毛片网站在线观看-毛片网站在线-毛片网站有哪些-毛片网站视频-女生脱衣服app-女色综合

摘要：在早期，由于信息化發(fā)展水平有限，工業(yè)控制系統(tǒng)與信息管理層基本上處于隔離狀態(tài)。因此，企業(yè)的信息化建設(shè)首先從信息層開(kāi)始，經(jīng)過(guò)10多年的建設(shè)積累，信息層的信息化建設(shè)已經(jīng)有了較好的基礎(chǔ)，涉及到了鋼鐵、勘探、加工、煉化、化工、儲(chǔ)運(yùn)等諸多工業(yè)領(lǐng)域，企業(yè)在管理層的指揮、協(xié)調(diào)和監(jiān)控能力都有很大提升，提高了生產(chǎn)信息上傳下達(dá)的實(shí)時(shí)性、完整性和一致性，相應(yīng)的網(wǎng)絡(luò)安全防護(hù)也有了較大提高。在信息管理層面，企業(yè)在生產(chǎn)領(lǐng)域大量引入IT技術(shù)，同時(shí)也包括各種如防火墻、IDS、VPN、防病毒等IT網(wǎng)絡(luò)安全技術(shù)，這些技術(shù)主要面向商用網(wǎng)絡(luò)應(yīng)用層面，技術(shù)應(yīng)用方面也相對(duì)成熟。

關(guān)鍵詞：訪問(wèn)控制；行為監(jiān)測(cè)；白名單；行為基線；鋼鐵；工業(yè)控制系統(tǒng)；信息安全

Abstract: In the early days, due to the limitation of developmentof informatization, industrial control system and informationmanagement were basically in isolation. Therefore, if enterprisewants togetinformatization construction, itshould begin withinformation layer. After more than ten years' accumulation, theinformatization construction of information layer already has agood foundation which involves many industrial fields such assteel,exploration, processing,refining,chemical industry, storageand transportation, etc. The ability of command, coordination andmonitoring of enterprise management has been greatly improved,the transmission of the production information becoming timely,complete and consistent, and the relating network security protectionhas been also greatly improved. In the management of information,enterprises introduce a large number of IT technology in theproduction field, meanwhile they introduce other IT network security technologylikeavarietyoffirewall,IDS,VPN,antivirus,etc.These technologies are mainly aimed at commercial network applicationsand the technology applications are also more mature.

Key words: Access control; Behavioral monitoring; White list; Behavioralbaseline; Steel; Industrial control system; Informational security

1 設(shè)計(jì)背景

鋼鐵行業(yè)是自動(dòng)化普及度較高的行業(yè)之一，同時(shí)也是對(duì)工業(yè)控制系統(tǒng)的穩(wěn)定性和控制策略復(fù)雜性要求很高的行業(yè)。系統(tǒng)一旦出現(xiàn)故障，不僅造成巨大的經(jīng)濟(jì)損失和能源安全沖擊，還會(huì)造成人身安全影響。因此對(duì)控制層的網(wǎng)絡(luò)安全重視程度最高。

河北某鋼鐵自動(dòng)化建設(shè)相對(duì)完善，但對(duì)于其控制系統(tǒng)網(wǎng)絡(luò)仍處于空白部分，本設(shè)計(jì)在分析工業(yè)控制中心信息安全需求的基礎(chǔ)上，通過(guò)部署信息安全設(shè)備，對(duì)工業(yè)控制中心信息安全建設(shè)提供合理依據(jù)。

1.1 設(shè)計(jì)范圍

本設(shè)計(jì)針對(duì)XX鋼鐵軋鋼產(chǎn)線及煉鋼產(chǎn)線控制環(huán)境信息安全進(jìn)行設(shè)計(jì)，按IEC62443的層級(jí)劃分結(jié)構(gòu)，本設(shè)計(jì)旨在對(duì)L1-L3層級(jí)信息安全進(jìn)行設(shè)計(jì)。

1.2 設(shè)計(jì)原則

（1）技術(shù)可行性原則

設(shè)計(jì)過(guò)程中采用可落地的信息安全技術(shù)應(yīng)用，確保選擇的信息安全手段可發(fā)揮既定的作用。

（2）生產(chǎn)可用性?xún)?yōu)先原則

設(shè)計(jì)過(guò)程需要建立在生產(chǎn)流程的基礎(chǔ)上，除非必須場(chǎng)景外，在L1.5層級(jí)不采用阻斷類(lèi)的管控手段，從而保障生產(chǎn)過(guò)程不受信息安全策略的影響，確保不會(huì)造成二次安全威脅。

