鋼鐵行業(yè)生產(chǎn)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全防護(hù)解決方案
2021-06-18
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
對(duì)分散在鋼鐵行業(yè)物理隔離的各生產(chǎn)流程中的工業(yè)控制系統(tǒng)進(jìn)行數(shù)據(jù)采集,物理單向上傳至生產(chǎn)調(diào)度系統(tǒng),對(duì)工業(yè)生產(chǎn)網(wǎng)絡(luò)進(jìn)行網(wǎng)絡(luò)安全防護(hù)建設(shè)的同時(shí),滿足企業(yè)生產(chǎn)調(diào)度系統(tǒng)對(duì)生產(chǎn)業(yè)務(wù)調(diào)度、監(jiān)控的需求,抵御兩網(wǎng)間相互的非法入侵與攻擊。
01 項(xiàng)目背景
本文主要介紹某鋼鐵企業(yè)的生產(chǎn)調(diào)度系統(tǒng)網(wǎng)絡(luò)安全防護(hù)建設(shè),在鋼鐵企業(yè)的實(shí)際網(wǎng)絡(luò)環(huán)境中,支撐生產(chǎn)調(diào)度業(yè)務(wù)的網(wǎng)絡(luò)系統(tǒng)主要包含:工業(yè)控制系統(tǒng)網(wǎng)絡(luò)與生產(chǎn)管理網(wǎng)絡(luò)。工業(yè)控制系統(tǒng)網(wǎng)絡(luò)主要負(fù)責(zé)企業(yè)實(shí)際的生產(chǎn)業(yè)務(wù),生產(chǎn)管理網(wǎng)絡(luò)主要負(fù)責(zé)生產(chǎn)調(diào)度級(jí)決策。
1.1工業(yè)控制系統(tǒng)網(wǎng)絡(luò)
分散在物理隔離的各生產(chǎn)流程中的34套工業(yè)控制系統(tǒng),大部分為DCS控制系統(tǒng),部分控制系統(tǒng)采用西門子PLC設(shè)備。現(xiàn)場(chǎng)控制層:主要包括各類DCS控制器及PLC控制器,用于對(duì)各現(xiàn)場(chǎng)設(shè)備進(jìn)行控制;過程監(jiān)控層:主要包括過程控制服務(wù)器與HMI/SCADA系統(tǒng)功能單元,用于對(duì)整個(gè)生產(chǎn)過程數(shù)據(jù)進(jìn)行采集和監(jiān)控,工藝技術(shù)人員通過操作員站對(duì)現(xiàn)場(chǎng)控制層進(jìn)行工藝參數(shù)的調(diào)整和優(yōu)化,維護(hù)正常的生產(chǎn)過程。
1.2生產(chǎn)管理網(wǎng)絡(luò)
主要通過生產(chǎn)綜合調(diào)度系統(tǒng)、能源管理系統(tǒng)(EMS)等生產(chǎn)管理系統(tǒng),用于為企業(yè)提供包括生產(chǎn)過程數(shù)據(jù)管理、計(jì)劃排產(chǎn)管理、生產(chǎn)調(diào)度管理、庫存管理、質(zhì)量管理、人力資源管理、成本管理、物流管理等生產(chǎn)管理服務(wù)。
生產(chǎn)管理網(wǎng)絡(luò)通過部署2臺(tái)冗余數(shù)采服務(wù)器實(shí)現(xiàn)對(duì)生產(chǎn)線的實(shí)時(shí)生產(chǎn)信息的采集,上傳到生產(chǎn)綜合調(diào)度系統(tǒng)等系統(tǒng)的實(shí)時(shí)數(shù)據(jù)庫及業(yè)務(wù)數(shù)據(jù)庫中,為生產(chǎn)決策提供數(shù)據(jù)支撐。通過對(duì)生產(chǎn)綜合調(diào)度系統(tǒng)的建設(shè),可快速全面地得到企業(yè)績(jī)效目標(biāo)與實(shí)際生產(chǎn)指標(biāo)的差異,監(jiān)控生產(chǎn)運(yùn)動(dòng)動(dòng)態(tài)情況及時(shí)發(fā)現(xiàn)異常并做出正確決策,實(shí)現(xiàn)企業(yè)績(jī)效持續(xù)提升。
