容易掌握協(xié)議的格式和內(nèi)容，對PLC等系統(tǒng)的攻擊變得更加容易，因此針對工控協(xié)議的安全防范就更加重要。

5)缺乏網(wǎng)絡攻擊行為動態(tài)監(jiān)測部署，主動防御能力欠缺

隨著針對工控系統(tǒng)的攻擊行為的增加，互聯(lián)網(wǎng)中攻擊方式多、病毒傳播快、變種快等特征也很快被應用到工業(yè)領域，傳統(tǒng)防御以不斷豐富病毒知識和攻擊特征來預防非法網(wǎng)絡行為，缺乏主動學習能力，如何動態(tài)監(jiān)測攻擊行為并進行預測性主動防御也將是未來工控安全建設的關(guān)鍵技術(shù)。

2 工控安全設計

2.1 總體設計

基于鋼鐵行業(yè)自動化控制系統(tǒng)網(wǎng)絡特征和安全現(xiàn)狀，本方案遵循“分層分區(qū)”的策略進行總體設計，工控網(wǎng)絡安全按照L1、L2、L3進行縱向分層保護，同時按照高爐、煉鋼、軋鋼等工藝單元進行橫向分區(qū)域保護。

自動化控制系統(tǒng)安全設計要求按照L1、L2、L3、外部網(wǎng)絡進行網(wǎng)絡隔離劃分，做好內(nèi)部防護的同時，加強邊界攻擊防御，總體方案拓撲圖如圖2所示。

圖2 總體方案拓撲圖

2.2 L1基礎自動化安全防護

基礎自動化(L1)網(wǎng)絡連接PLC控制器、HMI服務器、工程師站、操作終端、儀表上位機、數(shù)據(jù)服務器(iba等)、打印機等設施，構(gòu)成了工業(yè)控制的核心業(yè)務系統(tǒng)，其中PLC直接控制設備動作，是工控安全的重點保護對象。

L1主要通過部署工業(yè)防火墻、工業(yè)入侵檢測系統(tǒng)硬件產(chǎn)品，以及殺毒軟件、主機安全防護軟件產(chǎn)品，實現(xiàn)安全管控。

(1)在PLC與各計算機系統(tǒng)之間部署工業(yè)防火墻。一方面通過訪問控制策略限定指定計算機才能訪問PLC，管控網(wǎng)絡通信對象，降低計劃外設備非法訪問風險；另一方面，通過OPC、Modbus/TCP、Modbus/RTU、Siemens S7、IEC104等多種工業(yè)協(xié)議深度解析支持，實現(xiàn)指令級別的過濾防護，避免來源于HMI等計算機的非法控制命令下達；同時還可以通過流量自學習，自動推薦安全策略，不斷完善管控能力。

(2)在L1網(wǎng)絡與上層網(wǎng)絡、其他區(qū)域網(wǎng)絡之間部署工業(yè)防火墻。只允許L1網(wǎng)絡與外部網(wǎng)絡之間合法設備的數(shù)據(jù)交換，阻擋對生產(chǎn)網(wǎng)未經(jīng)授權(quán)的非法訪問，同時也防止外部網(wǎng)絡的病毒感染擴散到車間PLC網(wǎng)絡中，從而提升網(wǎng)絡邊界安全水平，實現(xiàn)分層分區(qū)安全隔離和管控。

(3)在核心交換機旁路部署工業(yè)入侵檢測系統(tǒng)。通過捕獲經(jīng)過交換機的所有數(shù)據(jù)包，進行基于規(guī)則的解析檢測，完成木馬、蠕蟲、緩沖區(qū)溢出攻擊、掃描探測等通用入侵檢測，以及非法功能碼、非法報文長度、非法地址等基于工控協(xié)議的入侵檢測，及時發(fā)現(xiàn)異常并報警。

(4)在計算機系統(tǒng)中部署主機安全防護軟件和殺毒軟件。工業(yè)控制系統(tǒng)應用相對固定，計算機主要安裝特定軟件程序，防范病毒或木馬等惡意攻擊最直接的方式是管理主機進程，主機安全防護軟件通過白名單的方式監(jiān)控主機運行程序，并且管理和限制USB接口、光驅(qū)、網(wǎng)卡、串口等外設的使用，降低安全風險。殺毒軟件可以發(fā)揮基本的病毒防護和清除功能。

2.3 L2過程自動化安全防護

過程自動化(L2)網(wǎng)絡由數(shù)據(jù)采集及存儲服務器、應用服務器、數(shù)據(jù)庫服務器、工程師站、操作終端、打印機等設施組成。過程自動化以數(shù)據(jù)處理、模型算法為重點，在自動化系統(tǒng)中起著承上啟下的作用，安全威脅不僅影響本層網(wǎng)絡，還存在擴散到L1和L3層級的風險。

L2主要通過部署通用防火墻、通用入侵檢測系統(tǒng)硬件產(chǎn)品，以及殺毒軟件、主機安全防護軟件產(chǎn)品，實現(xiàn)安全管控。

(1)在L2網(wǎng)絡與上層網(wǎng)絡、其他區(qū)域網(wǎng)絡之間部署通用防火墻。只允許L2網(wǎng)絡與外部網(wǎng)絡之間合法設備的數(shù)據(jù)交換，提升網(wǎng)絡邊界安全水平，實現(xiàn)分層分區(qū)安全隔離和管控。

