為了更好地應對新的市場(chǎng)挑戰,各鋼鐵企業(yè)都在積極推進(jìn)信息化建設,近年來(lái),鋼鐵企業(yè)的信息化建設取得了很大進(jìn)展,企業(yè)信息化的功能框架,即PCS、MES和ERP系統投入了運行,取得了良好的成果。對于強化集團管控水平、規范內部管理、提高運作效率、節能減排、增產(chǎn)降耗發(fā)揮了巨大的作用。但與此同時(shí),信息安全防護相對滯后,給企業(yè)信息化建設帶來(lái)一些安全隱患。
鋼鐵行業(yè)控制網(wǎng)絡(luò )說(shuō)明及隱患分析
鋼鐵行業(yè)工業(yè)以太網(wǎng)一般采用環(huán)網(wǎng)結構,為實(shí)時(shí)控制網(wǎng),負責控制器、操作站及工程師站之間過(guò)程控制數據實(shí)時(shí)通訊網(wǎng)絡(luò ),網(wǎng)絡(luò )上所有操作站、數采機及PLC都使用以太網(wǎng)接口并設置為同一網(wǎng)段IP地址,網(wǎng)絡(luò )中遠距離傳輸介質(zhì)為光纜,本地傳輸介質(zhì)為網(wǎng)線(xiàn)(如PLC與操作站之間)。生產(chǎn)監控主機利用雙網(wǎng)卡結構與管理網(wǎng)相連。目前的系統存在以下信息安全隱患:
1、整個(gè)網(wǎng)絡(luò )均采用同一網(wǎng)段的以太網(wǎng)通訊連接,任何連接到網(wǎng)絡(luò )內的PC或操作站都能訪(fǎng)問(wèn)網(wǎng)絡(luò )中所有的PLC,對PLC進(jìn)行操作甚至破壞PLC的組態(tài)程序,直接造成PLC的控制單元失靈或是現場(chǎng)設備停機或損毀
2、IP地址可以隨意分配,一旦發(fā)生地址沖突,就會(huì )造成設備停機
3、網(wǎng)絡(luò )中無(wú)任何隔離防護設備,如果主控樓操作站感染病毒,病毒將會(huì )輕易蔓延至整個(gè)網(wǎng)絡(luò ),可能會(huì )導致整個(gè)網(wǎng)絡(luò )數據堵塞或操作站喪失操作能力,某些針對工業(yè)協(xié)議(如Modbus TCP)的病毒還可能會(huì )導致PLC控制單元死機,完全喪失控制能力
4、網(wǎng)絡(luò )中無(wú)安全監控平臺,無(wú)法對網(wǎng)絡(luò )安全事故進(jìn)行預警和分析,網(wǎng)絡(luò )工程師將無(wú)法以快的速度判斷問(wèn)題所在,也就無(wú)法迅速準確的做出防護和修復措施
解決方案
多芬諾安全防護方案網(wǎng)絡(luò )拓撲圖
1、區域隔離
在關(guān)鍵通道上部署Tofino工業(yè)防火墻,保證即使某臺設備局部出現問(wèn)題,不會(huì )波及整套裝置或工廠(chǎng)的安全穩定運行。同時(shí)對環(huán)網(wǎng)內不同裝置劃分VLAN,由于防火墻的作用即使出現非法IP地址也不能對PLC進(jìn)行下裝程序等操作。
2、通訊管控
通過(guò)對防火墻插件的組態(tài),通訊規則只允許PLC制造商專(zhuān)有協(xié)議數據通過(guò),其它基于Windows應用的不必要通訊以及病毒、非法訪(fǎng)問(wèn)等一律禁止,從而創(chuàng )造出一個(gè)單一制造商通信網(wǎng)絡(luò )的環(huán)境。
3、集中管理
在網(wǎng)絡(luò )中部署CMP配置管理平臺,用于配置、管理、監測網(wǎng)絡(luò )中所有的Tofino工業(yè)防火墻,并接收來(lái)自防火墻的網(wǎng)絡(luò )報警信息。無(wú)需停車(chē),Tofino工業(yè)防火墻特有的“測試”模式允許在線(xiàn)配置防火墻策略。
4、實(shí)時(shí)報警
通過(guò)CMP對報警事件的記錄存儲,為我們解決部分已發(fā)生過(guò)的安全事件提供分析依據,把網(wǎng)絡(luò )安全問(wèn)題消滅在萌芽中。