某鋼鐵公司7 高爐工控安全防護

鋼鐵公司7#高爐網絡結構現狀

2.1 鋼鐵公司7#高爐網絡拓撲基本結構：

2.2網絡圖說明：

2.2.1 網絡概述：

此網絡是實時控制網，負責控制器、操作站及工程師站之間過程控制數據實時通訊網絡，網絡上所有操作站、數采機及PLC都使用乙太網接口並設置為同一網段IP位址，網絡中遠距離傳輸介質為光纜，本地傳輸介質為網線（如PLC與操作站之間）。

2.2.2 網絡存在的隱患分析：

1、因整個網絡均採用同一網段的乙太網通訊連接，且未安裝有效的安全防護設備，這樣任何一個對網絡和PLC比較熟悉的人都可以輕易使用一台個人計算機插入網絡中的任意一台交換機，使用PLC的組態軟體對網絡中的PLC進行操作甚至破壞PLC的組態程序，直接造成PLC的控制單元失靈或是現場設備停機或損毀。

2、網絡中無任何隔離防護設備，如果主控樓操作站感染計算機病毒，病毒將會輕易感染到網絡上的其它操作站及PLC控制單元，可能會導致整個網絡數據堵塞或操作站喪失操作能力，某些針對工業協議（如Modbus TCP）的病毒還可能會導致PLC控制單元死機，完全喪失控制能力。

3、網絡中無專業的通訊偵測設備，如果發生病毒感染或外網攻擊，網絡工程師將無法以最快的速度判斷問題所在，也就無法迅速準確的做出防護和修復措施。

2.2.3 隱患解決思路：

1、在網絡中需要綁定PLC與操作站的地址，指定哪一台（或幾台）操作站可以對哪一台（或幾台）PLC進行操作或組態，而其它未被允許的操作站均無法對PLC進行操作或組態，這樣所有未被授權的計算機即使接入了控制網絡也無法對任何一台PLC進行操作或組態。

2、網絡中需要增加具有工業協議設置能力的隔離防護設備，此設備可以根據不同PLC所使用的不同工業乙太網協議，對其防護規則進行精確設置，唯一允許合法的工業乙太網協議通訊，並阻止其餘非法的數據傳輸（如病毒的傳播或無效數據的傳輸），這樣即使某一台操作站感染病毒也不會對整個網絡的PLC造成影響，除了正常操作的數據可以傳輸給PLC，其餘的非法操作數據均無法到達PLC控制單元。

3、 網絡中需要通訊偵測設備，此設備可以精確記錄通訊的時間、IP位址、埠、方向、使用何種協議等重要信息，如果發現大量非法通訊記錄突然出現則可認定為網絡中有病毒感染或非法入侵，網絡工程師可以根據這些通訊的信息迅速找到非法通訊的源頭及攻擊範圍，可以及時的對感染病毒的主機進行隔離殺毒或安全防護。

3．網絡安全防護解決方案

3.1 安全防護的目標

工廠網絡要保證安全可靠，最好的方法是建立一個私有的信道，且創造一個相對獨立的網絡。

但是信息技術的發展已經不可逆轉，分析以上存在的隱患，總結前人的經驗，同時參考我國信息網絡安全防護指導，我們認為要保證工廠控制網絡的安全穩定運行必須達到以下三個目標：

1、通訊可控

網絡數據的傳輸總是給我們以抽象、概念性的印象，沒有一個直觀的顯示，通訊電纜如同高速公路，怎樣能夠直觀的觀察、監控、管理通訊電纜中流過的數據，這是我們首先要達到的目標。

通過這個管控，對控制網絡而言僅需要保證製造商專有協議數據通過即可，對其它基於Windows應用的不必要通訊一律禁止，從而創造出一個單一製造商通信網絡的環境。

2、區域隔離：

網絡安全問題不同於其它設備故障，對於現代計算機網絡，我們認為最可怕的是病毒的急速擴散，它會瞬間令整個網絡癱瘓，具有可擴散性和快速性的特點，雖然目前我們在現場採取了很多措施，但要杜絕網絡安全問題是不可能的，所以我們要保證即使在控制網局部出現問題，也能保持裝置或工廠的安全穩定運行。

這就要在關鍵通道上部署網絡隔離設備，通過這種隔離，為我們的控制系統也創造了一個相對獨立的網絡環境。

3、實時報警：

千里之堤毀於蟻穴，報警的首要問題是把網絡安全問題消滅在萌芽中，同時通過對報警事件的記錄存儲，為我們解決部分已發生過的安全事件提供分析依據，告別以前主觀經驗推斷的模式。

怎樣能夠及時發現網絡中存在的感染及其它問題，準確找到故障的發生點，是維護控制網絡安全的前提。

4.在線審計與異常監測:

生產控制區的監控系統應當具備安全審計功能，能夠對生產網絡通訊做行為分析，實時監測網絡中的通訊鏈路狀態，溯源網絡中病毒木馬的傳播路徑；同時，用戶可自定義異常狀態判定閾值，將發生的異常通訊以告警的形式匯總展示；此產品還同時具備工控協議及作業系統漏洞庫，可以檢測工控系統是否存在安全漏洞和隱患。

除了具備實時工業通訊協議行為解析外，審計設備也可像飛機的黑匣子一樣，能夠回溯及追查網絡安全問題，完成追根溯源。

包括功能如下：

Ø網絡數據流量監測；

Ø網絡異常數據報警及追溯；

Ø操作記錄及協議深度分析；（需要雙方配合）

Ø信息竊取報警（通過網絡的文件或數據非法訪問及傳輸）；

Ø未知設備接入；