(2)在核心交換機旁路部署通用入侵檢測系統(tǒng)。通過捕獲經(jīng)過交換機的所有數(shù)據(jù)包，進行基于規(guī)則的解析檢測，完成木馬、蠕蟲、緩沖區(qū)溢出攻擊、掃描探測等通用入侵檢測，及時發(fā)現(xiàn)異常并報警。

(3)在計算機系統(tǒng)中部署主機安全防護軟件和殺毒軟件。主機安全防護軟件監(jiān)控主機運行程序，并且管理和限制外設使用情況，降低安全風險。

2.4 L3制造執(zhí)行系統(tǒng)安全防護

制造執(zhí)行系統(tǒng)(L3)網(wǎng)絡由應用服務器、數(shù)據(jù)庫服務器、工程師站、操作終端、打印機等設施組成，向下層發(fā)送生產(chǎn)計劃，從下層收集生產(chǎn)實際數(shù)據(jù)，還承擔分廠與總廠、分部與總部的數(shù)據(jù)通信功能，非常容易受到外部網(wǎng)絡攻擊，從而影響自動化系統(tǒng)的網(wǎng)絡安全。

L3主要通過部署VPN網(wǎng)關(guān)、通用入侵檢測系統(tǒng)、工控漏洞掃描系統(tǒng)、工控安全管理平臺硬件產(chǎn)品，以及殺毒軟件、主機安全防護軟件產(chǎn)品，實現(xiàn)安全管控。

(1)在L3網(wǎng)絡與外部網(wǎng)絡、其他區(qū)域網(wǎng)絡之間部署VPN網(wǎng)關(guān)。VPN網(wǎng)關(guān)一方面允許L3網(wǎng)絡與外部網(wǎng)絡之間合法設備的數(shù)據(jù)交換(例如病毒庫升級等)，另一方面只允許工程師通過加密通道遠程接入進行在線故障分析和協(xié)作，保障網(wǎng)絡邊界安全。

(2)在核心交換機旁路部署通用入侵檢測系統(tǒng)。實現(xiàn)通用威脅入侵檢測，及時發(fā)現(xiàn)異常并報警。

(3)部署工控漏洞掃描系統(tǒng)。負責計算機、服務器的系統(tǒng)漏洞掃描，以及PLC控制器、工控常用HMI軟件等系統(tǒng)的漏洞掃描，及時發(fā)現(xiàn)漏洞并提供分析報告。

(4)部署工控安全管理平臺。負責將所有網(wǎng)絡交換機、防火墻、安全檢測設備，以及計算機、服務器等硬件資源的運行信息進行統(tǒng)一收集和綜合分析，形成工業(yè)控制系統(tǒng)統(tǒng)一信息安全管理系統(tǒng)，幫助管理和運維人員更加宏觀、全面地了解設備運行情況、安全狀態(tài)等信息，及時掌握、報告和發(fā)布安全態(tài)勢。

(5)在計算機系統(tǒng)中部署主機安全防護軟件和殺毒軟件。主機安全防護軟件監(jiān)控主機運行程序，并且管理和限制外設使用情況，降低安全風險。

3 效果分析

本文所述方案針對鋼鐵企業(yè)常用網(wǎng)絡架構(gòu)，以分層分區(qū)為原則進行工控安全設計，以主動防范、及時發(fā)現(xiàn)、快速處理為目標，來提升工控安全防御能力，主要達到了以下效果：

各層次、各區(qū)域之間有效隔離防護：通過防火墻限定通信對象和內(nèi)容，阻斷非法入侵和危險傳播，其中工業(yè)防火墻還可以進行基于協(xié)議解析的控制命令過濾,重點保護PLC控制器安全，保證生產(chǎn)正常進行。

系統(tǒng)安全漏洞掃描和修復：實時掃描操作系統(tǒng)、控制器、工控軟件漏洞，及時發(fā)現(xiàn)工控網(wǎng)絡脆弱點，提出風險預警及補丁修補意見。

工控異常監(jiān)測及網(wǎng)絡流分析診斷：動態(tài)監(jiān)測網(wǎng)絡信息流，及時發(fā)現(xiàn)傳統(tǒng)網(wǎng)絡木馬病毒入侵行為、針對工控設備的攻擊行為、未知設備接入和工控網(wǎng)絡流異常變化趨勢等，報警聯(lián)調(diào)防護設備。

違規(guī)操作監(jiān)測和預防：實時監(jiān)控外設使用情況和運行進程，設置管理策略，預防設備違規(guī)接入和計劃外軟件安裝行為，杜絕內(nèi)部威脅傳播。

4 結(jié) 語

我國鋼鐵行業(yè)工業(yè)控制系統(tǒng)PLC控制器、工控軟件等重要設備與技術(shù)都還依賴于國外產(chǎn)品，關(guān)鍵數(shù)據(jù)、敏感信息泄漏風險巨大，在從傳統(tǒng)封閉網(wǎng)絡向開放網(wǎng)絡過渡的過程中，將面臨更多的安全攻擊和威脅。

本文所述工控安全設計思路僅從信息技術(shù)角度展開，力圖通過技術(shù)手段進行安全防御、檢測和排除，但是工控安全不只是一個技術(shù)問題，而是多層面、多因素、綜合、動態(tài)的體系保障問題。一個完備的工控安全防護體系，需要從組織與制度、標準與規(guī)范、技術(shù)與策略等多個維度同步建設。組織與制度層面需要加強以人為中心的安全意識觀念建設，標準與規(guī)范層面需要加強安全相關(guān)的設計及驗證標準和平臺建設[3]，技術(shù)與策略需要面向精細化、差異化保護持續(xù)優(yōu)化和升級。