02 項(xiàng)目目標(biāo)
依照本試點(diǎn)項(xiàng)目的設(shè)計(jì),可使某鋼鐵工控系統(tǒng)實(shí)現(xiàn)對(duì)黑客、病毒、惡意代碼等高風(fēng)險(xiǎn)抵御,阻止內(nèi)部/外部人員的非法訪問,工控系統(tǒng)中的相關(guān)數(shù)據(jù)采集做到純物理單向上傳到生產(chǎn)管理網(wǎng)絡(luò)的生產(chǎn)綜合調(diào)度系統(tǒng)中,零數(shù)據(jù)包返回。
本試點(diǎn)項(xiàng)目的建設(shè)目標(biāo)和主要任務(wù)如下:
( 1 ) 抵御互聯(lián)網(wǎng)/辦公網(wǎng)發(fā)起的惡意攻擊和破壞;
( 2 ) 防止勒索病毒、木馬等惡意程序?qū)た仃P(guān)鍵系統(tǒng)造成不利影響和破壞;
( 3 ) 對(duì)工控關(guān)鍵系統(tǒng)主機(jī)進(jìn)行USB接口管控、系統(tǒng)加固、病毒預(yù)防等;
( 4 ) 對(duì)數(shù)采服務(wù)器及生產(chǎn)綜合調(diào)度系統(tǒng)等生產(chǎn)管理系統(tǒng)的運(yùn)維人員實(shí)時(shí)管控與審計(jì);
( 5 ) 實(shí)現(xiàn)數(shù)采鏈路間的物理隔離與訪問控制;
( 6 ) 對(duì)生產(chǎn)管理網(wǎng)絡(luò)進(jìn)行深度的審計(jì)及行為管控;
( 7 ) 對(duì)過程監(jiān)控層內(nèi)由DCS、SCADA系統(tǒng)組成的安全域做域間安全隔離與訪問控制;
( 8 ) 生產(chǎn)設(shè)備資產(chǎn)結(jié)合安全設(shè)備防護(hù)日志等信息匯聚至統(tǒng)一的安全管理平臺(tái),以網(wǎng)絡(luò)拓?fù)洹⑹录A(yù)警的方式做微態(tài)勢(shì)感知。
03 方案設(shè)計(jì)思路
本方案主要實(shí)現(xiàn)某鋼鐵企業(yè)工控系統(tǒng)單向數(shù)據(jù)采集上傳到生產(chǎn)管理網(wǎng)絡(luò)生產(chǎn)綜合調(diào)度系統(tǒng)的功能,同時(shí)又要做到各生產(chǎn)控制系統(tǒng)安全域間的安全隔離與訪問控制,因此推薦安盟華御“工業(yè)數(shù)采單向光閘+工業(yè)防火墻”方案,以實(shí)現(xiàn)安全防護(hù)功能。
( 1 ) 工業(yè)數(shù)采單向光閘:實(shí)現(xiàn)關(guān)鍵生產(chǎn)數(shù)據(jù)單向數(shù)據(jù)采集上傳到生產(chǎn)管理層生產(chǎn)綜合調(diào)度系統(tǒng)(光信號(hào),無反饋)。
( 2 ) 工業(yè)防火墻:實(shí)現(xiàn)各生產(chǎn)控制系統(tǒng)安全域間的安全隔離與信息交換訪問控制。
04 整體解決方案
在某鋼鐵企業(yè)實(shí)際應(yīng)用環(huán)境中,控制網(wǎng)絡(luò)都是“敞開的”,比如與生產(chǎn)綜合調(diào)度與辦公網(wǎng)OA/ERP的業(yè)務(wù)交互,在各控制系統(tǒng)安全域邊界及層級(jí)邊界缺乏有效單向控制與隔離、安全審計(jì)、運(yùn)維防護(hù)等技術(shù)和機(jī)制。
