今日頭條
官方微信
官方抖音
資訊頻道本文主要介紹某鋼鐵企業(yè)的生產調度系統(tǒng)網絡安全防護建設,在鋼鐵企業(yè)的實際網絡環(huán)境中,支撐生產調度業(yè)務的網絡系統(tǒng)主要包含:工業(yè)控制系統(tǒng)網絡與生產管理網絡。工業(yè)控制系統(tǒng)網絡主要負責企業(yè)實際的生產業(yè)務,生產管理網絡主要負責生產調度級決策。 1.1?工業(yè)控制系統(tǒng)網絡 分散在物理隔離的各生產流程中的34套工業(yè)控制系統(tǒng),大部分為DCS控制系統(tǒng),部分控制系統(tǒng)采用西門子PLC設備。現(xiàn)場控制層:主要包括各類DCS控制器及PLC控制器,用于對各現(xiàn)場設備進行控制;過程監(jiān)控層:主要包括過程控制服務器與HMI/SCADA系統(tǒng)功能單元,用于對整個生產過程數(shù)據進行采集和監(jiān)控,工藝技術人員通過操作員站對現(xiàn)場控制層進行工藝參數(shù)的調整和優(yōu)化,維護正常的生產過程。 1.2?生產管理網絡 主要通過生產綜合調度系統(tǒng)、能源管理系統(tǒng)(EMS)等生產管理系統(tǒng),用于為企業(yè)提供包括生產過程數(shù)據管理、計劃排產管理、生產調度管理、庫存管理、質量管理、人力資源管理、成本管理、物流管理等生產管理服務。 生產管理網絡通過部署2臺冗余數(shù)采服務器實現(xiàn)對生產線的實時生產信息的采集,上傳到生產綜合調度系統(tǒng)等系統(tǒng)的實時數(shù)據庫及業(yè)務數(shù)據庫中,為生產決策提供數(shù)據支撐。通過對生產綜合調度系統(tǒng)的建設,可快速全面地得到企業(yè)績效目標與實際生產指標的差異,監(jiān)控生產運動動態(tài)情況及時發(fā)現(xiàn)異常并做出正確決策,實現(xiàn)企業(yè)績效持續(xù)提升。 02項目目標 依照本試點項目的設計,可使某鋼鐵工控系統(tǒng)實現(xiàn)對黑客、病毒、惡意代碼等高風險抵御,阻止內部/外部人員的非法訪問,工控系統(tǒng)中的相關數(shù)據采集做到純物理單向上傳到生產管理網絡的生產綜合調度系統(tǒng)中,零數(shù)據包返回。 本試點項目的建設目標和主要任務如下: (1)抵御互聯(lián)網/辦公網發(fā)起的惡意攻擊和破壞; (2)防止勒索病毒、木馬等惡意程序對工控關鍵系統(tǒng)造成不利影響和破壞; (3)對工控關鍵系統(tǒng)主機進行USB接口管控、系統(tǒng)加固、病毒預防等; (4)對數(shù)采服務器及生產綜合調度系統(tǒng)等生產管理系統(tǒng)的運維人員實時管控與審計; (5)實現(xiàn)數(shù)采鏈路間的物理隔離與訪問控制; (6)對生產管理網絡進行深度的審計及行為管控; (7)對過程監(jiān)控層內由DCS、SCADA系統(tǒng)組成的安全域做域間安全隔離與訪問控制; (8)生產設備資產結合安全設備防護日志等信息匯聚至統(tǒng)一的安全管理平臺,以網絡拓撲、事件預警的方式做微態(tài)勢感知。 03方案設計思路 本方案主要實現(xiàn)某鋼鐵企業(yè)工控系統(tǒng)單向數(shù)據采集上傳到生產管理網絡生產綜合調度系統(tǒng)的功能,同時又要做到各生產控制系統(tǒng)安全域間的安全隔離與訪問控制,因此推薦安盟華御“工業(yè)數(shù)采單向光閘+工業(yè)防火墻”方案,以實現(xiàn)安全防護功能。 (1)工業(yè)數(shù)采單向光閘:實現(xiàn)關鍵生產數(shù)據單向數(shù)據采集上傳到生產管理層生產綜合調度系統(tǒng)(光信號,無反饋)。 (2)工業(yè)防火墻:實現(xiàn)各生產控制系統(tǒng)安全域間的安全隔離與信息交換訪問控制。 04整體解決方案 在某鋼鐵企業(yè)實際應用環(huán)境中,控制網絡都是“敞開的”,比如與生產綜合調度與辦公網OA/ERP的業(yè)務交互,在各控制系統(tǒng)安全域邊界及層級邊界缺乏有效單向控制與隔離、安全審計、運維防護等技術和機制。 在本項目中的關鍵技術使用安盟華御工業(yè)數(shù)采單向光閘將生產控制區(qū)中的各類數(shù)據采集匯總,單向導出至外網側,可對外提供OPC、Modbus
