一、项目背景

近年来，针对工业控制系统信息安全事件不断发生并愈加频繁，类似“Stuxnet震网”、“WannaCry”、“Havex”等恶意软件会严重影响关键工业基础设施的稳定运行，工业企业在控制系统信息安全面临着越来越严峻的挑战。为确保工业基础设施的信息安全，国家相继出台了多部法律法规，对工业企业的信息安全防护作出了明确的指示和要求。

某钢铁公司是我国国有钢铁集团下属的核心生产企业之一，拥有当今世界先进水平的钢铁生产工艺流程。随着技术的发展尤其是工业互联网的构建，现有控制层的安全显得有点薄弱。

为了消除目前现有工业控制网络中的安全风险，进一步提升网络安全性，满足工信部《工业控制系统信息安全防护指南》以及等级保护相关的信息安全要求，最大限度保障企业的正常安全生产，某钢铁公司决定对其核心生产线的控制网络进行调整和升级。

某钢铁公司生产线网络拓扑图

二、潜在风险描述

2.1主机类风险

操作系统漏洞风险：人机交互操作系统以Windows系统为主。出于使用习惯、开发的便利性以及程序稳定性、兼容性等各方面因素，相关人员不会对操作系统安装和更新任何补丁，使系统存在通过漏洞被攻击的风险。

防病毒软件风险：为了保证软件平台具有一定的安全性，部分主机系统安装了传统的杀毒软件。但受工业控制的实际使用环境影响，其病毒库更新不及时，导致其每年都会受到新病毒的大规模攻击。

主机端口风险：由于业务需要，部分主机将TCP 102、TCP 135、TCP 445等必要端口设置为全时段全部开放的状态。结合操作系统的漏洞风险，攻击者入侵甚至控制上位机的潜在风险极大。

网络安全入侵风险：受生产工艺网络设置影响，产线间的数据访问较为频繁，几条生产线通过交换机由一级网络连接至上层二级网络。一级网络同二级网络间缺乏必要的边界防护措施，且每条生产线之间也没有设置安全防护措施。因此，无论是二级网络还是一级网络中任意一条生产线遭到入侵，都极有可能迅速传播到其他现场，为整个工控系统网络安全造成极大的影响。

网络安全事件处置风险：整个工控系统网络中缺乏有关网络防入侵及流量审计相关措施。一旦网络边界遭到突破入侵，系统无法在第一时间进行发现和记录，导致相关人员无法对网络攻击或网络安全事件进行及时地预警、发现和处理和追溯。

外部设备类风险：工业控制网络中大量工控设备在日常维护与升级工作中，都基本会使用到第三方软件和第三方硬件。生产操作人员也存在不规范操作，如将U盘、手机外部设备接入主机端口。这类软件和硬件都难以完全保证其安全性，直接接入会对工业控制网络带来巨大的威胁风险。

2.2安全管理及态势缺失

安全管理缺失：在某钢铁公司的工业控制系统中，涉及到的设备、软件及相关通信协议种类繁多，同时还面临设备使用周期长，软件系统补丁兼容性差、发布周期长等问题。这些问题会造成资产统计不完整、统计不完全等设备安全管理问题，继而引发工业控制系统的漏洞处理不及时甚至管理缺失等安全风险。

集团级安全态势分析缺失：某钢铁公司所在的工业管控系统十分庞大，其上级集团缺乏对顶层工业控制网络安全的态势感知设计，因此整个集团对网络风险预警和对风险的实时感知能力缺失，对安全事件的应急指挥能力、决策能力和应急处置能力较弱，无法有效完成对攻击、威胁的精准定位和研判。

三、网络安全升级方案依据

本文在遵循钢铁企业生产系统业务特点的前提下，满足工信部《工业控制系统信息安全防护指南》以及等级保护相关安全要求，设计相应的安全防护方案，并参考如下标准：

《关于加强工业控制系统网络安全管理的通知》(工信部【2011】451号)

《工业控制系统信息安全：评估规范》（GB/T 30976.1—2014）

《工业控制系统信息安全：验收规范》（GB/T 30976.2—2014）

《工业自动化和控制系统网络安全》（GB/T33007、GB/T33008、GB/T33009）

《工业控制系统信息安全防护指南》工信部

《信息安全技术网络安全等级保护基本要求-第5部分》

四、网络安全方案综述

针对某钢铁公司的工控系统网络现状，遵照《工业控制系统信息安全防护指南》等标准进行综合风险评估、核实等工作，经过对现场网络深入调研和对风险问题的全面分析，长扬科技从“补充缺失安全设备”、“整改现有设备配置”、“补全安全管理制度”三个方面，对某钢铁公司的工控网络进行了全面的梳理和安全防控架构搭建。

