武漢鋼鐵有限公司 程曦 王晶

結合某鋼鐵制造基地及下屬產線的工控系統(tǒng)的網絡實際情況，分析工控網絡中存在的安全隱患，從主機安全防護、邊界安全管理、準入安全管控、網絡入侵檢測等方面提出安全防護方案，結合國家等級保護制度相關要求開展工控網絡安全示范線建設，提升企業(yè)的管控網絡安全防護能力，完善安全架構和技術支撐體系，確保生產穩(wěn)定運行。

近年來，工控系統(tǒng)安全風險持續(xù)增加，大量安全威脅不斷滲透至工控網絡，安全形勢日趨嚴峻。2022 年伊朗胡齊斯坦鋼鐵公司在遭受網絡攻擊后被迫停止生產，這是近年來針對該國戰(zhàn)略工業(yè)部門最大規(guī)模網絡攻擊之一，這一事件也為我們敲醒了警鐘！隨著鋼鐵行業(yè)智能制造及兩化融合推進，打破了工控系統(tǒng)原有“孤島式”的管理模式，對工控系統(tǒng)安全提出了更高要求，如何有效地防御內、外部攻擊，降低工控網絡安全風險，筑牢工控網絡安全防線，確保生產穩(wěn)定順行，工控網絡穩(wěn)定可靠，是鋼鐵行業(yè)工控網絡安全所關注和需要解決的問題。

1 鋼鐵企業(yè)工控系統(tǒng)網絡架構

鋼鐵企業(yè)生產信息系統(tǒng)主要包括L1（基礎自動化系統(tǒng)）例如現(xiàn)場采集設備、PLC、DCS 等、L2（過程自動化系統(tǒng)）各生產單元生產過程控制系統(tǒng)、控制模型等、L3（各廠作業(yè)層生產執(zhí)行系統(tǒng)）負責生產計劃編排、生產指令存儲管理、質量控制計劃管理等、L4（公司層制造管理系統(tǒng)）、L5（公司一體化經營決策ERP 系統(tǒng)）。某鋼鐵企業(yè)生產信息系統(tǒng)構架，如圖1 所示。

L2 及以下層級統(tǒng)稱廠級工控系統(tǒng)，L3 及以上層級稱公司信息管理系統(tǒng)，承載工控系統(tǒng)的網絡為各廠工控網絡，實現(xiàn)信息系統(tǒng)交互的網絡為公司信息主干網。各層級相互協(xié)調，完成從煉焦到軋制等一系列連續(xù)的生產控制任務，在生產過程中如果遭受惡意攻擊、發(fā)生病毒感染和擴散，就會使整改生產流程中斷，工控系統(tǒng)的控制組件被迫停止運轉，造成嚴重的生產故障和巨大的經濟損失[1]。

2 現(xiàn)狀及存在問題

“智慧制造”推進要求實現(xiàn)與生產業(yè)務相關網絡之間互聯(lián)互通，公司、生產廠內新增業(yè)務系統(tǒng)有工控網絡與信息主干網連接訪問要求，打破了原有相對封閉的工控網絡管理模式，對整體安全提出了更高的要求。通過對近年發(fā)生的工控安全事件進行分析，發(fā)現(xiàn)70%以上都是由于蠕蟲病毒、漏洞利用或網絡攻擊導致，隨著網絡架構逐步向“高可用、扁平化”趨勢發(fā)展，基于網絡傳播的各種安全威脅將帶來重大安全隱患[2]。

2.1 工控主機安全加固實施難度大

各生產廠的控制系統(tǒng)中存在大量硬件和操作系統(tǒng)老舊的工控主機，部分控制設備還在使用Windows XP、Windows 2000 Server 等操作系統(tǒng)，微軟已不再對這些系統(tǒng)提供安全技術服務，存在大量高危安全漏洞，對已知漏洞的修復需要升級操作系統(tǒng)版本，降低主機運行速度，且漏洞修復后可能造成控制系統(tǒng)應用或通信異常。

現(xiàn)有殺毒軟件基于黑名單方式，需要相關技術人員定期對病毒庫進行更新，在鋼鐵企業(yè)生產環(huán)境不適用，無法及時發(fā)現(xiàn)和查殺新型病毒，對無法識別的工控系統(tǒng)程序會存在誤殺風險，對工控主機進行定期病毒查殺占用系統(tǒng)資源，影響工控主機的性能，導致生產作業(yè)線運行狀態(tài)不穩(wěn)定。