TCP等通用數(shù)據服務,同時可對接阿里、華為等各類云平臺。數(shù)據從工控網向管理網的單向傳輸,規(guī)避了威脅信息通過管理網進入工控網的風險。 本項目建設需要對3條數(shù)采鏈路及1條辦公網絡系統(tǒng)的鏈路進行防護,做到生產系統(tǒng)的高安全隔離。輔以工業(yè)防火墻設備、工業(yè)審計系統(tǒng)、主機衛(wèi)士及網絡安全管理平臺,對工控生產網絡進行全方位的網絡安全防護,保護企業(yè)生產網絡的安全。網絡安全設計圖如圖1所示。 網絡安全設計圖 以某鋼鐵企業(yè)實際業(yè)務需求為基礎,綜合各類安全產品特性,以生產安全為目的,通過最小經濟投入,合理配備少量安全產品,實現(xiàn)最大化的安全收益。 (1)使用工業(yè)數(shù)采單向光閘實現(xiàn)單向數(shù)據采集與上傳。根據數(shù)采鏈路數(shù)量以及工業(yè)數(shù)采單向光閘產品的物理接口數(shù)量,兼顧接口冗余備份功能,可配備12臺安盟華御工業(yè)數(shù)采單向光閘(每套工業(yè)數(shù)采單向光閘共5個通信接口,啟用其中3個通信接口作為采集接口,留1個接口備用、1個接口管理使用),如圖2所示。 工業(yè)數(shù)采單向光閘數(shù)采鏈路 (2)使用工業(yè)防火墻防護數(shù)據采集鏈路,同時對安全域間的信息交換做安全策略配置,并做到采集鏈路間的隔離。每3條數(shù)采鏈路匯聚到1臺工業(yè)防火墻上,每條鏈路使用獨立網橋,互不干涉。34條數(shù)采鏈路,配備12臺工業(yè)防火墻(通過接口擴展,每臺工業(yè)防火墻最大支持10個通信接口,提供6個接口作為通信口,做3進3出的3條鏈路防護,留2進2出作為備份。每臺工業(yè)防火墻對應1臺工業(yè)數(shù)采單向光閘),如圖3所示。 工業(yè)防火墻防護數(shù)據采集鏈路 05項目難點與創(chuàng)新點 (1)工業(yè)數(shù)據收集層面 在某鋼鐵企業(yè)實際的34條數(shù)采鏈路中,包含了多種類型的工業(yè)自動化系統(tǒng),廠家也存在差異,因此數(shù)據采集工作需要一種具備多種采集協(xié)議的平臺設備。安盟華御工業(yè)數(shù)采單向光閘的內網單元數(shù)采模塊支持多類工業(yè)協(xié)議,如常見的DCS系統(tǒng)、PLC控制器、智能儀表、數(shù)控機床類設備等,具備高速集成各類工業(yè)控制系統(tǒng)的能力。 (2)邊界安全隔離層面 隨著工業(yè)自動化及智能制造技術的大力推進,企業(yè)內的生產管理網絡與生產控制網絡的邊界變得不再清晰,存在著業(yè)務信息的上傳和數(shù)據的交叉,而兩個網絡中都存在系統(tǒng)升級、數(shù)據備份等,移動介質的不規(guī)范使用給兩個網絡都帶來了安全威脅。安盟華御數(shù)采單向光閘利用SFP光模塊中發(fā)光器和收光器分離的技術特點,設備既實現(xiàn)了工控網數(shù)據的單向導出,又實現(xiàn)了辦公網無任何反饋信號至工控網,將兩網絡間的安全邊界做到了物理隔離。 (3)工業(yè)協(xié)議自身漏洞層面 由于工控發(fā)展史及工控系統(tǒng)限制性等,工控系統(tǒng)SCADA軟件、PLC控制系統(tǒng)、工業(yè)通信協(xié)議等在設計過程中主要考慮可用性、實時性,對安全性的考慮不足,存在著被入侵和攻擊的可能。而生產管理網絡與生產控制多使用工業(yè)協(xié)議進行通訊,安全性不能得到保證。安盟華御數(shù)采單向光閘對生產控制系統(tǒng)不同的工業(yè)協(xié)議類型進行數(shù)據采集,以統(tǒng)一的工業(yè)協(xié)議轉發(fā)給采集服務器,單向上傳過程中使用安盟華御專有協(xié)議進行通訊,物理隔離的同時也做到協(xié)議隔離,形成安全邊界的雙重安全防護。 (4)安全設備自身安全層面 在數(shù)據采集工作進行時一般采用建立二級中心的方式,使用雙網卡數(shù)采機進行數(shù)據采集轉發(fā),使用的系統(tǒng)存在著不打補丁、不做備份、漏洞遍布的情況,很難保證其自身安全。安盟華御工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),經過專業(yè)系統(tǒng)加固,具備工控行業(yè)里高可靠、高安全的特性,是安全邊界的可靠保障。 