摘要：在早期，由于信息化发展水平有限，工业控制系统与信息管理层基本上处于隔离状态。因此，企业的信息化建设首先从信息层开始，经过10多年的建设积累，信息层的信息化建设已经有了较好的基础，涉及到了钢铁、勘探、加工、炼化、化工、储运等诸多工业领域，企业在管理层的指挥、协调和监控能力都有很大提升，提高了生产信息上传下达的实时性、完整性和一致性，相应的网络安全防护也有了较大提高。在信息管理层面，企业在生产领域大量引入IT技术，同时也包括各种如防火墙、IDS、VPN、防病毒等IT网络安全技术，这些技术主要面向商用网络应用层面，技术应用方面也相对成熟。

关键词：访问控制；行为监测；白名单；行为基线；钢铁；工业控制系统；信息安全

钢铁行业是自动化普及度较高的行业之一，同时也是对工业控制系统的稳定性和控制策略复杂性要求很高的行业。系统一旦出现故障，不仅造成巨大的经济损失和能源安全冲击，还会造成人身安全影响。因此对控制层的网络安全重视程度最高。

河北某钢铁自动化建设相对完善，但对于其控制系统网络仍处于空白部分，本设计在分析工业控制中心信息安全需求的基础上，通过部署信息安全设备，对工业控制中心信息安全建设提供合理依据。

1.1 设计范围

本设计针对XX钢铁轧钢产线及炼钢产线控制环境信息安全进行设计，按IEC62443的层级划分结构，本设计旨在对L1-L3层级信息安全进行设计。

1.2 设计原则

（1）技术可行性原则

设计过程中采用可落地的信息安全技术应用，确保选择的信息安全手段可发挥既定的作用。

（2）生产可用性优先原则

设计过程需要建立在生产流程的基础上，除非必须场景外，在L1.5层级不采用阻断类的管控手段，从而保障生产过程不受信息安全策略的影响，确保不会造成二次安全威胁。

（3）经济性原则

设计过程中需考虑经济的有效利用，合理应用技术手段，避免资源浪费。

（4）合规性原则

设计过程需依照《工业信息安全防护指南》、《等保2.0工业扩展部分》等国家标准，确保建设过程符合国家相关要求；同时也需参照《IEC62443》《SP800-82》等国际领先标准，依照相关信息安全标准，确保设计的合理性。

（5）生命周期延续原则

设计采用成熟稳定的主流技术手段，保障在业务生命周期内的信息安全防护，在保障期间内，应用技术不处于落后淘汰范围。

2.1 网络结构梳理

2.1.1 轧钢产线

某钢铁轧钢产线网络结构如图1所示：

图1 某钢铁轧钢产线原始拓扑

轧钢产线包含加热炉区域、主扎线区域、平整加工区域、磨辊区域，其中主扎线区域可以根据工段划分为粗轧、精轧、卷曲区域。

其中加热炉区域、平整加工区域、磨辊区域在网络结构中相对独立。特别为磨辊区域，其L1~L2层未与其他系统连接。主扎线区域相对复杂，粗轧与精轧共用一套电气室，在控制流程中，无法在物理层面区分。卷曲主控接入节点为粗精轧Switch3/6，间接与卷曲电气室（Switch5）连接。

2.1.2 炼钢产线

某钢铁炼钢（150T转炉&150连铸）产线网络结构如图2所示：

图2 某钢铁炼钢产线原始拓扑

炼钢产线网络结构相对复杂，同时炼钢网络中存在大量环网应用，具体参考图3，其中红色标记链路为环网链路：

图3 某钢铁炼钢产线环网应用

环网交换机连接均连接多条链路，造成访问控制装置无法有效部署，同时由于环网链路的建立通常包含了环网交换机的私有协议，工业防火墙不具备上述写，故不可以串接在环网主干链路中。

