张 伟，于目奎，罗显科

(中冶赛迪重庆信息技术有限公司，重庆 401122)

工业控制系统作为工业基础设施的核心，极大地保障了工业生产的稳定性和高效性，是国家重要的基础设施组成部分，广泛应用于冶金、化工、电力等重要行业。20世纪以来，针对工业控制系统的病毒、木马等攻击行为大幅度增长，一旦遭到破坏，可能造成人员伤亡、环境污染、停产停工等严重后果，甚至威胁国家经济安全、政治安全和社会稳定。典型案例如： 2010年伊朗布什尔核电站员工电脑感染震网(Stuxnet)病毒，严重威胁核反应堆安全运营；2012年美国两座电厂遭USB病毒攻击，导致数据泄密；2015年乌克兰电力系统遭受网络攻击导致大面积电力中断[1]。

钢铁行业一直是工业自动化和信息化的先行者，工业控制系统作为生产控制的“大脑”，是行业自动化水平不断提升的基础支撑。在日益严重的安全威胁态势下，工控安全问题成了未来钢铁企业需要重点关注的课题，特别是随着两化融合背景下智能制造转型升级的持续推进，传统封闭的钢铁工业控制系统会越来越多的暴露在互联网场景下，维护和保障工控安全将成为智能制造的关键目标之一。

本文主要讨论和研究钢铁行业自动化控制系统中基础自动化(L1)、过程自动化(L2)、制造执行系统(L3 或者MES)相关的网络安全设计与实现，也是行业工控安全需要重点关注的对象。

1 工控安全现状

钢铁行业生产流程长，包括原料场、炼铁、炼钢、连铸、热轧、冷轧等工艺单元，各单元自动化控制系统遵循典型的基础自动化(L1)、过程自动化(L2)、制造执行系统(L3或者MES)分层次架构，如图1所示。

经过行业多年的设计、实施和运维经验积累，自动化控制系统已经在工控安全防护方面采用了一些信息化技术和手段，包括：

(1)各层次计算机系统都会安装杀毒软件，预防病毒攻击和传播，如L1层的HMI服务器、工程师站、HMI客户端、上位机、iba数据服务器等。

(2)各层次网络相互隔离，使用的手段包括划分不同的VLAN，或者通过服务器多网卡通信方式限制互访通道，以限制各层次间的网络攻击和病毒传播。

(3)限制L1、L2、L3与外部互联网的连通，尽可能减少外部网络的攻击。

图1 自动化控制系统分层架构

新形势下，工控安全问题愈发突出，传统措施已无法满足安全要求。随着钢铁行业智能制造转型升级的持续推进，集成、协同、优化等核心要求正在促进工控系统从传统封闭系统向开放系统演进，通过工业互联网的建立打破信息孤岛、打通跨流程的数据关联与应用、实现扁平化的上传下达、实现总部与分部的协同以及生产现场与远程运维的协同，最终完成智能工厂在智能设计、智能生产、智能运维和智能决策等方面的升级。因此，企业生产对内部、外部网络的依赖程度越来越高，要求更加复杂，从而导致安全问题也愈发凸显[2]。

当前，钢铁企业工控系统面临的安全问题包括：

1)网络边界安全控制能力较弱，入侵及威胁传播防御能力差

尽管大多数L1、L2、L3进行了网络分段隔离(有的企业甚至没有做隔离)，各层通常没有防火墙或者其他安全访问控制策略，数据交互随意，导致攻击进入任意层次后都会比较容易直接威胁到L1对设备的控制。同时，随着跨单元应用的丰富，各单元之间(比如炼钢和轧钢)的网络连接也缺乏足够的边界保护。

2)计算机及工控系统严重漏洞检测及处理不及时，系统安全风险大

钢铁企业PC终端、服务器、PLC控制器等普遍存在系统安全漏洞，包括能够造成远程攻击、越权执行的严重威胁类漏洞，各个厂商也在不停升级和发布补丁弥补缺陷，然而，由于设备、协议多导致管理难度大，以及企业专业技能缺乏、安全认识不足等现实问题，造成工业控制系统的补丁管理困难，难以及时处理威胁严重的漏洞。

