《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 業(yè)界動態(tài) > 鋼鐵行業(yè)生產(chǎn)調(diào)度系統(tǒng)網(wǎng)絡安全防護解決方案

鋼鐵行業(yè)生產(chǎn)調(diào)度系統(tǒng)網(wǎng)絡安全防護解決方案

2021-06-18
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應急響應中心

對分散在鋼鐵行業(yè)物理隔離的各生產(chǎn)流程中的工業(yè)控制系統(tǒng)進行數(shù)據(jù)采集,,物理單向上傳至生產(chǎn)調(diào)度系統(tǒng),,對工業(yè)生產(chǎn)網(wǎng)絡進行網(wǎng)絡安全防護建設(shè)的同時,,滿足企業(yè)生產(chǎn)調(diào)度系統(tǒng)對生產(chǎn)業(yè)務調(diào)度,、監(jiān)控的需求,抵御兩網(wǎng)間相互的非法入侵與攻擊,。

  01 項目背景

  本文主要介紹某鋼鐵企業(yè)的生產(chǎn)調(diào)度系統(tǒng)網(wǎng)絡安全防護建設(shè),,在鋼鐵企業(yè)的實際網(wǎng)絡環(huán)境中,支撐生產(chǎn)調(diào)度業(yè)務的網(wǎng)絡系統(tǒng)主要包含:工業(yè)控制系統(tǒng)網(wǎng)絡與生產(chǎn)管理網(wǎng)絡,。工業(yè)控制系統(tǒng)網(wǎng)絡主要負責企業(yè)實際的生產(chǎn)業(yè)務,,生產(chǎn)管理網(wǎng)絡主要負責生產(chǎn)調(diào)度級決策。

  1.1工業(yè)控制系統(tǒng)網(wǎng)絡

  分散在物理隔離的各生產(chǎn)流程中的34套工業(yè)控制系統(tǒng),,大部分為DCS控制系統(tǒng),,部分控制系統(tǒng)采用西門子PLC設(shè)備。現(xiàn)場控制層:主要包括各類DCS控制器及PLC控制器,,用于對各現(xiàn)場設(shè)備進行控制,;過程監(jiān)控層:主要包括過程控制服務器與HMI/SCADA系統(tǒng)功能單元,用于對整個生產(chǎn)過程數(shù)據(jù)進行采集和監(jiān)控,,工藝技術(shù)人員通過操作員站對現(xiàn)場控制層進行工藝參數(shù)的調(diào)整和優(yōu)化,,維護正常的生產(chǎn)過程。

  1.2生產(chǎn)管理網(wǎng)絡

  主要通過生產(chǎn)綜合調(diào)度系統(tǒng),、能源管理系統(tǒng)(EMS)等生產(chǎn)管理系統(tǒng),,用于為企業(yè)提供包括生產(chǎn)過程數(shù)據(jù)管理、計劃排產(chǎn)管理、生產(chǎn)調(diào)度管理,、庫存管理,、質(zhì)量管理、人力資源管理,、成本管理,、物流管理等生產(chǎn)管理服務。

  生產(chǎn)管理網(wǎng)絡通過部署2臺冗余數(shù)采服務器實現(xiàn)對生產(chǎn)線的實時生產(chǎn)信息的采集,,上傳到生產(chǎn)綜合調(diào)度系統(tǒng)等系統(tǒng)的實時數(shù)據(jù)庫及業(yè)務數(shù)據(jù)庫中,,為生產(chǎn)決策提供數(shù)據(jù)支撐。通過對生產(chǎn)綜合調(diào)度系統(tǒng)的建設(shè),,可快速全面地得到企業(yè)績效目標與實際生產(chǎn)指標的差異,監(jiān)控生產(chǎn)運動動態(tài)情況及時發(fā)現(xiàn)異常并做出正確決策,,實現(xiàn)企業(yè)績效持續(xù)提升,。

  02 項目目標

  依照本試點項目的設(shè)計,可使某鋼鐵工控系統(tǒng)實現(xiàn)對黑客,、病毒,、惡意代碼等高風險抵御,阻止內(nèi)部/外部人員的非法訪問,,工控系統(tǒng)中的相關(guān)數(shù)據(jù)采集做到純物理單向上傳到生產(chǎn)管理網(wǎng)絡的生產(chǎn)綜合調(diào)度系統(tǒng)中,,零數(shù)據(jù)包返回。

  本試點項目的建設(shè)目標和主要任務如下:

