今日頭條
官方微信
官方抖音
資訊頻道本文主要介紹某鋼鐵企業(yè)的生產(chǎn)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全防護建設(shè),在鋼鐵企業(yè)的實際網(wǎng)絡(luò)環(huán)境中,支撐生產(chǎn)調(diào)度業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)主要包含:工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與生產(chǎn)管理網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)主要負責(zé)企業(yè)實際的生產(chǎn)業(yè)務(wù),生產(chǎn)管理網(wǎng)絡(luò)主要負責(zé)生產(chǎn)調(diào)度級決策。 1.1?工業(yè)控制系統(tǒng)網(wǎng)絡(luò) 分散在物理隔離的各生產(chǎn)流程中的34套工業(yè)控制系統(tǒng),大部分為DCS控制系統(tǒng),部分控制系統(tǒng)采用西門子PLC設(shè)備。現(xiàn)場控制層:主要包括各類DCS控制器及PLC控制器,用于對各現(xiàn)場設(shè)備進行控制;過程監(jiān)控層:主要包括過程控制服務(wù)器與HMI/SCADA系統(tǒng)功能單元,用于對整個生產(chǎn)過程數(shù)據(jù)進行采集和監(jiān)控,工藝技術(shù)人員通過操作員站對現(xiàn)場控制層進行工藝參數(shù)的調(diào)整和優(yōu)化,維護正常的生產(chǎn)過程。 1.2?生產(chǎn)管理網(wǎng)絡(luò) 主要通過生產(chǎn)綜合調(diào)度系統(tǒng)、能源管理系統(tǒng)(EMS)等生產(chǎn)管理系統(tǒng),用于為企業(yè)提供包括生產(chǎn)過程數(shù)據(jù)管理、計劃排產(chǎn)管理、生產(chǎn)調(diào)度管理、庫存管理、質(zhì)量管理、人力資源管理、成本管理、物流管理等生產(chǎn)管理服務(wù)。 生產(chǎn)管理網(wǎng)絡(luò)通過部署2臺冗余數(shù)采服務(wù)器實現(xiàn)對生產(chǎn)線的實時生產(chǎn)信息的采集,上傳到生產(chǎn)綜合調(diào)度系統(tǒng)等系統(tǒng)的實時數(shù)據(jù)庫及業(yè)務(wù)數(shù)據(jù)庫中,為生產(chǎn)決策提供數(shù)據(jù)支撐。通過對生產(chǎn)綜合調(diào)度系統(tǒng)的建設(shè),可快速全面地得到企業(yè)績效目標與實際生產(chǎn)指標的差異,監(jiān)控生產(chǎn)運動動態(tài)情況及時發(fā)現(xiàn)異常并做出正確決策,實現(xiàn)企業(yè)績效持續(xù)提升。 02項目目標 依照本試點項目的設(shè)計,可使某鋼鐵工控系統(tǒng)實現(xiàn)對黑客、病毒、惡意代碼等高風(fēng)險抵御,阻止內(nèi)部/外部人員的非法訪問,工控系統(tǒng)中的相關(guān)數(shù)據(jù)采集做到純物理單向上傳到生產(chǎn)管理網(wǎng)絡(luò)的生產(chǎn)綜合調(diào)度系統(tǒng)中,零數(shù)據(jù)包返回。 本試點項目的建設(shè)目標和主要任務(wù)如下: (1)抵御互聯(lián)網(wǎng)/辦公網(wǎng)發(fā)起的惡意攻擊和破壞; (2)防止勒索病毒、木馬等惡意程序?qū)た仃P(guān)鍵系統(tǒng)造成不利影響和破壞; (3)對工控關(guān)鍵系統(tǒng)主機進行USB接口管控、系統(tǒng)加固、病毒預(yù)防等; (4)對數(shù)采服務(wù)器及生產(chǎn)綜合調(diào)度系統(tǒng)等生產(chǎn)管理系統(tǒng)的運維人員實時管控與審計; (5)實現(xiàn)數(shù)采鏈路間的物理隔離與訪問控制; (6)對生產(chǎn)管理網(wǎng)絡(luò)進行深度的審計及行為管控; (7)對過程監(jiān)控層內(nèi)由DCS、SCADA系統(tǒng)組成的安全域做域間安全隔離與訪問控制; (8)生產(chǎn)設(shè)備資產(chǎn)結(jié)合安全設(shè)備防護日志等信息匯聚至統(tǒng)一的安全管理平臺,以網(wǎng)絡(luò)拓撲、事件預(yù)警的方式做微態(tài)勢感知。 