登錄名: 密碼: 驗證碼: 4491


當前位置:礦權網首頁找專家專家論文 → 鋼鐵行業工業控制系統解決方案
鋼鐵行業工業控制系統解決方案
論文類別:專家論文
作 者:佚名
所在地區:鋼鐵行業工業控制系統解決方案
下載次數:36
摘 要:
    摘要:圍繞鋼鐵行業工業控制中心信息安全需求,通過部署信息安全設備,對工業控制中心信息安全建設提供解決方案。針對鋼鐵軋鋼產線及煉鋼產線控制環境信息安全進行設計,按IEC62443的層級劃分結構,對L1-L3層級信息安全進行設計。還可以基于全廠基礎設施信息安全建設,增加全廠信息安全調度平臺及廠級工業信息安全態勢感知平臺及相關服務應用,形成整體信息安全防護框架。
    關鍵詞:訪問控制;行為監測;白名單;行為基線;鋼鐵;工業控制系統;信息安全
    1設計背景
    鋼鐵行業是自動化普及度較高的行業之一,同時也是對工業控制系統的穩定性和控制策略復雜性要求很高的行業。系統一旦出現故障,不僅造成巨大的經濟損失和能源安全沖擊,還會造成人身安全影響,因此對控制層的網絡安全重視程度最高。本設計在分析工業控制中心信息安全需求的基礎上,通過部署信息安全設備,對工業控制中心信息安全建設提供合理依據。
    1.1設計范圍
    本設計針對XX鋼鐵軋鋼產線及煉鋼產線控制環境信息安全進行設計,按IEC62443的層級劃分結構,本設計旨在對L1-L3層級信息安全進行設計。
    1.2設計原則
    技術可行性原則設計過程中采用可落地的信息安全技術應用,確保選擇的信息安全手段可發揮既定的作用。生產可用性優先原則設計過程需要建立在生產流程的基礎上,除非必須場景外,在L1.5層級不采用阻斷類的管控手段,從而保障生產過程不受信息安全策略的影響,確保不會造成二次安全威脅。經濟性原則設計過程中需考慮經濟的有效利用,合理應用技術手段,避免資源浪費。合規性原則設計過程需依照《工業控制系統信息安全防護指南》、GB/T22239-2019的2.0工業擴展部分等要求和國家標準,確保建設過程符合國家相關要求;同時也需參照IEC62443、SP800-82等國際領先標準,依照相關信息安全標準,確保設計的合理性。生命周期延續原則設計采用成熟穩定的主流技術手段,保障在業務生命周期內的信息安全防護,在保障期間內,應用技術不處于落后淘汰范圍。
    2信息安全威脅分析
    2.1網絡結構梳理
    2.1.1軋鋼產線某鋼鐵軋鋼產線網絡結構下圖1所示:軋鋼產線包含加熱爐區域、主扎線區域、平整加工區域、磨輥區域,其中主扎線區域可以根據工段劃分為粗軋、精軋、卷曲區域。其中加熱爐區域、平整加工區域、磨輥區域在網絡結構中相對獨立。特別是磨輥區域,其L1~L2層未與其他系統連接。主扎線區域相對復雜,粗軋與精軋共用一套電氣室,在控制流程中,無法在物理層面區分。卷曲主控接入節點為粗精軋Switch3/6,間接與卷曲電氣室(Switch5)連接。2.1.2煉鋼產線某鋼鐵煉鋼(150T轉爐&150連鑄)產線網絡結構如圖2所示:煉鋼產線網絡結構相對復雜,同時煉鋼網絡中存在大量環網應用,具體參考圖3,其中紅色標記鏈路為環網鏈路:環網交換機連接均連接多條鏈路,造成訪問控制裝置無法有效部署,同時由于環網鏈路的建立通常包含了環網交換機的私有協議,工業防火墻不具備上述,故不可以串接在環網主干鏈路中。
    2.2網絡層威脅分析