在本項(xiàng)目中的關(guān)鍵技術(shù)使用安盟華御工業(yè)數(shù)采單向光閘將生產(chǎn)控制區(qū)中的各類數(shù)據(jù)采集匯總,單向?qū)С鲋镣饩W(wǎng)側(cè),可對(duì)外提供OPC、Modbus TCP等通用數(shù)據(jù)服務(wù),同時(shí)可對(duì)接阿里、華為等各類云平臺(tái)。數(shù)據(jù)從工控網(wǎng)向管理網(wǎng)的單向傳輸,規(guī)避了威脅信息通過管理網(wǎng)進(jìn)入工控網(wǎng)的風(fēng)險(xiǎn)。
本項(xiàng)目建設(shè)需要對(duì)3條數(shù)采鏈路及1條辦公網(wǎng)絡(luò)系統(tǒng)的鏈路進(jìn)行防護(hù),做到生產(chǎn)系統(tǒng)的高安全隔離。輔以工業(yè)防火墻設(shè)備、工業(yè)審計(jì)系統(tǒng)、主機(jī)衛(wèi)士及網(wǎng)絡(luò)安全管理平臺(tái),對(duì)工控生產(chǎn)網(wǎng)絡(luò)進(jìn)行全方位的網(wǎng)絡(luò)安全防護(hù),保護(hù)企業(yè)生產(chǎn)網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)安全設(shè)計(jì)圖如圖1所示。
圖1 網(wǎng)絡(luò)安全設(shè)計(jì)圖
以某鋼鐵企業(yè)實(shí)際業(yè)務(wù)需求為基礎(chǔ),綜合各類安全產(chǎn)品特性,以生產(chǎn)安全為目的,通過最小經(jīng)濟(jì)投入,合理配備少量安全產(chǎn)品,實(shí)現(xiàn)最大化的安全收益。
( 1 ) 使用工業(yè)數(shù)采單向光閘實(shí)現(xiàn)單向數(shù)據(jù)采集與上傳。根據(jù)數(shù)采鏈路數(shù)量以及工業(yè)數(shù)采單向光閘產(chǎn)品的物理接口數(shù)量,兼顧接口冗余備份功能,可配備12臺(tái)安盟華御工業(yè)數(shù)采單向光閘(每套工業(yè)數(shù)采單向光閘共5個(gè)通信接口,啟用其中3個(gè)通信接口作為采集接口,留1個(gè)接口備用、1個(gè)接口管理使用),如圖2所示。
圖2 工業(yè)數(shù)采單向光閘數(shù)采鏈路
( 2 ) 使用工業(yè)防火墻防護(hù)數(shù)據(jù)采集鏈路,同時(shí)對(duì)安全域間的信息交換做安全策略配置,并做到采集鏈路間的隔離。每3條數(shù)采鏈路匯聚到1臺(tái)工業(yè)防火墻上,每條鏈路使用獨(dú)立網(wǎng)橋,互不干涉。34條數(shù)采鏈路,配備12臺(tái)工業(yè)防火墻(通過接口擴(kuò)展,每臺(tái)工業(yè)防火墻最大支持10個(gè)通信接口,提供6個(gè)接口作為通信口,做3進(jìn)3出的3條鏈路防護(hù),留2進(jìn)2出作為備份。每臺(tái)工業(yè)防火墻對(duì)應(yīng)1臺(tái)工業(yè)數(shù)采單向光閘),如圖3所示。
圖3 工業(yè)防火墻防護(hù)數(shù)據(jù)采集鏈路
05 項(xiàng)目難點(diǎn)與創(chuàng)新點(diǎn)
( 1 ) 工業(yè)數(shù)據(jù)收集層面