03方案設(shè)計思路 本方案主要實現(xiàn)某鋼鐵企業(yè)工控系統(tǒng)單向數(shù)據(jù)采集上傳到生產(chǎn)管理網(wǎng)絡(luò)生產(chǎn)綜合調(diào)度系統(tǒng)的功能,同時又要做到各生產(chǎn)控制系統(tǒng)安全域間的安全隔離與訪問控制,因此推薦安盟華御“工業(yè)數(shù)采單向光閘+工業(yè)防火墻”方案,以實現(xiàn)安全防護功能。 (1)工業(yè)數(shù)采單向光閘:實現(xiàn)關(guān)鍵生產(chǎn)數(shù)據(jù)單向數(shù)據(jù)采集上傳到生產(chǎn)管理層生產(chǎn)綜合調(diào)度系統(tǒng)(光信號,無反饋)。 (2)工業(yè)防火墻:實現(xiàn)各生產(chǎn)控制系統(tǒng)安全域間的安全隔離與信息交換訪問控制。 04整體解決方案 在某鋼鐵企業(yè)實際應(yīng)用環(huán)境中,控制網(wǎng)絡(luò)都是“敞開的”,比如與生產(chǎn)綜合調(diào)度與辦公網(wǎng)OA/ERP的業(yè)務(wù)交互,在各控制系統(tǒng)安全域邊界及層級邊界缺乏有效單向控制與隔離、安全審計、運維防護等技術(shù)和機制。 在本項目中的關(guān)鍵技術(shù)使用安盟華御工業(yè)數(shù)采單向光閘將生產(chǎn)控制區(qū)中的各類數(shù)據(jù)采集匯總,單向?qū)С鲋镣饩W(wǎng)側(cè),可對外提供OPC、Modbus
TCP等通用數(shù)據(jù)服務(wù),同時可對接阿里、華為等各類云平臺。數(shù)據(jù)從工控網(wǎng)向管理網(wǎng)的單向傳輸,規(guī)避了威脅信息通過管理網(wǎng)進入工控網(wǎng)的風(fēng)險。 本項目建設(shè)需要對3條數(shù)采鏈路及1條辦公網(wǎng)絡(luò)系統(tǒng)的鏈路進行防護,做到生產(chǎn)系統(tǒng)的高安全隔離。輔以工業(yè)防火墻設(shè)備、工業(yè)審計系統(tǒng)、主機衛(wèi)士及網(wǎng)絡(luò)安全管理平臺,對工控生產(chǎn)網(wǎng)絡(luò)進行全方位的網(wǎng)絡(luò)安全防護,保護企業(yè)生產(chǎn)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)安全設(shè)計圖如圖1所示。 網(wǎng)絡(luò)安全設(shè)計圖 以某鋼鐵企業(yè)實際業(yè)務(wù)需求為基礎(chǔ),綜合各類安全產(chǎn)品特性,以生產(chǎn)安全為目的,通過最小經(jīng)濟投入,合理配備少量安全產(chǎn)品,實現(xiàn)最大化的安全收益。 (1)使用工業(yè)數(shù)采單向光閘實現(xiàn)單向數(shù)據(jù)采集與上傳。根據(jù)數(shù)采鏈路數(shù)量以及工業(yè)數(shù)采單向光閘產(chǎn)品的物理接口數(shù)量,兼顧接口冗余備份功能,可配備12臺安盟華御工業(yè)數(shù)采單向光閘(每套工業(yè)數(shù)采單向光閘共5個通信接口,啟用其中3個通信接口作為采集接口,留1個接口備用、1個接口管理使用),如圖2所示。 工業(yè)數(shù)采單向光閘數(shù)采鏈路 (2)使用工業(yè)防火墻防護數(shù)據(jù)采集鏈路,同時對安全域間的信息交換做安全策略配置,并做到采集鏈路間的隔離。每3條數(shù)采鏈路匯聚到1臺工業(yè)防火墻上,每條鏈路使用獨立網(wǎng)橋,互不干涉。34條數(shù)采鏈路,配備12臺工業(yè)防火墻(通過接口擴展,每臺工業(yè)防火墻最大支持10個通信接口,提供6個接口作為通信口,做3進3出的3條鏈路防護,留2進2出作為備份。