    網絡層威脅主要體現在訪問控制、流量內容過濾,未知流量方面。2.2.1未經授權的訪問當前在各個產線控制系統中,通過Vlan進行了網段劃分,但仍存在利用交換機作為“中間人”對下發起訪問的行為。同時,軋鋼產線特別是粗精軋產線存在共用控制器的場景,上述環境造成理論中存在異常操作可能。2.2.2拒絕服務攻擊若在網絡中任意節點下發大量無效報文,會對正常通信造成影響,從而影響生產。在網絡層面而言,究其原因缺少針對報文的有效識別及過濾能力,無法過濾無效報文內容。圖1某鋼鐵軋鋼產線原始拓撲2.2.3未知流量威脅對于未知流量,缺少有效的識別及管控手段,無法判定網絡中是否存在漏洞利用攻擊行為,需要在網絡層面實現對于漏洞攻擊的有效識別及防范。2.2.4利用無線網絡的入侵行為軋鋼產線中Switch3接入設備包含無線AP,無線網絡因其開放性,相比于傳統網絡更易造成網絡侵入,存在仿冒設備接入的可能。
    2.3主機層信息安全威脅
    2.3.1惡意代碼部分操作工或運維人員通過移動存儲設備或感染惡意代碼的個人PC與控制系統中上位機進行連接,造成惡意代碼植入上位機。2.3.2非法存儲介質接入在工程建設或生產過程中不可避免涉及到移動存儲介質的接入問題,當前缺少對移動存儲介質可信性進行認證的措施,這也是主機惡意代碼的主要來源。2.3.3脆弱性威脅工業應用及主機存在眾多已知漏洞,上述漏洞則會成為攻擊者利用的條件,對生產環境進行影響。
    2.4應用層信息安全威脅
    2.4.1缺少進程、服務管控由于工控機特別是老式工控機性能受限,且其物理環境缺少必要的監控,存在操作人員利用工程師站、操作員站計算資源進行非生產操作的場景。2.4.1應用脆弱威脅工業應用如SCADA、組態編程軟件,其通常不進行補丁加固,存在較多已知漏洞,造成漏洞攻擊成本降低,易遭受漏洞利用攻擊。
    2.5數據層信息安全威脅
    控制系統通訊協議均為工業專用協議,其在設計支持考慮多為數據傳輸的實時性、容錯性等,無安全層面考慮,造成其中數據部分多為明文或HEX類型數據,通過對報文監聽即可獲取數據內容,造成生產數據的外泄。
    3信息安全設計
    3.1設計思路
    依照行為基線,整體安全設計參照“白名單”環境進行設定,即僅限定合法流量、進程、服務的應用。在IT環境下由于流量種類及目標指向過于繁雜,白名單很難執行落地,在工業環境下通信結構及流量、應用較IT環境簡化,基于白名單結構可以更簡單實現安全策略的落地。
    3.2安全域劃分
    對網絡各個系統進行安全域劃分,目的旨在切割風險,同時方便管理策略的執行。軋鋼產線具體劃分如圖4所示根據軋鋼連扎車間的生產流程及接入環境,共劃分為6個區域,如圖5所示,分別為加熱爐控制區、磨輥控制區、主扎線控制區、平整加工控制區及無線接入區等。
    3.3技術設計
    3.3.1訪問控制設計與非控制系統邊界訪問控制設計為保障IT至OT網絡間實現對于指令級別的訪問控制,需要部署具備對功能工業協議識別的訪問控制裝置。目前等保2.0對控制區與非控制區邊界要求實現單向隔離即協議剝離,故在該節點建議將原防火墻替換為工業網閘實現訪問控制功能。詳見圖6、圖7、圖8。煉鋼車間中150T轉爐五樓值班室具備對其他網絡接口,包括OA系統(辦公)、MES系統(生產管理)質量系統(ERP),其均為對生產數據進行分析、研判等應用,根據劃分,屬于非控制區域。產線間控制系統邊界訪問控制設計XX鋼鐵采用的數采網關為windowsPE操作系統,在隔離作用中可視作雙網卡PC,僅實現通訊協議的采集及轉發功能,較易作為“中間跳板”對軋鋼產線進行非法訪問。綜上所述,數采網關不具備邊界隔離作用。