1 項目背景

本文主要介紹宣化鋼鐵企業的生產調度系統網絡安全防護建設，在鋼鐵企業的實際網絡環境中，支撐生產調度業務的網絡系統主要包含：工業控制系統網絡與生產管理網絡。工業控制系統網絡主要負責企業實際的生產業務，生產管理網絡主要負責生產調度級決策。

1.1 工業控制系統網絡

分散在物理隔離的各生產流程中的34套工業控制系統，大部分為DCS控制系統，部分控制系統采用西門子PLC設備。現場控制層：主要包括各類DCS控制器及PLC控制器，用于對各現場設備進行控制；過程監控層：主要包括過程控制服務器與HMI/SCADA系統功能單元，用于對整個生產過程數據進行采集和監控，工藝技術人員通過操作員站對現場控制層進行工藝參數的調整和優化，維護正常的生產過程。

1.2 生產管理網絡

主要通過生產綜合調度系統、能源管理系統（EMS）等生產管理系統，用于為企業提供包括生產過程數據管理、計劃排產管理、生產調度管理、庫存管理、質量管理、人力資源管理、成本管理、物流管理等生產管理服務。

生產管理網絡通過部署2臺冗余數采服務器實現對生產線的實時生產信息的采集，上傳到生產綜合調度系統等系統的實時數據庫及業務數據庫中，為生產決策提供數據支撐。通過對生產綜合調度系統的建設，可快速全面地得到企業績效目標與實際生產指標的差異，監控生產運動動態情況及時發現異常并做出正確決策，實現企業績效持續提升。

2 項目目標

依照本試點項目的設計，可使宣化鋼鐵工控系統實現對黑客、病毒、惡意代碼等高風險抵御，阻止內部/外部人員的非法訪問，工控系統中的相關數據采集做到純物理單向上傳到生產管理網絡的生產綜合調度系統中，零數據包返回。

本試點項目的建設目標和主要任務如下：

（1）抵御互聯網/辦公網發起的惡意攻擊和破壞；

（2）防止勒索病毒、木馬等惡意程序對工控關鍵系統造成不利影響和破壞；

（3）對工控關鍵系統主機進行USB接口管控、系統加固、病毒預防等；

（4）對數采服務器及生產綜合調度系統等生產管理系統的運維人員實時管控與審計；

（5）實現數采鏈路間的物理隔離與訪問控制；

（6）對生產管理網絡進行深度的審計及行為管控；

（7）對過程監控層內由DCS、SCADA系統組成的安全域做域間安全隔離與訪問控制；

（8）生產設備資產結合安全設備防護日志等信息匯聚至統一的安全管理平臺，以網絡拓撲、事件預警的方式做微態勢感知。

3 方案設計思路

本方案主要實現宣化鋼鐵企業工控系統單向數據采集上傳到生產管理網絡生產綜合調度系統的功能，同時又要做到各生產控制系統安全域間的安全隔離與訪問控制，因此推薦安盟華御“工業數采單向光閘+工業防火墻”方案，以實現安全防護功能。

（1）工業數采單向光閘：實現關鍵生產數據單向數據采集上傳到生產管理層生產綜合調度系統（光信號，無反饋）。

（2）工業防火墻：實現各生產控制系統安全域間的安全隔離與信息交換訪問控制。

4 整體解決方案

在宣化鋼鐵企業實際應用環境中，控制網絡都是“敞開的”，比如與生產綜合調度與辦公網OA/ERP的業務交互，在各控制系統安全域邊界及層級邊界缺乏有效單向控制與隔離、安全審計、運維防護等技術和機制。

在本項目中的關鍵技術使用安盟華御工業數采單向光閘將生產控制區中的各類數據采集匯總，單向導出至外網側，可對外提供OPC、Modbus TCP等通用數據服務，同時可對接阿里、華為等各類云平臺。數據從工控網向管理網的單向傳輸，規避了威脅信息通過管理網進入工控網的風險。