在某鋼鐵企業(yè)實(shí)際的34條數(shù)采鏈路中,包含了多種類型的工業(yè)自動(dòng)化系統(tǒng),廠家也存在差異,因此數(shù)據(jù)采集工作需要一種具備多種采集協(xié)議的平臺(tái)設(shè)備。安盟華御工業(yè)數(shù)采單向光閘的內(nèi)網(wǎng)單元數(shù)采模塊支持多類工業(yè)協(xié)議,如常見的DCS系統(tǒng)、PLC控制器、智能儀表、數(shù)控機(jī)床類設(shè)備等,具備高速集成各類工業(yè)控制系統(tǒng)的能力。
( 2 ) 邊界安全隔離層面
隨著工業(yè)自動(dòng)化及智能制造技術(shù)的大力推進(jìn),企業(yè)內(nèi)的生產(chǎn)管理網(wǎng)絡(luò)與生產(chǎn)控制網(wǎng)絡(luò)的邊界變得不再清晰,存在著業(yè)務(wù)信息的上傳和數(shù)據(jù)的交叉,而兩個(gè)網(wǎng)絡(luò)中都存在系統(tǒng)升級(jí)、數(shù)據(jù)備份等,移動(dòng)介質(zhì)的不規(guī)范使用給兩個(gè)網(wǎng)絡(luò)都帶來了安全威脅。安盟華御數(shù)采單向光閘利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點(diǎn),設(shè)備既實(shí)現(xiàn)了工控網(wǎng)數(shù)據(jù)的單向?qū)С觯謱?shí)現(xiàn)了辦公網(wǎng)無任何反饋信號(hào)至工控網(wǎng),將兩網(wǎng)絡(luò)間的安全邊界做到了物理隔離。
( 3 ) 工業(yè)協(xié)議自身漏洞層面
由于工控發(fā)展史及工控系統(tǒng)限制性等,工控系統(tǒng)SCADA軟件、PLC控制系統(tǒng)、工業(yè)通信協(xié)議等在設(shè)計(jì)過程中主要考慮可用性、實(shí)時(shí)性,對(duì)安全性的考慮不足,存在著被入侵和攻擊的可能。而生產(chǎn)管理網(wǎng)絡(luò)與生產(chǎn)控制多使用工業(yè)協(xié)議進(jìn)行通訊,安全性不能得到保證。安盟華御數(shù)采單向光閘對(duì)生產(chǎn)控制系統(tǒng)不同的工業(yè)協(xié)議類型進(jìn)行數(shù)據(jù)采集,以統(tǒng)一的工業(yè)協(xié)議轉(zhuǎn)發(fā)給采集服務(wù)器,單向上傳過程中使用安盟華御專有協(xié)議進(jìn)行通訊,物理隔離的同時(shí)也做到協(xié)議隔離,形成安全邊界的雙重安全防護(hù)。
( 4 ) 安全設(shè)備自身安全層面
在數(shù)據(jù)采集工作進(jìn)行時(shí)一般采用建立二級(jí)中心的方式,使用雙網(wǎng)卡數(shù)采機(jī)進(jìn)行數(shù)據(jù)采集轉(zhuǎn)發(fā),使用的系統(tǒng)存在著不打補(bǔ)丁、不做備份、漏洞遍布的情況,很難保證其自身安全。安盟華御工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),經(jīng)過專業(yè)系統(tǒng)加固,具備工控行業(yè)里高可靠、高安全的特性,是安全邊界的可靠保障。
06 項(xiàng)目?jī)r(jià)值
( 1 ) 無縫兼容
所選工業(yè)數(shù)采單向光閘產(chǎn)品數(shù)采模塊支持多類工業(yè)協(xié)議,能夠滿足與某鋼鐵企業(yè)工控系統(tǒng)無縫對(duì)接,又能夠提升整體計(jì)算環(huán)境的性能和穩(wěn)定性,實(shí)現(xiàn)數(shù)據(jù)采集與物理單向上傳,安全量身定做。
( 2 ) 物理單向隔離