 ?。?1 ) 抵御互聯(lián)網(wǎng)/辦公網(wǎng)發(fā)起的惡意攻擊和破壞,;

  ( 2 ) 防止勒索病毒,、木馬等惡意程序?qū)た仃P(guān)鍵系統(tǒng)造成不利影響和破壞,;

  ( 3 ) 對工控關(guān)鍵系統(tǒng)主機進行USB接口管控,、系統(tǒng)加固,、病毒預防等;

 ?。?4 ) 對數(shù)采服務器及生產(chǎn)綜合調(diào)度系統(tǒng)等生產(chǎn)管理系統(tǒng)的運維人員實時管控與審計,;

  ( 5 ) 實現(xiàn)數(shù)采鏈路間的物理隔離與訪問控制,;

 ?。?6 ) 對生產(chǎn)管理網(wǎng)絡進行深度的審計及行為管控;

 ?。?7 ) 對過程監(jiān)控層內(nèi)由DCS,、SCADA系統(tǒng)組成的安全域做域間安全隔離與訪問控制;

  ( 8 ) 生產(chǎn)設(shè)備資產(chǎn)結(jié)合安全設(shè)備防護日志等信息匯聚至統(tǒng)一的安全管理平臺,,以網(wǎng)絡拓撲,、事件預警的方式做微態(tài)勢感知。

  03 方案設(shè)計思路

  本方案主要實現(xiàn)某鋼鐵企業(yè)工控系統(tǒng)單向數(shù)據(jù)采集上傳到生產(chǎn)管理網(wǎng)絡生產(chǎn)綜合調(diào)度系統(tǒng)的功能,,同時又要做到各生產(chǎn)控制系統(tǒng)安全域間的安全隔離與訪問控制,,因此推薦安盟華御“工業(yè)數(shù)采單向光閘+工業(yè)防火墻”方案,以實現(xiàn)安全防護功能,。

 ?。?1 ) 工業(yè)數(shù)采單向光閘:實現(xiàn)關(guān)鍵生產(chǎn)數(shù)據(jù)單向數(shù)據(jù)采集上傳到生產(chǎn)管理層生產(chǎn)綜合調(diào)度系統(tǒng)(光信號,無反饋),。

 ?。?2 ) 工業(yè)防火墻:實現(xiàn)各生產(chǎn)控制系統(tǒng)安全域間的安全隔離與信息交換訪問控制。

  04 整體解決方案

  在某鋼鐵企業(yè)實際應用環(huán)境中,,控制網(wǎng)絡都是“敞開的”,,比如與生產(chǎn)綜合調(diào)度與辦公網(wǎng)OA/ERP的業(yè)務交互,在各控制系統(tǒng)安全域邊界及層級邊界缺乏有效單向控制與隔離,、安全審計,、運維防護等技術(shù)和機制。

  在本項目中的關(guān)鍵技術(shù)使用安盟華御工業(yè)數(shù)采單向光閘將生產(chǎn)控制區(qū)中的各類數(shù)據(jù)采集匯總,,單向?qū)С鲋镣饩W(wǎng)側(cè),,可對外提供OPC、Modbus TCP等通用數(shù)據(jù)服務,,同時可對接阿里,、華為等各類云平臺。數(shù)據(jù)從工控網(wǎng)向管理網(wǎng)的單向傳輸,,規(guī)避了威脅信息通過管理網(wǎng)進入工控網(wǎng)的風險,。

  本項目建設(shè)需要對3條數(shù)采鏈路及1條辦公網(wǎng)絡系統(tǒng)的鏈路進行防護,做到生產(chǎn)系統(tǒng)的高安全隔離,。輔以工業(yè)防火墻設(shè)備,、工業(yè)審計系統(tǒng)、主機衛(wèi)士及網(wǎng)絡安全管理平臺,,對工控生產(chǎn)網(wǎng)絡進行全方位的網(wǎng)絡安全防護,,保護企業(yè)生產(chǎn)網(wǎng)絡的安全。網(wǎng)絡安全設(shè)計圖如圖1所示,。

微信圖片_20210618195007.jpg

  圖1 網(wǎng)絡安全設(shè)計圖

  以某鋼鐵企業(yè)實際業(yè)務需求為基礎(chǔ),,綜合各類安全產(chǎn)品特性,以生產(chǎn)安全為目的,,通過最小經(jīng)濟投入,,合理配備少量安全產(chǎn)品,,實現(xiàn)最大化的安全收益。

