1 項目概況

1.1 項目背景

在信息技術不斷發展的推動下，制造企業的生產管理理念和技術也在不斷發展，工業自動化領域發展到今天，已經進入了第四代，新一代控制系統的一個突出特點就是開放性的提高。當前企業普遍開始采用基于ERP/SCM、MES和PCS三層架構的管控一體化信息模型思想，隨著兩化融合政策的推進，越來越多的企業實施MES系統，使得管理實現了管控一體化。

制造業是工業自動化控制系統普及度較高的行業之一，同時也是對工業控制系統（ICS）的穩定性和控制策略復雜性要求較高的行業。工業控制系統一旦出現故障，不僅會導致巨大的經濟損失和能源安全沖擊，還會造成人身安全影響。因此生產控制層的網絡安全受重視程度最高。

1.2 項目簡介

廣靈金隅水泥有限公司是一個典型的新型制造業企業，其在生產技術應用層面采用DCS控制系統進行生產自動化控制，采用APC高級過程控制系統進行生產過程控制，在生產管理應用層面采用EMS能源管理系統進行能效分析，與生產調度系統進行信息傳遞并實現了企業生產的管控一體化。

在了解工業控制領域面臨的安全威脅，以及已報道的層出不窮的安全事件影響下，廣靈金隅水泥有限公司計劃在生產控制系統安全保障方面投入一定的資金和技術，以保障企業生產安全。

1.3 項目目標

廣靈金隅水泥有限公司工業控制網絡安全防護體系設計與應用的總體目標是完善生產控制系統網絡安全體系框架，從整體上提升工業控制網絡安全體系水平和企業核心競爭能力，從網絡層面保障企業生產運行安全。

本項目通過構建縱深防御體系，能夠實現以下具體安全防護功能：

（1）區域隔離

采用技術策略實現兩個區域網絡間的通信過濾。假如某一區域內部發生網絡故障，將被控制在最初發生的區域內，而不會影響到其它與之隔離的區域。

（2）深度檢查

面向應用層對特有的工業通訊協議進行內容深度檢查，告別病毒庫升級缺陷。

（3）主機加固

對主機應用安全防護策略，實現主機安全加固，抵御主機自身存在的和外界帶來的安全威脅。

（4）行為審計

對網絡運行日志、操作系統運行日志、安全設施運行日志等進行集中收集、自動分析，及時發現各種違規行為以及病毒和黑客的攻擊行為。

2 項目實施

2.1 網絡分層與行為基線分析

廣靈金隅水泥生產網絡依照IEC 62443進行層級劃分，整個生產網絡分為L0~L4四個層級，依照生產業務場景和業務流程，基于行為基線對企業生產網絡層級分析如圖1所示。

圖1 企業生產網絡層級分析

（1）L0層行為基線

L0層傳感器數據通過4~20mA硬接線接入車間PLC中AI模塊，部分信號以數字量接入DI模塊，同時PLC對繼電器等控制設備通過DO模塊進行控制。

在動力側，互感器將信號直接以4~20mA硬接線接入綜保或利用二次表通過RS485鏈路以DLT645協議接入綜保。

生產側與動力側均為雙向鏈路，即數據讀寫。

（2）L1層行為基線

生產側PLC通過自定義協議或其自身協議，以總線方式將生產處理數據輸出至DCS系統。

動力側綜保、繼保、微保將數據以總線方式，通過IEC 103或自定義協議輸出至動力DCS。

工程師站通過調庫的方式，將DCS數據采集至其I/O節點，并轉儲于本地DB作為數據存儲、分析的基礎。

上述過程均為讀寫雙向。

（3）L2層行為基線

工程師站通過SCADA自身Net Server將其View及DB映射至操作員站。對于生產側工程師站，其OPC Server與DB處于非同一主機，需要將DB內容映射至OPC Server。上述過程均為讀寫雙向流量。

APC系統對生產過程進行優化，通過對工程師站內容進行讀取并修正執行，該過程同樣為讀寫雙向。

生產部分DCS通過OPC服務器將數據輸出至數采網閘，同理，動力部分DCS通過工程師站本地OPCServer與數采網閘進行通訊。考慮到數采的目的是收集部分數據，對EMS系統提供有效的數據分析基礎，故改部分通訊屬性為只讀。

（4）L3層行為基線

數采網閘的數據通過自定義協議輸出至DB，EMS系統以DB數據為基礎進行分析，并對L4層查詢提供數據基礎。該部分均為只讀屬性。

2.2 安全設計思路

整體安全設計基于行為基線分析結果，參照“白名單”環境進行設定。方案基于目前制造企業中存在的安全風險及脆弱性，結合其業務特點，依據政策標準，針對生產控制網絡從不同的安全防護點入手，結合“白名單”技術手段，采用主動免疫系統防御機制，提供基于業務模型和關鍵應用執行程序的可信體系，阻止非授權及不符合預期的網絡訪問或執行程序運行，實現對生產網絡互聯邊界安全、主機安全、行為操作安全等主動安全防御，降低生產網絡系統完整性及可用性被破壞的可能，為生產系統網絡打造一套安全閉環縱深防御體系。

2.3 整體安全解決方案

該企業工業控制網絡安全防護整體解決方案如圖2所示。

圖2 工業控制網絡安全防護整體解決方案

安全設備清單及說明如表1所示。

表1 安全設備清單及說明

3 案例亮點

（1）提升生產網絡抗攻擊能力

工業控制網絡安全防護體系的建設使系統網絡能夠有效防護內部和外部網絡惡意代碼、病毒木馬、ATP等攻擊，將安全風險降低到可控范圍內，減少安全事件的發生，保護綜合監控網絡高效、穩定運行，減少系統停機帶來的系統運行損失。

（2）增強生產網絡安全管理能力

通過工業網絡安全防護體系的建設，將生產網絡進行安全域劃分，方便用戶以安全域為最小管理單元進行安全策略制定、安全檢查等安全管理，增強生產控制系統的信息安全管理能力。

（3）實現生產環境實時安全監測

應用安全監測審計技術，對網絡行為進行監測，對策略外的協議進行報警，對外來訪問流量進行回溯，以便用戶對已發生安全事件進行追蹤溯源，并分析判斷安全事件的起因，為事件應急處置和事件處理提供依據。

（4）構建脆弱性檢查評估能力

應用脆弱性檢測評估工具，實現工業生產環境下的安全漏洞和脆弱性檢查，對現有工業控制系統和新增工控設備進行脆弱性檢測，確保用戶對生產控制系統的安全性進行管控。

（5）有效節約安全投入成本

采用“白名單”設計理念，屏蔽生產網中非生產流量，同時針對已知漏洞利用攻擊、0day攻擊等形成有效防范措施，降低在“黑名單”體系下不同類型設備的部署數量，有效節約成本。