06項目價值 (1)無縫兼容 所選工業(yè)數(shù)采單向光閘產品數(shù)采模塊支持多類工業(yè)協(xié)議,能夠滿足與某鋼鐵企業(yè)工控系統(tǒng)無縫對接,又能夠提升整體計算環(huán)境的性能和穩(wěn)定性,實現(xiàn)數(shù)據采集與物理單向上傳,安全量身定做。 (2)物理單向隔離 利用SFP光模塊中發(fā)光器和收光器分離的技術特點,設備既實現(xiàn)了工控網數(shù)據的單向導出,又實現(xiàn)辦公網無任何反饋信號至工控網,為工控網提供絕對安全的運行環(huán)境。能夠阻止各種已知與未知的安全風險,防止病毒以及相關變種通過數(shù)據采集鏈路傳播到工控生產系統(tǒng)中。 (3)協(xié)議歸一 工業(yè)數(shù)采單向光閘可對生產控制系統(tǒng)不同的工業(yè)協(xié)議類型進行數(shù)據采集,以統(tǒng)一的工業(yè)協(xié)議轉發(fā)給采集服務器,如OPC
DA,Modbus TCP等。OPC
DA協(xié)議轉發(fā)功能具備分離式部署能力,既可保證工業(yè)數(shù)采單向光閘外網單元與數(shù)采服務器間協(xié)議隔離,又可方便用戶省去傳統(tǒng)OPC配置DCOM的繁瑣操作,減輕工作量。 (4)設備自身安全 工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),設備規(guī)避了微軟Windows操作系統(tǒng)多漏洞風險,并可屏蔽常規(guī)桌面系統(tǒng)的惡意代碼,自身安全性高。 (5)可視化管控 實現(xiàn)對生產網業(yè)務系統(tǒng)操作的管理和審計,對操作人員做到“事前可知、事中可控、事后可查”的運維操作全過程管理。 (6)異常操作審計與攻擊預警 快速識別出數(shù)采層中的相關非法操作、異常事件、外部攻擊等,并實時報警。 (7)工控工作站防護 能實時防止用戶的違規(guī)和誤操作、阻止不明程序,授權移動存儲介質訪問權限等,有效提高工控主機的深度“免疫”能力。 (8)綜合審計 可完成數(shù)采層設備實時信息收集,實時監(jiān)測終端設備的通信流量和安全事件。進行不間斷安全事件關聯(lián)分析,通過強大的一體化安全管控功能界面實現(xiàn)多視角、多層次的管理與安全可視化。 07技術推廣 隨著兩化融合、工業(yè)互聯(lián)網等信息化建設的步伐越來越快,各企業(yè)中的自動化網絡系統(tǒng)不再是信息孤島,網絡間的業(yè)務交換需求也越來越多,安全問題因此日益增多,生產網絡和信息安全問題成為威脅工業(yè)企業(yè)安全的重大隱患。隨著對工控安全問題的不斷認識和了解,尤其是關鍵基礎設備的安全防護,國家已頒布和制定了相應的制度和法規(guī),信息安全建設提到一定的高度,建設的重點也從開始的自動化應用、技術研發(fā)轉移到現(xiàn)在的安全建設以及全面的安全監(jiān)測,目前安盟華御工業(yè)數(shù)采單向光閘設備已在制造、能源、水利、軍事等行業(yè)大力推廣。 作者簡介 代明祥(1985-),男,河北廊坊人,高級工程師,現(xiàn)就職于北京安盟信息技術股份有限公司,從事工控網絡安全方面的工作,熟悉路由、交換、安全架構。專研工控安全方案設計,如鋼鐵、煤礦、長輸管線等行業(yè)網絡安全方案的設計,電力系統(tǒng)如110kV變電站電力監(jiān)控系統(tǒng)安全防護方案設計等。 程?順(1983-),男,天津河東人,高級工程師,現(xiàn)就職于北京安盟信息技術股份有限公司。擁有14年信息安全與工控安全工作經驗,國家注冊信息安全專業(yè)人員(CISP),2018~2019年參與國家能源集團《煤化工工控安全防護規(guī)范》《智慧礦山工控安全防護規(guī)范》等標準編寫;發(fā)表論文《關于軍工智聯(lián)融網互聯(lián)與保密安全設計與實現(xiàn)》、《關于泛在電力物聯(lián)網智能變電站高安全隔離與安全接入設計》。
摘自《自動化博覽》2021年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第七輯)》
北京市公安局海淀分局備案號:11010802023656號