 ?。?1 ) 使用工業(yè)數(shù)采單向光閘實現(xiàn)單向數(shù)據(jù)采集與上傳,。根據(jù)數(shù)采鏈路數(shù)量以及工業(yè)數(shù)采單向光閘產(chǎn)品的物理接口數(shù)量,兼顧接口冗余備份功能,,可配備12臺安盟華御工業(yè)數(shù)采單向光閘(每套工業(yè)數(shù)采單向光閘共5個通信接口,,啟用其中3個通信接口作為采集接口,留1個接口備用,、1個接口管理使用),,如圖2所示。

微信圖片_20210618195011.jpg

  圖2 工業(yè)數(shù)采單向光閘數(shù)采鏈路

 ?。?2 ) 使用工業(yè)防火墻防護數(shù)據(jù)采集鏈路,,同時對安全域間的信息交換做安全策略配置,并做到采集鏈路間的隔離,。每3條數(shù)采鏈路匯聚到1臺工業(yè)防火墻上,,每條鏈路使用獨立網(wǎng)橋,互不干涉,。34條數(shù)采鏈路,,配備12臺工業(yè)防火墻(通過接口擴展,,每臺工業(yè)防火墻最大支持10個通信接口,,提供6個接口作為通信口,做3進3出的3條鏈路防護,,留2進2出作為備份,。每臺工業(yè)防火墻對應1臺工業(yè)數(shù)采單向光閘),如圖3所示,。

微信圖片_20210618195014.jpg

  圖3 工業(yè)防火墻防護數(shù)據(jù)采集鏈路

  05 項目難點與創(chuàng)新點

 ?。?1 ) 工業(yè)數(shù)據(jù)收集層面

  在某鋼鐵企業(yè)實際的34條數(shù)采鏈路中,包含了多種類型的工業(yè)自動化系統(tǒng),,廠家也存在差異,,因此數(shù)據(jù)采集工作需要一種具備多種采集協(xié)議的平臺設(shè)備。安盟華御工業(yè)數(shù)采單向光閘的內(nèi)網(wǎng)單元數(shù)采模塊支持多類工業(yè)協(xié)議,,如常見的DCS系統(tǒng),、PLC控制器、智能儀表,、數(shù)控機床類設(shè)備等,,具備高速集成各類工業(yè)控制系統(tǒng)的能力。

 ?。?2 ) 邊界安全隔離層面

  隨著工業(yè)自動化及智能制造技術(shù)的大力推進,,企業(yè)內(nèi)的生產(chǎn)管理網(wǎng)絡與生產(chǎn)控制網(wǎng)絡的邊界變得不再清晰,,存在著業(yè)務信息的上傳和數(shù)據(jù)的交叉,而兩個網(wǎng)絡中都存在系統(tǒng)升級,、數(shù)據(jù)備份等,,移動介質(zhì)的不規(guī)范使用給兩個網(wǎng)絡都帶來了安全威脅。安盟華御數(shù)采單向光閘利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點,,設(shè)備既實現(xiàn)了工控網(wǎng)數(shù)據(jù)的單向?qū)С?,又實現(xiàn)了辦公網(wǎng)無任何反饋信號至工控網(wǎng),將兩網(wǎng)絡間的安全邊界做到了物理隔離,。

 ?。?3 ) 工業(yè)協(xié)議自身漏洞層面

  由于工控發(fā)展史及工控系統(tǒng)限制性等,工控系統(tǒng)SCADA軟件,、PLC控制系統(tǒng),、工業(yè)通信協(xié)議等在設(shè)計過程中主要考慮可用性、實時性,,對安全性的考慮不足,,存在著被入侵和攻擊的可能。而生產(chǎn)管理網(wǎng)絡與生產(chǎn)控制多使用工業(yè)協(xié)議進行通訊,,安全性不能得到保證,。安盟華御數(shù)采單向光閘對生產(chǎn)控制系統(tǒng)不同的工業(yè)協(xié)議類型進行數(shù)據(jù)采集,以統(tǒng)一的工業(yè)協(xié)議轉(zhuǎn)發(fā)給采集服務器,,單向上傳過程中使用安盟華御專有協(xié)議進行通訊,,物理隔離的同時也做到協(xié)議隔離,形成安全邊界的雙重安全防護,。

 ?。?4 ) 安全設(shè)備自身安全層面

  在數(shù)據(jù)采集工作進行時一般采用建立二級中心的方式,使用雙網(wǎng)卡數(shù)采機進行數(shù)據(jù)采集轉(zhuǎn)發(fā),,使用的系統(tǒng)存在著不打補丁,、不做備份、漏洞遍布的情況,,很難保證其自身安全,。安盟華御工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),經(jīng)過專業(yè)系統(tǒng)加固,,具備工控行業(yè)里高可靠,、高安全的特性,是安全邊界的可靠保障,。