本項目建設需要對3條數采鏈路及1條辦公網絡系統的鏈路進行防護，做到生產系統的高安全隔離。輔以工業防火墻設備、工業審計系統、主機衛士及網絡安全管理平臺，對工控生產網絡進行全方位的網絡安全防護，保護企業生產網絡的安全。網絡安全設計圖如圖1所示。

圖1 網絡安全設計圖

以宣化鋼鐵企業實際業務需求為基礎，綜合各類安全產品特性，以生產安全為目的，通過最小經濟投入，合理配備少量安全產品，實現最大化的安全收益。

（1）使用工業數采單向光閘實現單向數據采集與上傳。根據數采鏈路數量以及工業數采單向光閘產品的物理接口數量，兼顧接口冗余備份功能，可配備12臺安盟華御工業數采單向光閘（每套工業數采單向光閘共5個通信接口，啟用其中3個通信接口作為采集接口，留1個接口備用、1個接口管理使用），如圖2所示。

圖2 工業數采單向光閘數采鏈路

（2）使用工業防火墻防護數據采集鏈路，同時對安全域間的信息交換做安全策略配置，并做到采集鏈路間的隔離。每3條數采鏈路匯聚到1臺工業防火墻上，每條鏈路使用獨立網橋，互不干涉。34條數采鏈路，配備12臺工業防火墻（通過接口擴展，每臺工業防火墻最大支持10個通信接口，提供6個接口作為通信口，做3進3出的3條鏈路防護，留2進2出作為備份。每臺工業防火墻對應1臺工業數采單向光閘），如圖3所示。

圖3 工業防火墻防護數據采集鏈路

5 項目難點與創新點

（1）工業數據收集層面

在宣化鋼鐵企業實際的34條數采鏈路中，包含了多種類型的工業自動化系統，廠家也存在差異，因此數據采集工作需要一種具備多種采集協議的平臺設備。安盟華御工業數采單向光閘的內網單元數采模塊支持多類工業協議，如常見的DCS系統、PLC控制器、智能儀表、數控機床類設備等，具備高速集成各類工業控制系統的能力。

（2）邊界安全隔離層面

隨著工業自動化及智能制造技術的大力推進，企業內的生產管理網絡與生產控制網絡的邊界變得不再清晰，存在著業務信息的上傳和數據的交叉，而兩個網絡中都存在系統升級、數據備份等，移動介質的不規范使用給兩個網絡都帶來了安全威脅。安盟華御數采單向光閘利用SFP光模塊中發光器和收光器分離的技術特點，設備既實現了工控網數據的單向導出，又實現了辦公網無任何反饋信號至工控網，將兩網絡間的安全邊界做到了物理隔離。

（3）工業協議自身漏洞層面

由于工控發展史及工控系統限制性等，工控系統SCADA軟件、PLC控制系統、工業通信協議等在設計過程中主要考慮可用性、實時性，對安全性的考慮不足，存在著被入侵和攻擊的可能。而生產管理網絡與生產控制多使用工業協議進行通訊，安全性不能得到保證。安盟華御數采單向光閘對生產控制系統不同的工業協議類型進行數據采集，以統一的工業協議轉發給采集服務器，單向上傳過程中使用安盟華御專有協議進行通訊，物理隔離的同時也做到協議隔離，形成安全邊界的雙重安全防護。

（4）安全設備自身安全層面

在數據采集工作進行時一般采用建立二級中心的方式，使用雙網卡數采機進行數據采集轉發，使用的系統存在著不打補丁、不做備份、漏洞遍布的情況，很難保證其自身安全。安盟華御工業數采單向光閘采用SUOS自主操作系統（類Linux操作系統），經過專業系統加固，具備工控行業里高可靠、高安全的特性，是安全邊界的可靠保障。

摘自《工業控制系統信息安全專刊（第七輯）》