冶金钢铁工业控制系统安全防护解决方案开发方案，冶金钢铁工业控制系统安全防护解决方案。

冶金钢铁工业控制系统安全防护解决方案

一、背景情况

冶金钢铁行业工业以太网一般采用环网结构，为实时控制网，负责控制器、操作站和工程师站之间过程控制数据实时通讯，网络上所有操作站、数采机和PLC都采用以太网接口，网络中远距离传输介质为光缆，本地传输介质为网线（如PLC与操作站之间）。生产监控主机利用双网卡结构与管理网互联。

二、安全分析

（1）钢铁冶金企业没有对其内部生产控制系统及网络进行分区、分层，无法将恶意软件、黑客攻击、非法操作等行为控制在特定区域内，易发生全局性网络安全风险。

（2）分厂控制网络采用同网段组网，PLC、DCS等重要控制系统缺乏安全防护和访问控制措施。

（3）各分厂控制网与骨干环网之间无隔离防护措施。

（4）钢铁冶金企业办公网和生产监控网之间无物理隔离措施，导致病毒、木马、黑客攻击等极易以办公网为跳板对生产控制系统发起攻击。

（5）由于钢铁冶金企业控制流程复杂、设备种类繁多、通信协议多样，导致采集数据安全性无法得到保障。

（6）钢铁冶金企业内部控制系统及网络缺乏安全监测与审计措施，无法及时发现非法访问、非法操作、恶意攻击等行为。

（7）钢铁冶金企业内部缺乏统一的安全管理平台。

三、冶金钢铁行业工控系统安全防护解决方案

防护原则

（1）安全分区

对于生产网络与办公网络、企业集团内网存在互联互通的现象，首先需要进行网络优化，明确生产网络边界，尽量避免多个生产网络边界的现象。

（2）安全审计

对生产网络内部的日常操作行为进行基于白名单策略监控，及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为，并要求对生产网络的运行日志进行记录保存，至少保留6个月；对于已经发生攻击事件的情况，要求可以对攻击事件进行追踪、溯源，定位网络攻击的位置或具体用户。

（3）边界防护

根据业务网络实际情况，在生产网络外部边界处部署工业防火墙或单向隔离网闸设备，保证生产网络向办公网络或其他外部网络数据单向传输。工业控制系统上位操作主机（操作站、工程师站、服务器）作为生产网络的内部边界，需要对用户登陆、操作、运行等行为进行安全监控与审计，并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。

（4）恶意代码防范

对于以“白名单”防护策略为主的工控安全防护方案，除了对外部网络边界进行有效的访问控制和威胁监测以外，需要对上位主机的USB接口使用过程进行安全有效管理，对于临时接入工控网络的移动存储设备，必须先进行病毒查杀，才可以使用。

具体方案

（1）部署工控安全监控系统和工业防火墙，对工控协议深度解析，防范非法访问，迅速检测异常网络节点，及时预警，并监控工业防火墙工作状态，实时获取工控网安全事件日志和报警任务，保障PLC设备和各服务器安全。

（2）在各高炉操作站和工程师站应用工控安全主机防护系统，防范非法程序和应用以及未经授权的任何行为。

（3）部署堡垒机及工控安全综合审计系统，对违规操作行为进行控制和审计，保障网络和数据不受外部和内部用户的入侵和破坏。

（4）采用工控网络隔离网关设备隔离生产控制网和控制子站环网，提供两网数据交换安全通道，阻止来自上层网络的非法访问以及病毒和恶意代码的传播。

四、解决方案拓扑图