2.2 网络层威胁分析

网络层威胁主要体现在访问控制、流量内容过滤，未知流量方面。

2.2.1 未经授权的访问

当前在各个产线控制系统中，通过Vlan进行了网段划分，但仍存在利用交换机作为“中间人”对下发起访问的行为。

同时，轧钢产线特别是粗精轧产线存在共用控制器的场景，上述环境造成理论中存在异常操作可能。

2.2.2 拒绝服务攻击

若在网络中任意节点下发大量无效报文，会对正常通信造成影响，从而影响生产。在网络层面而言，究其原因缺少针对报文的有效识别及过滤能力，无法过滤无效报文内容。

2.2.3 未知流量威胁

对于未知流量，缺少有效的识别及管控手段，无法判定网络中是否存在漏洞利用攻击行为，需要在网络层面实现对于漏洞攻击的有效识别及防范。

2.2.4 利用无线网络的入侵行为

轧钢产线中Switch3接入设备包含无线AP，无线网络因其开放性，相比于传统网络更易造成网络侵入，存在仿冒设备接入的可能。

2.3 主机层信息安全威胁

2.3.1 恶意代码

部分操作工或运维人员通过移动存储设备或感染恶意代码的个人PC与控制系统中上位机进行连接，造成恶意代码植入上位机。

2.3.2 非法存储介质接入

在工程建设或生产过程中不可避免涉及到移动存储介质的接入问题，当前缺少对移动存储介质可信性进行认证的措施，这也是主机恶意代码的主要来源。

2.3.3 脆弱性威胁

工业应用及主机存在众多已知漏洞，上述漏洞则会成为攻击者利用的条件，对生产环境进行影响。

2.4 主机层信息安全威胁

2.4.1 缺少进程、服务管控

由于工控机特别是老式工控机性能受限，且其物理环境缺少必要的监控，存在操作人员利用工程师站、操作员站计算资源进行非生产操作的场景。

2.4.2 应用脆弱威胁

工业应用如SCADA、组态编程软件，其通常不进行补丁加固，存在较多已知漏洞，造成漏洞攻击成本降低，易遭受漏洞利用攻击。

2.5 数据层信息安全威胁

控制系统通讯协议均为工业专用协议，其在设计支持考虑多为数据传输的实时性、容错性等，无安全层面考虑，造成其中数据部分多为明文或HEX类型数据，通过对报文监听即可获取数据内容，造成生产数据的外泄。

3.1 设计思路

依照行为基线，整体安全设计参照“白名单”环境进行设定，即仅限定合法流量、进程、服务的应用。

在IT环境下由于流量种类及目标指向过于繁杂，白名单很难执行落地，在工业环境下，通信结构及流量、应用较IT环境简化，基于白名单结构可以更简单实现安全策略的落地。

3.2 安全域划分

对网络各个系统进行安全域划分，目的旨在切割风险，同时方便管理策略的执行。

轧钢产线具体划分如图4所示：

图4 某钢铁轧钢产线安全域划分

根据轧钢连扎车间的生产流程及接入环境，共划分为6个区域，如图5所示，分别为加热炉控制区、磨辊控制区、主扎线控制区、平整加工控制区及无线接入区等。

图5 某钢铁炼钢产线安全域划分

3.3 技术设计

3.3.1 访问控制设计

（1）与非控制系统边界访问控制设计

为保障IT至OT网络间实现对于指令级别的访问控制，需要部署具备对功能工业协议识别的访问控制装置。目前等保2.0对控制区与非控制区边界要求实现单向隔离即协议剥离，故在该节点建议将原防火墙替换为工业网闸实现访问控制功能。

图6 二级中控与非控制区边界访问设计

图7 磨辊车间与非控制区边界访问控制设计

炼钢车间中150T转炉五楼值班室具备对其他网络接口，包括OA系统（办公）、MES系统（生产管理）、质量系统（ERP），其均为对生产数据进行分析、研判等应用，根据划分，属于非控制区域。