工控系統(tǒng)在防病毒軟件方面的選擇面非常狹窄，經廠商認證的防病毒軟件主要是國外的McAfee、Symantec、Trend 產品，少數使用國產火絨，有些甚至指定版本，殺毒軟件全面覆蓋和國產防病毒軟件替代難度和阻力將很大。

2.2 移動存儲介質管控缺乏技術手段

目前工控系統(tǒng)終端USB 端口的管控，主要通過修改系統(tǒng)注冊表禁用空閑USB 端口，主機的外設接口張貼一次性的密封條方式進行管控，但現(xiàn)場人員工控網絡安全、保密意識不強，仍使用未經過授權移動存儲介質或其他USB 設備進行報表下載、程序修改及數據拷貝等情況。缺乏必要的技術手段控制外部存儲介質的非授權接入，需要對USB 端口授權管理和動態(tài)監(jiān)控，利用未授權的移動存儲介質將病毒、蠕蟲等惡意代碼滲透進入工業(yè)控制系統(tǒng)的安全事件屢見不鮮[3]。

2.3 網絡邊界存在的風險

通過長期以來的檢查、整改，逐步落實公司安全管理要求，各生產廠工控網和信息主干網基本實現(xiàn)物理隔離，PLC、DCS 等L1 基礎自動化層級接入區(qū)域內部工控網交換機，部分L2 層級服務器需要與L3 進行交互，接入信息主干網前配了防火墻，而且對安全防護策略也進行配置。

總體上工控網較封閉，安全防護有保障，但是隨著兩化融合的推進，各類自動化、智能化項目的實施，工控網、信息網之間的通訊越來越多，界限越來越模糊，為實現(xiàn)現(xiàn)場實時數據的高效采集，需要工控網與信息網、主干網建立廣范的連接，部分工控設備甚至通過無線網卡接入互聯(lián)網絡，違規(guī)接入工控網情況屢見不鮮，例如表檢儀、孔洞儀等測量系統(tǒng)、區(qū)域數據采集設備等，為實現(xiàn)不同網段間的數據共享及信息主干網的業(yè)務發(fā)布，配備有多塊網卡和IP 地址，接入工控網絡未經過審核、評估，容易導致原有的網絡邊界防線失效，一旦某臺服務器感染惡意代碼或遭受黑客攻擊，可能會導致擴散到其他工控主機被感染或被攻擊。

2.4 安全策略配置漏洞，弱口令和遠程、共享等問題難以根除

由于生產或操作需要，共享服務無法棄用，例如Wincc、Intoch 等控制軟件Clinte 與Server 端通過共享文件方式實現(xiàn)數據交互功能，如果工控主機的445、139 端口被封鎖，可能造成組態(tài)軟件無法正常運行，系統(tǒng)運行終斷，然而Wannercry 勒索病毒正是利用了微軟 MS17-010 漏洞并通過445 端口傳播?！跋蛉湛乜亍钡冗h程應用軟件已禁止在工控系統(tǒng)中使用，但現(xiàn)場技術人員為提高故障處理效率，未遵循“最小原則”，開啟139、445、3389等端口、FTP、Telnet 等非業(yè)務必須的服務及Windows遠程桌面服務。因通信賬戶被編譯到程序中，涉及底層的應用開發(fā)而無能為力，對弱密鑰進行修改，技術難度較大，無法完全避免弱口令問題。

3 改進措施

結合《工業(yè)控制系統(tǒng)信息安全防護指引》與《等級保護2.0-工業(yè)控制系統(tǒng)安全擴展要求》等相關制度、法規(guī)要求，基于某企業(yè)工控系統(tǒng)實際應用情況，以終端安全加固和網絡邊界防護、加強移動介質管控為重點，強化工控網絡安全監(jiān)管，降低工控網絡安全風險，保障區(qū)域內工控網絡安全穩(wěn)定運行[4]。