3)违规操作及越权行为监控不力，主机安全不可控

缺乏对移动介质的安全管控，操作人员直接通过主机USB接口、串口、光驱等外设进行文件、程序等传输，成为了当前病毒感染的主要途径之一；企业由实施阶段进入生产运维阶段后，任意接入计划外操作站、移动笔记本、网络设备，甚至违规接入互联网等行为都是重大的安全隐患。

4)基于工控协议的安全保护机制欠缺，缺乏针对性

专有的工业控制通信协议或规约在设计时通常更强调通信的实时性及可用性，对安全性普遍考虑不足，比如缺少足够强度的认证、加密、授权等。随着Mod-bus、OPC、Siemens S7、IEC104等工业协议的广泛认知提升，攻击者更容易掌握协议的格式和内容，对PLC等系统的攻击变得更加容易，因此针对工控协议的安全防范就更加重要。

5)缺乏网络攻击行为动态监测部署，主动防御能力欠缺

随着针对工控系统的攻击行为的增加，互联网中攻击方式多、病毒传播快、变种快等特征也很快被应用到工业领域，传统防御以不断丰富病毒知识和攻击特征来预防非法网络行为，缺乏主动学习能力，如何动态监测攻击行为并进行预测性主动防御也将是未来工控安全建设的关键技术。

2 工控安全设计

2.1 总体设计

基于钢铁行业自动化控制系统网络特征和安全现状，本方案遵循“分层分区”的策略进行总体设计，工控网络安全按照L1、L2、L3进行纵向分层保护，同时按照高炉、炼钢、轧钢等工艺单元进行横向分区域保护。

自动化控制系统安全设计要求按照L1、L2、L3、外部网络进行网络隔离划分，做好内部防护的同时，加强边界攻击防御，总体方案拓扑图如图2所示。

图2 总体方案拓扑图

2.2 L1基础自动化安全防护

基础自动化(L1)网络连接PLC控制器、HMI服务器、工程师站、操作终端、仪表上位机、数据服务器(iba等)、打印机等设施，构成了工业控制的核心业务系统，其中PLC直接控制设备动作，是工控安全的重点保护对象。

L1主要通过部署工业防火墙、工业入侵检测系统硬件产品，以及杀毒软件、主机安全防护软件产品，实现安全管控。

(1)在PLC与各计算机系统之间部署工业防火墙。一方面通过访问控制策略限定指定计算机才能访问PLC，管控网络通信对象，降低计划外设备非法访问风险；另一方面，通过OPC、Modbus/TCP、Modbus/RTU、Siemens S7、IEC104等多种工业协议深度解析支持，实现指令级别的过滤防护，避免来源于HMI等计算机的非法控制命令下达；同时还可以通过流量自学习，自动推荐安全策略，不断完善管控能力。

(2)在L1网络与上层网络、其他区域网络之间部署工业防火墙。只允许L1网络与外部网络之间合法设备的数据交换，阻挡对生产网未经授权的非法访问，同时也防止外部网络的病毒感染扩散到车间PLC网络中，从而提升网络边界安全水平，实现分层分区安全隔离和管控。

(3)在核心交换机旁路部署工业入侵检测系统。通过捕获经过交换机的所有数据包，进行基于规则的解析检测，完成木马、蠕虫、缓冲区溢出攻击、扫描探测等通用入侵检测，以及非法功能码、非法报文长度、非法地址等基于工控协议的入侵检测，及时发现异常并报警。

(4)在计算机系统中部署主机安全防护软件和杀毒软件。工业控制系统应用相对固定，计算机主要安装特定软件程序，防范病毒或木马等恶意攻击最直接的方式是管理主机进程，主机安全防护软件通过白名单的方式监控主机运行程序，并且管理和限制USB接口、光驱、网卡、串口等外设的使用，降低安全风险。杀毒软件可以发挥基本的病毒防护和清除功能。

2.3 L2过程自动化安全防护

过程自动化(L2)网络由数据采集及存储服务器、应用服务器、数据库服务器、工程师站、操作终端、打印机等设施组成。过程自动化以数据处理、模型算法为重点，在自动化系统中起着承上启下的作用，安全威胁不仅影响本层网络，还存在扩散到L1和L3层级的风险。

