钢铁冶金行业工控安全解决方案

1. 行业现状

      随着钢铁冶金行业信息化的持续推进，能源管理中心的投入运行，使原本相对独立的DCS、PLC、仪器仪表、SCADA等控制系统通过网络和信息系统连为一体。

      同时依托计算机系统对能源生产、能源管理、能源调度进行扁平的一体化管理，不断提高劳动生产率和生产管理水平，使生产管理由事后的、粗放管理模式向事前的、精细化管理模式转变，形成了适用于钢铁企业的能源在线监测、能效分析平台和企业级能源优化系统，对于强化钢铁企业生产管控水平、规范内部管理、提高运作效率、节能减排、增产降耗发挥了巨大的作用。但由于大量信息系统和网络技术的应用，也给钢铁冶金企业生产控制系统带来了新的安全挑战。

2. 安全隐患

结合目前各钢铁冶金企业的系统特点及发展状况，钢铁冶金企业工业控制系统存在以下安全风险：

● 钢铁冶金企业没有对其内部生产控制系统及网络进行分区、分层，无法将恶意软件、黑客攻击、非法操作等行为控制在特定区域内，易发生全局性网络安全风险。

● 分厂控制网络采用同网段组网，PLC、DCS等重要控制系统缺乏安全防护和访问控制措施。

● 各分厂（如动力厂、焦化厂、烧结厂、炼铁厂、转炉厂、热轧厂、冷轧厂、棒线厂等）控制网与骨干环网之间无隔离防护措施。

● 钢铁冶金企业办公网和生产监控网之间无物理隔离措施，导致病毒、木马、黑客攻击等极易以办公网为跳板对生产控制系统发起攻击。

● 由于钢铁冶金企业控制流程复杂、设备种类繁多、通信协议多样，导致采集数据安全性无法得到保障。

● 钢铁冶金企业内部控制系统及网络缺乏安全监测与审计措施，无法及时发现非法访问、非法操作、恶意攻击等行为。

● 钢铁冶金企业内部缺乏统一的安全管理平台。

3. 遵循标准

Ø《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

Ø《GB/T 22239-2008信息安全等级保护基本要求》

Ø《关于加强工业控制系统信息安全管理的通知》（工信部〔2011〕451号）

4. 解决方案

4.1. 防护体系

● 物理隔离

      在生产控制网与企业信息网之间部署部署英赛克INS-T9工业网闸进行物理隔离。通过“2+1”物理结构、私有安全协议以及基于Linux操作系统开发的OPC采集和转发功能和工控协议应用层指令级“4S”深度防护专利技术，实现多种工业协议、数据的安全可信转发。

● 边界与区域隔离

      在生产监控网与骨干环网之间、分厂控制网之间以及分厂控制网与骨干环网之间部署英赛克INS-T3工业防火墙。利用“4s”安全防护专利技术以及“白名单”机制，对工控指令、数据进行深度检测和过滤，及时发现可疑指令和恶意数据，保障控制指令及生产数据安全。同时阻止区域间的越权访问，病毒、蠕虫扩散和入侵，将危险源控制在有限范围内。

● 重要设备隔离

      在DCS、PLC等工控设备或系统前端部署英赛克INS-T3工业防火墙，对重要设备工控协议、数据的完整性、功能码、地址范围和工艺参数范围进行深度解析，同时阻止操作员或工程师有意无意的非法操作。

      同时结合英赛克“工控业务连续性保障方法”专利技术在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据，保障重要设备可靠运行。

● 可信数据采集与协议转换

      在数据采集服务器或其他需协议转换的位置部署英赛克INS-T5可信数据采集网关，对网络内的不用协议、数据进行转换。同时使用“4s”安全防护专利技术实现工控协议指令、数据的安全检测，做到组网安全。

4.2. 监测体系

      分别在工业控制网络核心交换机和区域汇聚交换机处部署INS-A4工控安全审计监测平台，进行全局监测和区域监测，实现从区域到全局的分层、分级监控体系，做到“事前有管理、事中有监督、事后有审计”。

4.3. 响应体系

      通过英赛克INS-S2工控安全监控管理平台实现对工控安全设备的集中管理、拓扑管理、设备状态监控、安全告警、安全配置及安全策略管理，并通过安全威胁、事件归一化处理和关联分析，实现对全局工控安全的事件追溯、态势感知和动态响应。