3.1 終端主機的安全加固

通過管理制度要求工控網絡運維人員關注工控安全形勢，及時知悉重大安全漏洞和補丁發(fā)布情況，對安全補丁進行安裝后對工控主機可能造成的安全風險評估，在測試環(huán)境做好充分的測試、驗證，確保安全可行后在生產環(huán)境中為工控主機安裝安全補丁。

對于已安裝殺毒軟件但不方便定期更新病毒庫的工控主機，使用應用程序白名單軟件來防范風險，僅允許通過業(yè)務單位授權和安全評估的軟件在工控主機中運行。對于配置老舊不具備安裝條件的，以殺毒U 盤的方式定期對終端病毒進行查殺。

在生產線進行升級改造時，逐步實現(xiàn)工控終端及核心網絡設備的國產化升級替代，避免被外方“卡脖子”。

3.2 加強移動介質管控

定期開展工控網絡安全檢查，檢查內容包括工控主機外部設備接口情況，對非必要USB 接口、光驅等設備接口封閉或拆除，做好外接設備的授權管理。比如:部署移動介質授權管理系統(tǒng)，僅允許被授權的安全移動介質通過指定的方式接入工控主機，禁止沒有授權的U盤、光驅等外部設備接入工控主機，防范病毒、木馬等惡意代碼程序通過移動存儲介質侵入工控系統(tǒng)。

3.3 邊界隔離與訪問控制

建立清晰的工控系統(tǒng)網絡邊界，加強工控網絡的縱向安全隔離和橫向安全認證。

做好縱向安全隔離，通過終端雙網卡加前置防火墻、網閘等網絡安全設備，合理配置訪問控制策略，實現(xiàn)不同層面間設備的授權訪問，允許L2 與L3 層進行生產計劃、生產實績數據交互等合法業(yè)務數據，阻止非授權訪問流量通過邊界，例如在熱軋生產線L3 和L2 的網絡邊界部署工業(yè)網閘，實現(xiàn)工控網絡與主干信息網絡邊界隔離，避免L3 及以上網絡非授權訪問工控系統(tǒng)網絡的風險。

做好橫向安全認證，在工業(yè)系統(tǒng)網絡中，在交換機上按照區(qū)域、工藝流程和功能等維度劃分不同的安全防護區(qū)域，例如:煉鐵、煉鋼、條材、熱軋區(qū)域，分廠的工控網絡都匯聚至集中控制中心核心交換機，通過核心交換機劃分VLAN，前置工業(yè)防火墻、工業(yè)安全網閘等防護設備，有效對工業(yè)通信協(xié)議的數據包進行深度檢查和識別，實現(xiàn)篩選并屏蔽非法指令，避免安全風險在不同區(qū)域進行擴散，便于風險源追溯。保證只有可信任的流量可以在工業(yè)網絡上傳輸，實現(xiàn)對非法操作指令的攔截和告警。

3.4 根據業(yè)務配置合理的安全策略，減少安全漏洞

加強設備的口令防護強度，根據業(yè)務需求為工控主機配置合理的密碼策略。遵循“最小原則”開放工控主機端口或服務。所有非必要的遠程桌面、遠程登錄等服務關閉，如廠部有遠程維護需求，應在有安全措施和策略的通道下進行，具體的措施如下：如運維人員需從外網使用VPN 等遠程登錄工業(yè)系統(tǒng)網絡，應限制用戶數量，防火墻上配置安全策略，僅允許限制的時間內從指定的IP 地址進行遠程訪問。

清理工控主機、網絡設備中的賬戶，確認賬戶使用情況，禁用冗余賬號、過期賬號。同時，按照“最小原則”為賬號賦權，分配與工作角色、工作職責相符的權限。

4 安全示范線建設

以煉鋼廠區(qū)域為試點進行工控網絡安全示范線建設，基于煉鋼區(qū)域現(xiàn)場情況，設計了工控安全整體架構。參照《工業(yè)控制系統(tǒng)安全防護指引》相關要求，建設工控網絡安全示范線，關注工控系統(tǒng)邊界安全、終端安全加固、遠程運維管控、安全威脅感知、安全管理中心建設等方面內容[5]，如圖2 所示。

圖2 煉鋼廠工業(yè)控制系統(tǒng)網絡安全建設示意圖Fig.2 Schematic diagram of network security construction of industrial control system in steel mill