图8 炼钢车间与非控制区边界访问控制设计

（2）产线间控制系统边界访问控制设计

XX钢铁采用的数采网关为windows PE操作系统，在隔离作用中可视作双网卡PC，仅实现通讯协议的采集及转发功能，较易作为“中间跳板”对轧钢产线进行非法访问，综上所述，数采网关不具备边界隔离作用。需要在其边界部署访问控制手段实现对于其他产线访问流量管控。

图9 与其他产线控制边界访问控制设计

（3）无线区域边界访问控制设计

无线接入区域中辊道小车均为独立控制（本地HMI），部分数据通过Wi-Fi传输与其他区域，该区域相对其他区域，安全性较低，需要增加访问控制措施实现不同安全等级安全域的隔离。

图10 无线区域边界访问控制设计

（4）区域间访问控制设计

在生产网中，网络边界防火墙将以最小通过性原则部署配置，根据业务需求采用白名单方式，逐条梳理业务流程，增加开放IP和开放端口，实现严格流量管控。

图11 加热炉控制区与主扎线区域边界访问控制设计

3.3.2 网络行为监测设计

（1）操作行为监测设计

在控制器前端交换机部署监测审计手段，用来实现对于操作过程的监测。

（2）访问流量回溯

针对控制系统外对控制系统访问内容进行回溯，该设计要求行为审计不仅对工业流量进行解析，而且对远程桌面、telnet等行为进行有效解析，同时针对控制器与上位机固定通讯流量进行监测并统计。

（3）网络白名单

通过策略设定或自学习，对网络监测节点协议进行白名单过滤，限定可流通协议，对于限定外协议进行报警。

3.3.3 主机行为管控设计

主机白名单客户端部署于轧钢产线全部PC，原则上不允许存在例外，通过对终端的管控，构成工业安全实质层面最外层的安全防线。

（1）进程及服务管控

主机白名单以最小化设定为原则，对主机中应用进行管控，针对目标应用必要进程及服务开放白名单，非限定进程及服务均禁止运行。该策略在保证生产持续进行条件下有效降低对工控计算资源的占用。

（2）接口管控

对轧钢产线中移动存储介质通过终端管控进行分级授权，未经授权移动存储介质从驱动层面禁用。在管理层面，禁止运维移动终端作为工程师个人PC，第三方调试PC均需要纳入终端管控范围。

3.3.4 脆弱性检测设计

采用离线工控系统漏洞扫描和入网检测，对目标设备进行扫描，凡是生产网内工业控制系统中所特有的设备/系统必须经工控漏洞扫描检测合格后，方能具备入网资格。

4.1 部署结构

轧钢产线部署结构如图12所示：

图12 轧钢产线信息安全整体部署结构图

本次设计在不改变原有网络结构的基础上，将原有网络划分为6个独立区域，在其间部署访问控制手段进行隔离；控制器接入前端部署审计探针，对出入栈内容进行解析及检测；全部主机部署主机白名单面对进程及服务进行管控；漏洞扫描以服务形式，对停产维护资产以及新上线系统进行健康性检测。

炼钢产线部署结构图如图13所示：

图13 炼钢产线信息安全整体部署结构图

由于环网主干链路的存在，炼钢车间部分区域无法进行有效访问控制。同时由于炼钢车间与轧钢车间间隔两台数据采集网关，造成网络不可达，故在部署过程中炼钢产线也部署一套独立的审计系统。

4.2 技术对应设备说明

表1 技术对应设备说明

5 补充设计说明

由于本次设计仅针对轧钢产线及炼钢产线，建议在全厂基础设施信息安全建设完毕后，增加全厂信息安全调度平台及厂级工业信息安全态势感知平台及相关服务应用。

整体信息安全防护框架如图14所示：

图14 安全框架设计

整体框架分别由安全防护体系、态势感知体系及应急响应体系构成，三套体系分别承担生产网中的安全防护及安全检测能力，安全场景分析能力，安全应急响应能力。三套体系数据交互，构成整体纵向防御架构。

来源：工业安全产业联盟