（3）經(jīng)濟(jì)性原則

設(shè)計(jì)過(guò)程中需考慮經(jīng)濟(jì)的有效利用，合理應(yīng)用技術(shù)手段，避免資源浪費(fèi)。

（3）合規(guī)性原則

設(shè)計(jì)過(guò)程需依照《工業(yè)信息安全防護(hù)指南》、《等保2.0工業(yè)擴(kuò)展部分》等國(guó)家標(biāo)準(zhǔn)，確保建設(shè)過(guò)程符合國(guó)家相關(guān)要求；同時(shí)也需參照《IEC62443》《SP800-82》等國(guó)際領(lǐng)先標(biāo)準(zhǔn)，依照相關(guān)信息安全標(biāo)準(zhǔn)，確保設(shè)計(jì)的合理性。

（4）生命周期延續(xù)原則

設(shè)計(jì)采用成熟穩(wěn)定的主流技術(shù)手段，保障在業(yè)務(wù)生命周期內(nèi)的信息安全防護(hù)，在保障期間內(nèi)，應(yīng)用技術(shù)不處于落后淘汰范圍。

2 信息安全威脅分析

2.1 網(wǎng)絡(luò)結(jié)構(gòu)梳理

2.1.1 軋鋼產(chǎn)線

某鋼鐵軋鋼產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示：

圖1 某鋼鐵軋鋼產(chǎn)線原始拓?fù)?/p>

軋鋼產(chǎn)線包含加熱爐區(qū)域、主扎線區(qū)域、平整加工區(qū)域、磨輥區(qū)域，其中主扎線區(qū)域可以根據(jù)工段劃分為粗軋、精軋、卷曲區(qū)域。

其中加熱爐區(qū)域、平整加工區(qū)域、磨輥區(qū)域在網(wǎng)絡(luò)結(jié)構(gòu)中相對(duì)獨(dú)立。特別為磨輥區(qū)域，其L1~L2層未與其他系統(tǒng)連接。主扎線區(qū)域相對(duì)復(fù)雜，粗軋與精軋共用一套電氣室，在控制流程中，無(wú)法在物理層面區(qū)分。卷曲主控接入節(jié)點(diǎn)為粗精軋Switch3/6，間接與卷曲電氣室（Switch5）連接。

2.1.2 煉鋼產(chǎn)線

某鋼鐵煉鋼（150T轉(zhuǎn)爐&150連鑄）產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示：

圖2 某鋼鐵煉鋼產(chǎn)線原始拓?fù)?/p>

煉鋼產(chǎn)線網(wǎng)絡(luò)結(jié)構(gòu)相對(duì)復(fù)雜，同時(shí)煉鋼網(wǎng)絡(luò)中存在大量環(huán)網(wǎng)應(yīng)用，具體參考圖3，其中紅色標(biāo)記鏈路為環(huán)網(wǎng)鏈路：

圖3 某鋼鐵煉鋼產(chǎn)線環(huán)網(wǎng)應(yīng)用

環(huán)網(wǎng)交換機(jī)連接均連接多條鏈路，造成訪問(wèn)控制裝置無(wú)法有效部署，同時(shí)由于環(huán)網(wǎng)鏈路的建立通常包含了環(huán)網(wǎng)交換機(jī)的私有協(xié)議，工業(yè)防火墻不具備上述寫(xiě)，故不可以串接在環(huán)網(wǎng)主干鏈路中。

2.2 網(wǎng)絡(luò)層威脅分析

網(wǎng)絡(luò)層威脅主要體現(xiàn)在訪問(wèn)控制、流量?jī)?nèi)容過(guò)濾，未知流量方面。

2.2.1 未經(jīng)授權(quán)的訪問(wèn)

當(dāng)前在各個(gè)產(chǎn)線控制系統(tǒng)中，通過(guò)Vlan進(jìn)行了網(wǎng)段劃分，但仍存在利用交換機(jī)作為“中間人”對(duì)下發(fā)起訪問(wèn)的行為。

