2014年，以Havex为代表的新一代的APT攻击肆虐工业控制系统，而基于信息网络安全的防护手段及现有的工控网络防护手段，在APT2.0时代的攻击面前已经成为“皇帝的新衣”。面对APT2.0时代的威胁，打造针对于工控网络的新一代防御体系已势在必行。很多人对2014年黑客APT攻击德国钢厂事件仍然记忆犹新：黑客通过鱼叉式网络钓鱼和精心安排的社会工程学攻击手段获取钢厂办公网络访问权，成功进入生产网络并攻击，导致工控系统的控制组件和整个生产线被迫停止运转，非正常关闭炼钢炉令钢厂损失惨重。

    目前，我国钢企在原料场、焦化、烧结、炼铁、炼钢、轧钢等主要工艺阶段已实现全流程自动化控制，随着两化融合、能源管理系统的建设，工业控制系统的信息安全问题日益凸显，钢企系统架构中存在着的信息安全隐患令人担忧。
 

    2015年6月24日，在通化市举行的第37届全国冶金企业自动化、信息化技术论坛上，北京匡恩网络科技有限责任公司的解决方案总监井柯，为参会代表带来了一场题为“一场没有硝烟的战争，由德国钢厂遭黑客攻击引发的思考”的精彩报告，以德国钢厂遭攻击透视中国冶金行业控制系统网络安全存在的潜在威胁，并为参会代表奉上匡恩网络的独家解决方案。

    潜在的威胁

    目前，钢铁厂控制网络按控制功能和逻辑分为1-4级网络（如下图）：
 

    • L4(企业资源计划级ERP)；

    • L3(生产管理级MES)；

    • L2(过程控制级PCS)：过程控制网和实时数据库采集网；

    • L1(基础自动化级BAS)：由PLC组成的控制层和SCADA形成的监控层构成。

    大部分钢厂中的自动控制系统已经和信息系统连成一体，L2与L3之间由防火墙和数据交换平台进行隔离(逻辑隔离)，在L2以下没有防火墙，OA与ERP和MES服务器之间没有隔离，现有的安全措施并不足以保证控制系统的安全，攻击者可能会利用ICS的安全漏洞获取诸如煤气柜、大型锅炉等大型设备的控制权。
 

    存在的漏洞

    通信协议漏洞

    • L1级一般采用modbus等通信协议，存在授权、加密等安全问题。

    • L1级与L2级过程控制系统和实时数据库系统之间是采用OPC协议，极易受到攻击。同时OPC通信采用动态端口，不能有效使用传统的IT防火墙。

    操作系统漏洞

    • ICS的工程师站/操作站/过程级HMI都是通用的Windows操作系统，很少装补丁，或装补丁后不能正常运行，从而埋下安全隐患。

    安全策略和管理流程漏洞

    • 缺乏完整有效的安全策略与管理流程，人员信息安全意识缺乏，如调试用笔记本电脑、U盘等设备的使用及不严格的访问控制策略，为有目的的攻击创造机会。

    匡恩网络的解决方案

    在匡恩网络提供的解决方案中，建立安全区域，确定区域边界并对其安全防护，通过安全防护产品达到以下目标：

    1. 防止任何未定义流量经过区域边界。

    2. 防止所有含有恶意软件或代码的已定义流量通过区域边界。

    3. 检测并记录可疑或异常活动。

    4. 在区域内容记录正常或者合法的活动，可用于合规性报告。

    匡恩网络通过全网监测审计平台对控制系统操作行为进行审核，详细记录调度系统对过程控制系统的所有操作行为，实现对关键参数配置实时监测与安全审计并进行及时的预警响应；在L3与L2之间、L2和L1之间部署智能保护产品，通过工业协议的深度解析确保上位机监控系统与现场控制设备之间通讯与控制的合法性；在OPC服务器端采用数据采集隔离终端 进行数据传输防护；建立攻防模拟验证系统，模拟钢铁自动化系统应用，通过不断的在系统上进行深入的漏洞挖掘、攻击研究，完成攻击效果展示及安全防护方案验证。

    随着“中国制造2025”进程的加深，冶金行业自动化信息完全建设将迎来高速发展时代，但同时所面临工业控制信息安全问题也日益严峻。如井柯引用狄更斯《双城记》中的那句话，“这是一个最好的时代，也是一个最坏的时代”，工业控制网络安全之路任重道远，匡恩网络作为工业4.0时代的网络安全专家，专注于解决工业控制系统的网络安全问题，为“中国制造2025”保驾护航。