4.1补充缺失安全设备

通过在一级网络和二级网络之间，以及一级网络中的不同产线之间分别部署工业防火墙，使不同层级之间、统一层级的不同区域之间的网络边界更加清晰明确。设备部署后可对工业协议进行深度识别，不但能够有效阻止来自外部的攻击行为，同时可以防止病毒、木马等恶意软件的入侵和扩散，防止非授权设备的接入，避免恶意系统威胁在不同产线间的相互渗入和感染，实现对现场终端和网络边界的有效保护。

在一级网络的生产线旁路部署工业监测审计设备，实时对企业工业控制网络的全网数据流量进行协议级安全审计，及时发现异常行为及病毒木马，保障工控网络安全。

在一级网络及二级网络中的工程师站、操作员站等上位主机上部署工控主机卫士系统。通过白名单进行安全防护，能使工控网络中的上位机、服务器等抵御木马、病毒等恶意程序的攻击，有效保护系统中的各种服务器及HMI等终端的主机安全。

在一级网络的产线生产系统和二级网络中部署日志采集系统和流量采集系统。对交换机、服务器、操作员站、工程师站等系统进行日志和流量等运行数据进行采集，为上层安全态势感知平台提供基础数据。

在生产系统中建设安全管理区域，为安全设备的管理、数据收集等提供安全管理空间，提高整体管理效率。

在安全管理区域内部署工控威胁评估平台。通过定期对工控网络环境实现静态扫描，实现网络内各类设备的漏洞发现、资产列表更新等，提高资产核查、安全标准核对工作的效率，为企业侧提供技术、管理依据。

在安全管理区域部署安全运维管理平台，对工控网络操作过程中的运维人员进行统一身份认证、统一授权、统一审计、统一监控，消除运维过程中的盲区，提高用户管理效率。

在安全管理区域部署工业互联网安全态势感知平台。态势感知平台根据某钢铁公司工业现场实际物理和逻辑运行环境，将其全部工业网络防护设备进行无缝集成，有效的补充工业网络安全综合分析态势感知体系，实时汇聚分析各设备产生的日志、告警及网络流量等数据，对潜在风险和威胁进行有效预警，建成企业自己的安全大数据中心。

4.2整改现有设备配置

使用安全管理区内部署的工控威胁评估平台制定企业工控设备清单，对设备的漏洞、补丁情况做统一管理和定期更新，并根据企业情况制定相应的安全配置管理策略。

梳理已有设备的环境安全情况，拆除或封闭工业主机上不必要的USB、光驱等外部设备接口，降低恶意软件的外部入侵风险。

在网络设备、工控设备、工控主机和网络安全设备上对用户身份进行安全认证配置，并按照相关管理规定对认证信息进行更新，确保各设备的操作人员身份认证安全。

结合态势感知平台制定，制定当前产线的工控网络及更大范围内的安全事件应急预案。

4.3安全管理制度

利用安全管理区内部署的工控威胁评估平台制定工业控制系统资产清单、关键网络设备清单，明确相关资产责任人及其职责。

补充、完善工控网络安全管理制度、安全培训制度并定期培训；成立工控信息系统安全管理小组，明确小组整体及各人员责任。

五、解决方案综合实施效果

5.1满足安全合规要求：通过建设后，本次实施方案符合遵从了《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》等法律法规中对于安全技术、安全管理等各类要求，深度结合企业自身的业务特点，为某钢铁公司的工控网络系统建立起了全面立体的安全防护体系。

5.2优化已有资源配置：本方案以业主的角度作为安全防护方案出发点，在满足相关法规要求的前提下，充分利用企业已有资源，通过对本单位及上级单位运营设计的全面整合，实现了在有限资源条件下将安全防护能力最大化。

5.3提高企业安全防护性：项目实施后，为保障某钢铁公司工控网络安全运行提供了稳定的环境，实现对病毒、木马、软件漏洞、非法操作等内外部攻击威胁的的防护，显著加强企业工控系统的防范能力。

5.4树立行业安全应用样板：本次项目结合钢铁行业自身的业务特点与其工控系统的技术特点，兼顾了业务管理要求与安全保障效果，满足了监管以及未来业务发展的需要，在为钢铁行业企业的安全防护积累了落地实践经验，为上级集团和其他同行业企业的安全体系建设树立了一个行业应用样板。