  06 項目價值

 ?。?1 ) 無縫兼容

  所選工業(yè)數(shù)采單向光閘產(chǎn)品數(shù)采模塊支持多類工業(yè)協(xié)議,能夠滿足與某鋼鐵企業(yè)工控系統(tǒng)無縫對接,,又能夠提升整體計算環(huán)境的性能和穩(wěn)定性,,實現(xiàn)數(shù)據(jù)采集與物理單向上傳,,安全量身定做。

 ?。?2 ) 物理單向隔離

  利用SFP光模塊中發(fā)光器和收光器分離的技術(shù)特點,,設(shè)備既實現(xiàn)了工控網(wǎng)數(shù)據(jù)的單向?qū)С觯謱崿F(xiàn)辦公網(wǎng)無任何反饋信號至工控網(wǎng),,為工控網(wǎng)提供絕對安全的運行環(huán)境,。能夠阻止各種已知與未知的安全風險,防止病毒以及相關(guān)變種通過數(shù)據(jù)采集鏈路傳播到工控生產(chǎn)系統(tǒng)中,。

 ?。?3 ) 協(xié)議歸一

  工業(yè)數(shù)采單向光閘可對生產(chǎn)控制系統(tǒng)不同的工業(yè)協(xié)議類型進行數(shù)據(jù)采集,以統(tǒng)一的工業(yè)協(xié)議轉(zhuǎn)發(fā)給采集服務器,,如OPC DA,,Modbus TCP等。OPC DA協(xié)議轉(zhuǎn)發(fā)功能具備分離式部署能力,,既可保證工業(yè)數(shù)采單向光閘外網(wǎng)單元與數(shù)采服務器間協(xié)議隔離,,又可方便用戶省去傳統(tǒng)OPC配置DCOM的繁瑣操作,減輕工作量,。

 ?。?4 ) 設(shè)備自身安全

  工業(yè)數(shù)采單向光閘采用SUOS自主操作系統(tǒng)(類Linux操作系統(tǒng)),設(shè)備規(guī)避了微軟Windows操作系統(tǒng)多漏洞風險,,并可屏蔽常規(guī)桌面系統(tǒng)的惡意代碼,,自身安全性高。

 ?。?5 ) 可視化管控

  實現(xiàn)對生產(chǎn)網(wǎng)業(yè)務系統(tǒng)操作的管理和審計,,對操作人員做到“事前可知,、事中可控,、事后可查”的運維操作全過程管理。

 ?。?6 ) 異常操作審計與攻擊預警

  快速識別出數(shù)采層中的相關(guān)非法操作,、異常事件、外部攻擊等,,并實時報警,。

  ( 7 ) 工控工作站防護

  能實時防止用戶的違規(guī)和誤操作,、阻止不明程序,,授權(quán)移動存儲介質(zhì)訪問權(quán)限等,有效提高工控主機的深度“免疫”能力,。

 ?。?8 ) 綜合審計

  可完成數(shù)采層設(shè)備實時信息收集,,實時監(jiān)測終端設(shè)備的通信流量和安全事件。進行不間斷安全事件關(guān)聯(lián)分析,,通過強大的一體化安全管控功能界面實現(xiàn)多視角,、多層次的管理與安全可視化。

  07 技術(shù)推廣

  隨著兩化融合,、工業(yè)互聯(lián)網(wǎng)等信息化建設(shè)的步伐越來越快,,各企業(yè)中的自動化網(wǎng)絡系統(tǒng)不再是信息孤島,網(wǎng)絡間的業(yè)務交換需求也越來越多,,安全問題因此日益增多,,生產(chǎn)網(wǎng)絡和信息安全問題成為威脅工業(yè)企業(yè)安全的重大隱患。隨著對工控安全問題的不斷認識和了解,,尤其是關(guān)鍵基礎(chǔ)設(shè)備的安全防護,,國家已頒布和制定了相應的制度和法規(guī),信息安全建設(shè)提到一定的高度,,建設(shè)的重點也從開始的自動化應用,、技術(shù)研發(fā)轉(zhuǎn)移到現(xiàn)在的安全建設(shè)以及全面的安全監(jiān)測,目前安盟華御工業(yè)數(shù)采單向光閘設(shè)備已在制造,、能源,、水利、軍事等行業(yè)大力推廣,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]