L2主要通过部署通用防火墙、通用入侵检测系统硬件产品，以及杀毒软件、主机安全防护软件产品，实现安全管控。

(1)在L2网络与上层网络、其他区域网络之间部署通用防火墙。只允许L2网络与外部网络之间合法设备的数据交换，提升网络边界安全水平，实现分层分区安全隔离和管控。

(2)在核心交换机旁路部署通用入侵检测系统。通过捕获经过交换机的所有数据包，进行基于规则的解析检测，完成木马、蠕虫、缓冲区溢出攻击、扫描探测等通用入侵检测，及时发现异常并报警。

(3)在计算机系统中部署主机安全防护软件和杀毒软件。主机安全防护软件监控主机运行程序，并且管理和限制外设使用情况，降低安全风险。

2.4 L3制造执行系统安全防护

制造执行系统(L3)网络由应用服务器、数据库服务器、工程师站、操作终端、打印机等设施组成，向下层发送生产计划，从下层收集生产实际数据，还承担分厂与总厂、分部与总部的数据通信功能，非常容易受到外部网络攻击，从而影响自动化系统的网络安全。

L3主要通过部署VPN网关、通用入侵检测系统、工控漏洞扫描系统、工控安全管理平台硬件产品，以及杀毒软件、主机安全防护软件产品，实现安全管控。

(1)在L3网络与外部网络、其他区域网络之间部署VPN网关。VPN网关一方面允许L3网络与外部网络之间合法设备的数据交换(例如病毒库升级等)，另一方面只允许工程师通过加密通道远程接入进行在线故障分析和协作，保障网络边界安全。

(2)在核心交换机旁路部署通用入侵检测系统。实现通用威胁入侵检测，及时发现异常并报警。

(3)部署工控漏洞扫描系统。负责计算机、服务器的系统漏洞扫描，以及PLC控制器、工控常用HMI软件等系统的漏洞扫描，及时发现漏洞并提供分析报告。

(4)部署工控安全管理平台。负责将所有网络交换机、防火墙、安全检测设备，以及计算机、服务器等硬件资源的运行信息进行统一收集和综合分析，形成工业控制系统统一信息安全管理系统，帮助管理和运维人员更加宏观、全面地了解设备运行情况、安全状态等信息，及时掌握、报告和发布安全态势。

(5)在计算机系统中部署主机安全防护软件和杀毒软件。主机安全防护软件监控主机运行程序，并且管理和限制外设使用情况，降低安全风险。

3 效果分析

本文所述方案针对钢铁企业常用网络架构，以分层分区为原则进行工控安全设计，以主动防范、及时发现、快速处理为目标，来提升工控安全防御能力，主要达到了以下效果：

各层次、各区域之间有效隔离防护：通过防火墙限定通信对象和内容，阻断非法入侵和危险传播，其中工业防火墙还可以进行基于协议解析的控制命令过滤,重点保护PLC控制器安全，保证生产正常进行。

系统安全漏洞扫描和修复：实时扫描操作系统、控制器、工控软件漏洞，及时发现工控网络脆弱点，提出风险预警及补丁修补意见。

工控异常监测及网络流分析诊断：动态监测网络信息流，及时发现传统网络木马病毒入侵行为、针对工控设备的攻击行为、未知设备接入和工控网络流异常变化趋势等，报警联调防护设备。

违规操作监测和预防：实时监控外设使用情况和运行进程，设置管理策略，预防设备违规接入和计划外软件安装行为，杜绝内部威胁传播。

4 结 语

我国钢铁行业工业控制系统PLC控制器、工控软件等重要设备与技术都还依赖于国外产品，关键数据、敏感信息泄漏风险巨大，在从传统封闭网络向开放网络过渡的过程中，将面临更多的安全攻击和威胁。

本文所述工控安全设计思路仅从信息技术角度展开，力图通过技术手段进行安全防御、检测和排除，但是工控安全不只是一个技术问题，而是多层面、多因素、综合、动态的体系保障问题。一个完备的工控安全防护体系，需要从组织与制度、标准与规范、技术与策略等多个维度同步建设。组织与制度层面需要加强以人为中心的安全意识观念建设，标准与规范层面需要加强安全相关的设计及验证标准和平台建设[3]，技术与策略需要面向精细化、差异化保护持续优化和升级。