同時(shí)，軋鋼產(chǎn)線特別是粗精軋產(chǎn)線存在共用控制器的場(chǎng)景，上述環(huán)境造成理論中存在異常操作可能。

2.2.2 拒絕服務(wù)攻擊

若在網(wǎng)絡(luò)中任意節(jié)點(diǎn)下發(fā)大量無(wú)效報(bào)文，會(huì)對(duì)正常通信造成影響，從而影響生產(chǎn)。在網(wǎng)絡(luò)層面而言，究其原因缺少針對(duì)報(bào)文的有效識(shí)別及過(guò)濾能力，無(wú)法過(guò)濾無(wú)效報(bào)文內(nèi)容。

2.2.3 未知流量威脅

對(duì)于未知流量，缺少有效的識(shí)別及管控手段，無(wú)法判定網(wǎng)絡(luò)中是否存在漏洞利用攻擊行為，需要在網(wǎng)絡(luò)層面實(shí)現(xiàn)對(duì)于漏洞攻擊的有效識(shí)別及防范。

2.2.4 利用無(wú)線網(wǎng)絡(luò)的入侵行為

軋鋼產(chǎn)線中Switch3接入設(shè)備包含無(wú)線AP，無(wú)線網(wǎng)絡(luò)因其開(kāi)放性，相比于傳統(tǒng)網(wǎng)絡(luò)更易造成網(wǎng)絡(luò)侵入，存在仿冒設(shè)備接入的可能。

2.3 主機(jī)層信息安全威脅

2.3.1 惡意代碼

部分操作工或運(yùn)維人員通過(guò)移動(dòng)存儲(chǔ)設(shè)備或感染惡意代碼的個(gè)人PC與控制系統(tǒng)中上位機(jī)進(jìn)行連接，造成惡意代碼植入上位機(jī)。

2.3.2 非法存儲(chǔ)介質(zhì)接入

在工程建設(shè)或生產(chǎn)過(guò)程中不可避免涉及到移動(dòng)存儲(chǔ)介質(zhì)的接入問(wèn)題，當(dāng)前缺少對(duì)移動(dòng)存儲(chǔ)介質(zhì)可信性進(jìn)行認(rèn)證的措施，這也是主機(jī)惡意代碼的主要來(lái)源。

2.3.3 脆弱性威脅

工業(yè)應(yīng)用及主機(jī)存在眾多已知漏洞，上述漏洞則會(huì)成為攻擊者利用的條件，對(duì)生產(chǎn)環(huán)境進(jìn)行影響。

2.4 主機(jī)層信息安全威脅

2.4.1 缺少進(jìn)程、服務(wù)管控

由于工控機(jī)特別是老式工控機(jī)性能受限，且其物理環(huán)境缺少必要的監(jiān)控，存在操作人員利用工程師站、操作員站計(jì)算資源進(jìn)行非生產(chǎn)操作的場(chǎng)景。

2.4.1 應(yīng)用脆弱威脅

工業(yè)應(yīng)用如SCADA、組態(tài)編程軟件，其通常不進(jìn)行補(bǔ)丁加固，存在較多已知漏洞，造成漏洞攻擊成本降低，易遭受漏洞利用攻擊。

2.5 數(shù)據(jù)層信息安全威脅

控制系統(tǒng)通訊協(xié)議均為工業(yè)專(zhuān)用協(xié)議，其在設(shè)計(jì)支持考慮多為數(shù)據(jù)傳輸?shù)膶?shí)時(shí)性、容錯(cuò)性等，無(wú)安全層面考慮，造成其中數(shù)據(jù)部分多為明文或HEX類(lèi)型數(shù)據(jù)，通過(guò)對(duì)報(bào)文監(jiān)聽(tīng)即可獲取數(shù)據(jù)內(nèi)容，造成生產(chǎn)數(shù)據(jù)的外泄。

3 信息安全設(shè)計(jì)

3.1 設(shè)計(jì)思路

依照行為基線，整體安全設(shè)計(jì)參照“白名單”環(huán)境進(jìn)行設(shè)定，即僅限定合法流量、進(jìn)程、服務(wù)的應(yīng)用。

在IT環(huán)境下由于流量種類(lèi)及目標(biāo)指向過(guò)于繁雜，白名單很難執(zhí)行落地，在工業(yè)環(huán)境下，通信結(jié)構(gòu)及流量、應(yīng)用較IT環(huán)境簡(jiǎn)化，基于白名單結(jié)構(gòu)可以更簡(jiǎn)單實(shí)現(xiàn)安全策略的落地。