每臺工業(yè)防火墻對應(yīng)1臺工業(yè)數(shù)采單向光閘),如圖3所示。 工業(yè)防火墻防護數(shù)據(jù)采集鏈路 05項目難點與創(chuàng)新點 (1)工業(yè)數(shù)據(jù)收集層面 在某鋼鐵企業(yè)實際的34條數(shù)采鏈路中,包含了多種類型的工業(yè)自動化系統(tǒng),廠家也存在差異,因此數(shù)據(jù)采集工作需要一種具備多種采集協(xié)議的平臺設(shè)備。安盟華御工業(yè)數(shù)采單向光閘的內(nèi)網(wǎng)單元數(shù)采模塊支持多類工業(yè)協(xié)議,如常見的DCS系統(tǒng)、PLC控制器、智能儀表、數(shù)控機床類設(shè)備等,具備高速集成各類工業(yè)控制系統(tǒng)的能力。 (2)邊界安全隔離層面 隨著工業(yè)自動化及智能制造技術(shù)的大力推進,企業(yè)內(nèi)的生產(chǎn)管理網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)的邊界變得不再清晰,存在著業(yè)務(wù)信息的上傳和數(shù)據(jù)的交叉,而兩個網(wǎng)絡(luò)中都存在系統(tǒng)升級、數(shù)據(jù)備份等,移動介質(zhì)的不規(guī)范使用給兩個網(wǎng)絡(luò)都帶來了安全威脅。安盟華御數(shù)采單向光閘利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點,設(shè)備既實現(xiàn)了工控網(wǎng)數(shù)據(jù)的單向?qū)С觯謱崿F(xiàn)了辦公網(wǎng)無任何反饋信號至工控網(wǎng),將兩網(wǎng)絡(luò)間的安全邊界做到了物理隔離。 (3)工業(yè)協(xié)議自身漏洞層面 由于工控發(fā)展史及工控系統(tǒng)限制性等,工控系統(tǒng)SCADA軟件、PLC控制系統(tǒng)、工業(yè)通信協(xié)議等在設(shè)計過程中主要考慮可用性、實時性,對安全性的考慮不足,存在著被入侵和攻擊的可能。而生產(chǎn)管理網(wǎng)絡(luò)與生產(chǎn)控制多使用工業(yè)協(xié)議進行通訊,安全性不能得到保證。安盟華御數(shù)采單向光閘對生產(chǎn)控制系統(tǒng)不同的工業(yè)協(xié)議類型進行數(shù)據(jù)采集,以統(tǒng)一的工業(yè)協(xié)議轉(zhuǎn)發(fā)給采集服務(wù)器,單向上傳過程中使用安盟華御專有協(xié)議進行通訊,物理隔離的同時也做到協(xié)議隔離,形成安全邊界的雙重安全防護。 (4)安全設(shè)備自身安全層面 在數(shù)據(jù)采集工作進行時一般采用建立二級中心的方式,使用雙網(wǎng)卡數(shù)采機進行數(shù)據(jù)采集轉(zhuǎn)發(fā),使用的系統(tǒng)存在著不打補丁、不做備份、漏洞遍布的情況,很難保證其自身安全。安盟華御工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),經(jīng)過專業(yè)系統(tǒng)加固,具備工控行業(yè)里高可靠、高安全的特性,是安全邊界的可靠保障。 06項目價值 (1)無縫兼容 所選工業(yè)數(shù)采單向光閘產(chǎn)品數(shù)采模塊支持多類工業(yè)協(xié)議,能夠滿足與某鋼鐵企業(yè)工控系統(tǒng)無縫對接,又能夠提升整體計算環(huán)境的性能和穩(wěn)定性,實現(xiàn)數(shù)據(jù)采集與物理單向上傳,安全量身定做。 (2)物理單向隔離 利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點,設(shè)備既實現(xiàn)了工控網(wǎng)數(shù)據(jù)的單向?qū)С觯謱崿F(xiàn)辦公網(wǎng)無任何反饋信號至工控網(wǎng),為工控網(wǎng)提供絕對安全的運行環(huán)境。能夠阻止各種已知與未知的安全風(fēng)險,防止病毒以及相關(guān)變種通過數(shù)據(jù)采集鏈路傳播到工控生產(chǎn)系統(tǒng)中。 (3)協(xié)議歸一 工業(yè)數(shù)采單向光閘可對生產(chǎn)控制系統(tǒng)不同的工業(yè)協(xié)議類型進行數(shù)據(jù)采集,以統(tǒng)一的工業(yè)協(xié)議轉(zhuǎn)發(fā)給采集服務(wù)器,如OPC