需要在其邊界部署訪問控制手段實現對于其他產線訪問流量管控。詳見圖9。無線區域邊界訪問控制設計無線接入區域中輥道小車均為獨立控制(本地HMI),部分數據通過Wi-Fi傳輸與其他區域,該區域相對其他區域,安全性較低,需要增加訪問控制措施實現不同安全等級安全域的隔離。詳見圖10。區域間訪問控制設計在生產網中,網絡邊界防火墻將以最小通過性原則部署配置,根據業務需求采用白名單方式,逐條梳理業務流程,增加開放IP和開放端口,實現嚴格流量管控。詳見圖11。3.3.2網絡行為監測設計操作行為監測設計煉鋼車間中150T轉爐五樓值班室具備對其他網絡接口,包括OA系統(辦公)、MES系統(生產管理)、質量系統(ERP),其均為對生產數據進行分析、研判在控制器前端交換機部署監測審計手段,用來實現對于操作過程的監測。訪問流量回溯針對控制系統外對控制系統訪問內容進行回溯,該設計要求行為審計不僅對工業流量進行解析,而且對遠程桌面、telnet等行為進行有效解析,同時針對控制器與上位機固定通訊流量進行監測并統計。網絡白名單通過策略設定或自學習,對網絡監測節點協議進行白名單過濾,限定可流通協議,對于限定外協議進行報警。3.3.3主機行為管控設計主機白名單客戶端部署于軋鋼產線全部PC,原則上不允許存在例外,通過對終端的管控,構成工業安全實質層面最外層的安全防線。進程及服務管控主機白名單以最小化設定為原則,對主機中應用進行管控,針對目標應用必要進程及服務開放白名單,非限定進程及服務均禁止運行。該策略在保證生產持續進行條件下有效降低對工控計算資源的占用。接口管控對軋鋼產線中移動存儲介質通過終端管控進行分級授權,未經授權移動存儲介質從驅動層面禁用。在管理層面,禁止運維移動終端作為工程師個人PC,第三方調試PC均需要納入終端管控范圍。3.3.4脆弱性檢測設計采用離線工控系統漏洞掃描和入網檢測,對目標設備進行掃描,凡是生產網內工業控制系統中所特有的設備/系統必須經工控漏洞掃描檢測合格后,方能具備入網資格。
    4部署結構及說明
    4.1部署結構
    軋鋼產線部署結構如圖12所示:本次設計在不改變原有網絡結構的基礎上,將原有網絡劃分為6個獨立區域,在其間部署訪問控制手段進行隔離;控制器接入前端部署審計探針,對出入棧內容進行解析及檢測;全部主機部署主機白名單面對進程及服務進行管控;漏洞掃描以服務形式,對停產維護資產以及新上線系統進行健康性檢測。煉鋼產線部署結構圖如圖13所示:由于環網主干鏈路的存在,煉鋼車間部分區域無法進行有效訪問控制。同時由于煉鋼車間與軋鋼車間間隔兩臺數據采集網關,造成網絡不可達,故在部署過程中煉鋼產線也部署一套獨立的審計系統。
    4.2技術對應設備說明
    技術對應設備說明見表1。5補充設計說明由于本次設計僅針對軋鋼產線及煉鋼產線,建議在全廠基礎設施信息安全建設完畢后,增加全廠信息安全調度平臺、廠級工業信息安全態勢感知平臺及相關服務應用。整體信息安全防護框架如圖14所示:整體框架分別由安全防護體系、態勢感知體系及應急響應體系構成,三套體系分別承擔生產網中的安全防護及安全檢測能力、安全場景分析能力、安全應急響應能力。三套體系數據交互,構成整體縱向防御架構。
發表評論
滿意程度: 一般
評論內容:
X關閉
關閉
0315-2738258 13303155855 工作日:8:00-23:00
周 六:8:00-23:00
點擊這里給我發消息
點擊這里給我發消息
點擊這里給我發消息
掃描關注微信公眾號
微信客服
上海彩票网站app