利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點(diǎn),設(shè)備既實(shí)現(xiàn)了工控網(wǎng)數(shù)據(jù)的單向?qū)С觯謱?shí)現(xiàn)辦公網(wǎng)無任何反饋信號(hào)至工控網(wǎng),為工控網(wǎng)提供絕對(duì)安全的運(yùn)行環(huán)境。能夠阻止各種已知與未知的安全風(fēng)險(xiǎn),防止病毒以及相關(guān)變種通過數(shù)據(jù)采集鏈路傳播到工控生產(chǎn)系統(tǒng)中。
( 3 ) 協(xié)議歸一
工業(yè)數(shù)采單向光閘可對(duì)生產(chǎn)控制系統(tǒng)不同的工業(yè)協(xié)議類型進(jìn)行數(shù)據(jù)采集,以統(tǒng)一的工業(yè)協(xié)議轉(zhuǎn)發(fā)給采集服務(wù)器,如OPC DA,Modbus TCP等。OPC DA協(xié)議轉(zhuǎn)發(fā)功能具備分離式部署能力,既可保證工業(yè)數(shù)采單向光閘外網(wǎng)單元與數(shù)采服務(wù)器間協(xié)議隔離,又可方便用戶省去傳統(tǒng)OPC配置DCOM的繁瑣操作,減輕工作量。
( 4 ) 設(shè)備自身安全
工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),設(shè)備規(guī)避了微軟Windows操作系統(tǒng)多漏洞風(fēng)險(xiǎn),并可屏蔽常規(guī)桌面系統(tǒng)的惡意代碼,自身安全性高。
( 5 ) 可視化管控
實(shí)現(xiàn)對(duì)生產(chǎn)網(wǎng)業(yè)務(wù)系統(tǒng)操作的管理和審計(jì),對(duì)操作人員做到“事前可知、事中可控、事后可查”的運(yùn)維操作全過程管理。
( 6 ) 異常操作審計(jì)與攻擊預(yù)警
快速識(shí)別出數(shù)采層中的相關(guān)非法操作、異常事件、外部攻擊等,并實(shí)時(shí)報(bào)警。
( 7 ) 工控工作站防護(hù)
能實(shí)時(shí)防止用戶的違規(guī)和誤操作、阻止不明程序,授權(quán)移動(dòng)存儲(chǔ)介質(zhì)訪問權(quán)限等,有效提高工控主機(jī)的深度“免疫”能力。
( 8 ) 綜合審計(jì)
可完成數(shù)采層設(shè)備實(shí)時(shí)信息收集,實(shí)時(shí)監(jiān)測(cè)終端設(shè)備的通信流量和安全事件。進(jìn)行不間斷安全事件關(guān)聯(lián)分析,通過強(qiáng)大的一體化安全管控功能界面實(shí)現(xiàn)多視角、多層次的管理與安全可視化。
07 技術(shù)推廣
隨著兩化融合、工業(yè)互聯(lián)網(wǎng)等信息化建設(shè)的步伐越來越快,各企業(yè)中的自動(dòng)化網(wǎng)絡(luò)系統(tǒng)不再是信息孤島,網(wǎng)絡(luò)間的業(yè)務(wù)交換需求也越來越多,安全問題因此日益增多,生產(chǎn)網(wǎng)絡(luò)和信息安全問題成為威脅工業(yè)企業(yè)安全的重大隱患。隨著對(duì)工控安全問題的不斷認(rèn)識(shí)和了解,尤其是關(guān)鍵基礎(chǔ)設(shè)備的安全防護(hù),國家已頒布和制定了相應(yīng)的制度和法規(guī),信息安全建設(shè)提到一定的高度,建設(shè)的重點(diǎn)也從開始的自動(dòng)化應(yīng)用、技術(shù)研發(fā)轉(zhuǎn)移到現(xiàn)在的安全建設(shè)以及全面的安全監(jiān)測(cè),目前安盟華御工業(yè)數(shù)采單向光閘設(shè)備已在制造、能源、水利、軍事等行業(yè)大力推廣。