DA,Modbus TCP等。OPC
DA協(xié)議轉(zhuǎn)發(fā)功能具備分離式部署能力,既可保證工業(yè)數(shù)采單向光閘外網(wǎng)單元與數(shù)采服務(wù)器間協(xié)議隔離,又可方便用戶省去傳統(tǒng)OPC配置DCOM的繁瑣操作,減輕工作量。 (4)設(shè)備自身安全 工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),設(shè)備規(guī)避了微軟Windows操作系統(tǒng)多漏洞風(fēng)險,并可屏蔽常規(guī)桌面系統(tǒng)的惡意代碼,自身安全性高。 (5)可視化管控 實現(xiàn)對生產(chǎn)網(wǎng)業(yè)務(wù)系統(tǒng)操作的管理和審計,對操作人員做到“事前可知、事中可控、事后可查”的運維操作全過程管理。 (6)異常操作審計與攻擊預(yù)警 快速識別出數(shù)采層中的相關(guān)非法操作、異常事件、外部攻擊等,并實時報警。 (7)工控工作站防護 能實時防止用戶的違規(guī)和誤操作、阻止不明程序,授權(quán)移動存儲介質(zhì)訪問權(quán)限等,有效提高工控主機的深度“免疫”能力。 (8)綜合審計 可完成數(shù)采層設(shè)備實時信息收集,實時監(jiān)測終端設(shè)備的通信流量和安全事件。進行不間斷安全事件關(guān)聯(lián)分析,通過強大的一體化安全管控功能界面實現(xiàn)多視角、多層次的管理與安全可視化。 07技術(shù)推廣 隨著兩化融合、工業(yè)互聯(lián)網(wǎng)等信息化建設(shè)的步伐越來越快,各企業(yè)中的自動化網(wǎng)絡(luò)系統(tǒng)不再是信息孤島,網(wǎng)絡(luò)間的業(yè)務(wù)交換需求也越來越多,安全問題因此日益增多,生產(chǎn)網(wǎng)絡(luò)和信息安全問題成為威脅工業(yè)企業(yè)安全的重大隱患。隨著對工控安全問題的不斷認識和了解,尤其是關(guān)鍵基礎(chǔ)設(shè)備的安全防護,國家已頒布和制定了相應(yīng)的制度和法規(guī),信息安全建設(shè)提到一定的高度,建設(shè)的重點也從開始的自動化應(yīng)用、技術(shù)研發(fā)轉(zhuǎn)移到現(xiàn)在的安全建設(shè)以及全面的安全監(jiān)測,目前安盟華御工業(yè)數(shù)采單向光閘設(shè)備已在制造、能源、水利、軍事等行業(yè)大力推廣。 作者簡介 代明祥(1985-),男,河北廊坊人,高級工程師,現(xiàn)就職于北京安盟信息技術(shù)股份有限公司,從事工控網(wǎng)絡(luò)安全方面的工作,熟悉路由、交換、安全架構(gòu)。專研工控安全方案設(shè)計,如鋼鐵、煤礦、長輸管線等行業(yè)網(wǎng)絡(luò)安全方案的設(shè)計,電力系統(tǒng)如110kV變電站電力監(jiān)控系統(tǒng)安全防護方案設(shè)計等。 程?順(1983-),男,天津河?xùn)|人,高級工程師,現(xiàn)就職于北京安盟信息技術(shù)股份有限公司。擁有14年信息安全與工控安全工作經(jīng)驗,國家注冊信息安全專業(yè)人員(CISP),2018~2019年參與國家能源集團《煤化工工控安全防護規(guī)范》《智慧礦山工控安全防護規(guī)范》等標準編寫;發(fā)表論文《關(guān)于軍工智聯(lián)融網(wǎng)互聯(lián)與保密安全設(shè)計與實現(xiàn)》、《關(guān)于泛在電力物聯(lián)網(wǎng)智能變電站高安全隔離與安全接入設(shè)計》。
摘自《自動化博覽》2021年1月刊暨《工業(yè)控制系統(tǒng)信息安全專刊(第七輯)》
北京市公安局海淀分局備案號:11010802023656號