4.1 工控系統(tǒng)邊界安全

在L1 與L2 邊界處部署工控防火墻，通過工業(yè)協(xié)議的深度解析確保過程控制系統(tǒng)與現(xiàn)場控制設備之間、HMI 和現(xiàn)場控制設備之間通訊與控制的合法性，有效阻止利用工控協(xié)議進行漏洞攻擊，并同步管控網絡非法入侵、惡意訪問的威脅。

4.2 終端安全加固

終端設備安裝基于白名單方式主機安全衛(wèi)士，實現(xiàn)已知、未知病毒的防范。由于傳統(tǒng)殺毒軟件的“黑名單”方式嚴重依賴病毒庫，所以在遠程控制中心操作員站、工程師站，服務器上部署工控主機衛(wèi)士，采用更適用于工業(yè)網絡環(huán)境的輕量級“白名單”機制，可以有效阻止未知病毒、木馬、蠕蟲等惡意代碼的執(zhí)行。

4.3 安全威脅發(fā)現(xiàn)

提高已知、未知威脅攻擊防御能力，在生產控制層與生產管理層網絡邊界處部署高級威脅檢測系統(tǒng)，采用基于沙箱行為的未知威脅檢測技術，實時檢測威脅情報、密碼暴力破解、潛在隱私策略等APT 攻擊行為，解決勒索病毒、變種病毒、未知威脅無法定位的問題。

4.4 移動介質管控

在工控示范區(qū)規(guī)劃部署移動介質管控系統(tǒng)，實現(xiàn)工控網絡終端外設統(tǒng)一管理，并同步存儲外設的接入控制與內容檢查，存儲外設掃描通過內置防病毒引擎及病毒特征庫，實現(xiàn)對存儲外設內的文件進行病毒特征掃描。存儲外設殺毒，通過內置防病毒引擎對掃描出來的染毒文件進行清除。

4.5 遠程運維管控

“智慧制造”建設帶來大量遠程運維需求，其接入工控系統(tǒng)需要實現(xiàn)安全訪問、權限管理及安全審計要求。運維人員通過VPN 設備連接至主干網內，登錄堡壘機進行認證授權，基于堡壘機操作錄屏功能實現(xiàn)運程運維操作審計功能。通過堡壘機發(fā)布中心平臺連接至廠部遠程通信服務器，廠部設備管理員可以通過遠程通信服務器完成遠程接入人員的賬戶創(chuàng)建、刪除、禁止以及用戶授權等操作，并可記錄和追溯設備與人員訪問日志，支持多人同時訪問多個設備，默認封閉遠程通信服務器訪問端口，網絡管理員可按需進行配置管理，保障遠程訪問安全?，F(xiàn)場遠程運維設備通過工業(yè)遠程網關設備進行連接，網關部署在工控網現(xiàn)場，如圖3 所示。

圖3 遠程運維方案Fig.3 Remote operation and maintenance scheme

4.6 安全管理中心建設

構建工控案示范區(qū)統(tǒng)一管理平臺，對部署的所有安全設備進行統(tǒng)一管理、策略配置，解決安全設備難運維的問題，同時將工控系統(tǒng)告警信息集中展現(xiàn)，包括告警監(jiān)控終端列表、告警類型統(tǒng)計、業(yè)務異常分布圖、攻擊行為分布、用戶行為分布圖、未處理告警信息實時監(jiān)視統(tǒng)計等[6]。

5 結語

通過對某鋼鐵企業(yè)工控網絡安全體系全面診斷，分析存在問題，制定針對性的提升措施，完善工控網絡安全防護體系。以煉鋼廠工控網絡安全示范線建設為切入點，阻止勒索、蠕蟲等病毒、木馬、惡意程序在生產區(qū)域之間的傳播和擴散，防范違規(guī)接入設備對生產控制系統(tǒng)惡意操作、違規(guī)指令的下發(fā)，加強邊界安全管控，防范工控網絡安全風險，避免工控安全事件的發(fā)生，確保工控網絡的安全、穩(wěn)定和可靠，煉鋼廠由于網絡安全事件導致的故障停機時間由平均0.6 小時/月降低為零。管理方式和技術經驗可廣泛應用于類似系統(tǒng)構架的鋼鐵企業(yè)，有助于提高鋼鐵企業(yè)工控網絡安全防護水平。