钢铁企业炼钢工艺工控防护方案

钢铁企业炼钢工艺工控防护方案

钢铁厂工控网络防护解决方案

由于钢铁厂工控网络设计之初处于与外网隔离状态，并未考虑安全防护手段，大部分工业控制系统连传统的信息安全防护手段都没有。近些年随着工业互联趋势的逐步深入，安全防护能力低带来的信息安全风险逐步显现。

1钢铁厂工控网络风险分析

钢铁厂炼钢工控网络结构，L1级网络中每一个子工序是一个环形网络，有两个上联出口，一个出口连接子工序L2系统，另一个出口连接到其它子工序（各个子工序间构成一个环形网络）

◆基础自动化级(L1)

主要完成设备的顺序控制及连锁控制，故障检测与报警，各种操作界面和数据采集等任务。

◆过程自动化级（L2）

主要完成初始数据处理、材料跟踪、数学模型计算及设定、过程数据收集、数据通信以及操作指导等任务。

钢铁厂炼钢工控网络风险分析

（1）L1级和L2级之间没有隔离设备

当L1级和L2级系统中没有隔离一方有病毒存在，瞬间就能感染整个工控网络造成生产上的损失。

（2）自动化控制器和工程师站之间无隔离防护

工程师站是系统组态和系统维护的核心。工程师站负责规划系统规模，创建工程、完成建域、建站、生成系统数据库、生成监视操作画面、生成控制算法、生成报警功能、生成报表功能等，工程师站是整个系统中的高风险点，一旦受到人为或非人为的病毒感染或攻击，都会对整个系统的运行安全造成威胁。PLC现场设备非常脆弱，没有任何防护，一般的病毒攻击就可能造成死机

（3）工程师站和服务器没有主机加固

工程师站和服务器都是基于Windows平台的控制系统，一般不能修复补丁，也不安装防病毒软件，即使安装了防病毒软件，由于不能更新病毒库，也会失去防病毒功能。因此这些操作站（工程师站）、各种服务器感染病毒的几率较大，感染病毒和传播的影响极大。

（4）网络安全事件不能报警且无法追踪

目前的工控控制系统中没有日志分析和事件报警功能，当发生安全事件时，不能追踪、定位事件的源头。对网络故障进行快速的诊断，并记录、储存、分析，通过报警和预警可以减少或避免事故带来的损失，也为加强事件管理提供方便。

4.2钢铁厂炼钢工控网络安全防护解决方案

如图所示：

钢铁厂炼钢工控网络安全防护说明：

（1）L1级网络上联L2级网络出口部署工业防火墙

L1级和L2级两个网络安全隔离，如果有一方网络有病毒感染或攻击时另一方网络不会造成影响。

（2）自动化控制器和工程师站之间部署工业防火墙

工程师站是系统组态和系统维护的核心也是高风险源。部署工业防火墙隔离防护自动化控制器，使得工业生产更稳定也可控制误操作的行为。

（3）工程师站和各种服务器部署可信计算安全产品，解决工控系统终端病毒感染、恶意代码进程启动、操作系统内核漏洞、USB误用滥用等安全隐患，从根本上实现了对各种不安全因素的主动护。

(4) L2级网络中部署安全管理平台

安全管理平台接收来自工业网络防火墙和可信终端的报警及日志。安全管理平台具有工控网络行为审计记录的智能分析的功能，具备强大的审计日志存储查询功能，可以对海量的审计数据进行实时监控和网络行为态势分析，使系统安全运维人员能够通过实时日志展示画面随时监控正在发生的不同级别审计日志和报警信息，也可以通过安全管理平台的条件查询、统计、筛选、图表展示和态势分析算法模型等强大的功能迅速得出网络健康状况，最终自动获得详细的统计分析报告和事件处置方式建议，实现系统安全运维管理的实时性、完整性、自动化、智能化。

安全管理平台针对工控网络行为进行监控和与智能安全分析，监控平台以底层工业防火墙、工控可信计算安全平台以及其他网络设备为探针，针对内置的“工业控制网络通讯行为模型库”核心模块，能及时检测工业网络中出现的工业攻击、蠕虫病毒及非法入侵、设备异常等情况，并对危及系统网络安全的因素做出智能预警分析，为管理者提供决策支持，以总览大局的方式为工业网络信息安全故障的及时排查、分析提供可靠地依据。

4.3钢铁厂炼铁高炉工控网络风险分析

钢铁厂炼铁高炉工控网络系统中各个子工序和主控室、工程师室组成一个L1级环形网络。

（1）主控室、喷煤控制室和L1级环形网络没有隔离防护设备。

主控室、喷煤控制室都有大量的操作员站，在人机对话工作中容易将危险带到L1级环形网络中，造成生产上的不稳定因素。

（2）工程师站和L1级环网没有隔离防护设备。

工程师站是系统组态和系统维护的核心。工程师站负责规划系统规模，创建工程、完成建域、建站、生成系统数据库、生成监视操作画面、生成控制算法、生成报警功能、生成报表功能等，工程师站是整个系统中的高风险点，一旦受到人为或非人为的病毒感染或攻击，都会对整个系统的运行安全造成威胁。

（3）OPC数据库服务器和L1级环网络没有隔离防护设备。

OPC是工业通讯中最常用的一种标准协议，广泛应用于不同品牌工控系统与统一的信息管理系统之间的数据采集与传输，但由于OPC基于DCOM技术，在应用过程中通讯端口在1024-65535间不固定使用，这就使得基于端口防护的常规防火墙根本无法进行安全防护。

（4）工程师站和数据服务器没有主机加固

工程师站和服务器都是基于Windows平台的控制系统，一般不能修复补丁，也不安装防病毒软件，即使安装了防病毒软件，由于不能更新病毒库，也会失去防病毒功能。因此这些操作站（工程师站）、各种服务器感染病毒的几率较大，感染病毒和传播的影响极大。