為了更好地應對新的市場挑戰,各鋼鐵企業都在積極推進信息化建設,近年來,鋼鐵企業的信息化建設取得了很大進展,企業信息化的功能框架,即PCS、MES和ERP系統投入了運行,取得了良好的成果。對于強化集團管控水平、規范內部管理、提高運作效率、節能減排、增產降耗發揮了巨大的作用。但與此同時,信息安全防護相對滯后,給企業信息化建設帶來一些安全隱患。
鋼鐵行業控制網絡說明及隱患分析
鋼鐵行業工業以太網一般采用環網結構,為實時控制網,負責控制器、操作站及工程師站之間過程控制數據實時通訊網絡,網絡上所有操作站、數采機及PLC都使用以太網接口并設置為同一網段IP地址,網絡中遠距離傳輸介質為光纜,本地傳輸介質為網線(如PLC與操作站之間)。生產監控主機利用雙網卡結構與管理網相連。目前的系統存在以下信息安全隱患:
1、整個網絡均采用同一網段的以太網通訊連接,任何連接到網絡內的PC或操作站都能訪問網絡中所有的PLC,對PLC進行操作甚至破壞PLC的組態程序,直接造成PLC的控制單元失靈或是現場設備停機或損毀
2、IP地址可以隨意分配,一旦發生地址沖突,就會造成設備停機
3、網絡中無任何隔離防護設備,如果主控樓操作站感染病毒,病毒將會輕易蔓延至整個網絡,可能會導致整個網絡數據堵塞或操作站喪失操作能力,某些針對工業協議(如Modbus TCP)的病毒還可能會導致PLC控制單元死機,完全喪失控制能力
4、網絡中無安全監控平臺,無法對網絡安全事故進行預警和分析,網絡工程師將無法以快的速度判斷問題所在,也就無法迅速準確的做出防護和修復措施
解決方案
多芬諾安全防護方案網絡拓撲圖
1、區域隔離
在關鍵通道上部署Tofino工業防火墻,保證即使某臺設備局部出現問題,不會波及整套裝置或工廠的安全穩定運行。同時對環網內不同裝置劃分VLAN,由于防火墻的作用即使出現非法IP地址也不能對PLC進行下裝程序等操作。
2、通訊管控
通過對防火墻插件的組態,通訊規則只允許PLC制造商專有協議數據通過,其它基于Windows應用的不必要通訊以及病毒、非法訪問等一律禁止,從而創造出一個單一制造商通信網絡的環境。
3、集中管理
在網絡中部署CMP配置管理平臺,用于配置、管理、監測網絡中所有的Tofino工業防火墻,并接收來自防火墻的網絡報警信息。無需停車,Tofino工業防火墻特有的“測試”模式允許在線配置防火墻策略。
4、實時報警
通過CMP對報警事件的記錄存儲,為我們解決部分已發生過的安全事件提供分析依據,把網絡安全問題消滅在萌芽中。
