為了更好地應對新的市場挑戰(zhàn),各鋼鐵企業(yè)都在積極推進信息化建設,近年來,鋼鐵企業(yè)的信息化建設取得了很大進展,企業(yè)信息化的功能框架,即PCS、MES和ERP系統(tǒng)投入了運行,取得了良好的成果。對于強化集團管控水平、規(guī)范內(nèi)部管理、提高運作效率、節(jié)能減排、增產(chǎn)降耗發(fā)揮了巨大的作用。但與此同時,信息安全防護相對滯后,給企業(yè)信息化建設帶來一些安全隱患。
鋼鐵行業(yè)控制網(wǎng)絡說明及隱患分析
鋼鐵行業(yè)工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu),為實時控制網(wǎng),負責控制器、操作站及工程師站之間過程控制數(shù)據(jù)實時通訊網(wǎng)絡,網(wǎng)絡上所有操作站、數(shù)采機及PLC都使用以太網(wǎng)接口并設置為同一網(wǎng)段IP地址,網(wǎng)絡中遠距離傳輸介質(zhì)為光纜,本地傳輸介質(zhì)為網(wǎng)線(如PLC與操作站之間)。生產(chǎn)監(jiān)控主機利用雙網(wǎng)卡結(jié)構(gòu)與管理網(wǎng)相連。目前的系統(tǒng)存在以下信息安全隱患:
1、整個網(wǎng)絡均采用同一網(wǎng)段的以太網(wǎng)通訊連接,任何連接到網(wǎng)絡內(nèi)的PC或操作站都能訪問網(wǎng)絡中所有的PLC,對PLC進行操作甚至破壞PLC的組態(tài)程序,直接造成PLC的控制單元失靈或是現(xiàn)場設備停機或損毀
2、IP地址可以隨意分配,一旦發(fā)生地址沖突,就會造成設備停機
3、網(wǎng)絡中無任何隔離防護設備,如果主控樓操作站感染病毒,病毒將會輕易蔓延至整個網(wǎng)絡,可能會導致整個網(wǎng)絡數(shù)據(jù)堵塞或操作站喪失操作能力,某些針對工業(yè)協(xié)議(如Modbus TCP)的病毒還可能會導致PLC控制單元死機,完全喪失控制能力
4、網(wǎng)絡中無安全監(jiān)控平臺,無法對網(wǎng)絡安全事故進行預警和分析,網(wǎng)絡工程師將無法以快的速度判斷問題所在,也就無法迅速準確的做出防護和修復措施
解決方案
多芬諾安全防護方案網(wǎng)絡拓撲圖
1、區(qū)域隔離
在關(guān)鍵通道上部署Tofino工業(yè)防火墻,保證即使某臺設備局部出現(xiàn)問題,不會波及整套裝置或工廠的安全穩(wěn)定運行。同時對環(huán)網(wǎng)內(nèi)不同裝置劃分VLAN,由于防火墻的作用即使出現(xiàn)非法IP地址也不能對PLC進行下裝程序等操作。
2、通訊管控
通過對防火墻插件的組態(tài),通訊規(guī)則只允許PLC制造商專有協(xié)議數(shù)據(jù)通過,其它基于Windows應用的不必要通訊以及病毒、非法訪問等一律禁止,從而創(chuàng)造出一個單一制造商通信網(wǎng)絡的環(huán)境。
3、集中管理
在網(wǎng)絡中部署CMP配置管理平臺,用于配置、管理、監(jiān)測網(wǎng)絡中所有的Tofino工業(yè)防火墻,并接收來自防火墻的網(wǎng)絡報警信息。無需停車,Tofino工業(yè)防火墻特有的“測試”模式允許在線配置防火墻策略。
4、實時報警
通過CMP對報警事件的記錄存儲,為我們解決部分已發(fā)生過的安全事件提供分析依據(jù),把網(wǎng)絡安全問題消滅在萌芽中。