3.2 安全域劃分

對(duì)網(wǎng)絡(luò)各個(gè)系統(tǒng)進(jìn)行安全域劃分，目的旨在切割風(fēng)險(xiǎn)，同時(shí)方便管理策略的執(zhí)行。

軋鋼產(chǎn)線具體劃分如圖4所示：

圖4 某鋼鐵軋鋼產(chǎn)線安全域劃分

根據(jù)軋鋼連扎車(chē)間的生產(chǎn)流程及接入環(huán)境，共劃分為6個(gè)區(qū)域，如圖5所示，分別為加熱爐控制區(qū)、磨輥控制區(qū)、主扎線控制區(qū)、平整加工控制區(qū)及無(wú)線接入?yún)^(qū)等。

圖5 某鋼鐵煉鋼產(chǎn)線安全域劃分

3.3 技術(shù)設(shè)計(jì)

3.3.1 訪問(wèn)控制設(shè)計(jì)

（1）與非控制系統(tǒng)邊界訪問(wèn)控制設(shè)計(jì)

為保障IT至OT網(wǎng)絡(luò)間實(shí)現(xiàn)對(duì)于指令級(jí)別的訪問(wèn)控制，需要部署具備對(duì)功能工業(yè)協(xié)議識(shí)別的訪問(wèn)控制裝置。目前等保2.0對(duì)控制區(qū)與非控制區(qū)邊界要求實(shí)現(xiàn)單向隔離即協(xié)議剝離，故在該節(jié)點(diǎn)建議將原防火墻替換為工業(yè)網(wǎng)閘實(shí)現(xiàn)訪問(wèn)控制功能。

圖6 二級(jí)中控與非控制區(qū)邊界訪問(wèn)設(shè)計(jì)

圖7 磨輥車(chē)間與非控制區(qū)邊界訪問(wèn)控制設(shè)計(jì)

煉鋼車(chē)間中150T轉(zhuǎn)爐五樓值班室具備對(duì)其他網(wǎng)絡(luò)接口，包括OA系統(tǒng)（辦公）、MES系統(tǒng)（生產(chǎn)管理）、質(zhì)量系統(tǒng)（ERP），其均為對(duì)生產(chǎn)數(shù)據(jù)進(jìn)行分析、研判等應(yīng)用，根據(jù)劃分，屬于非控制區(qū)域。

圖8 煉鋼車(chē)間與非控制區(qū)邊界訪問(wèn)控制設(shè)計(jì)

（2）產(chǎn)線間控制系統(tǒng)邊界訪問(wèn)控制設(shè)計(jì)

XX鋼鐵采用的數(shù)采網(wǎng)關(guān)為windows PE操作系統(tǒng)，在隔離作用中可視作雙網(wǎng)卡PC，僅實(shí)現(xiàn)通訊協(xié)議的采集及轉(zhuǎn)發(fā)功能，較易作為“中間跳板”對(duì)軋鋼產(chǎn)線進(jìn)行非法訪問(wèn)，綜上所述，數(shù)采網(wǎng)關(guān)不具備邊界隔離作用。需要在其邊界部署訪問(wèn)控制手段實(shí)現(xiàn)對(duì)于其他產(chǎn)線訪問(wèn)流量管控。

圖9 與其他產(chǎn)線控制邊界訪問(wèn)控制設(shè)計(jì)

（3）無(wú)線區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

無(wú)線接入?yún)^(qū)域中輥道小車(chē)均為獨(dú)立控制（本地HMI），部分?jǐn)?shù)據(jù)通過(guò)Wi-Fi傳輸與其他區(qū)域，該區(qū)域相對(duì)其他區(qū)域，安全性較低，需要增加訪問(wèn)控制措施實(shí)現(xiàn)不同安全等級(jí)安全域的隔離。

圖10 無(wú)線區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

（4）區(qū)域間訪問(wèn)控制設(shè)計(jì)

在生產(chǎn)網(wǎng)中，網(wǎng)絡(luò)邊界防火墻將以最小通過(guò)性原則部署配置，根據(jù)業(yè)務(wù)需求采用白名單方式，逐條梳理業(yè)務(wù)流程，增加開(kāi)放IP和開(kāi)放端口，實(shí)現(xiàn)嚴(yán)格流量管控。

圖11 加熱爐控制區(qū)與主扎線區(qū)域邊界訪問(wèn)控制設(shè)計(jì)

3.3.2 網(wǎng)絡(luò)行為監(jiān)測(cè)設(shè)計(jì)

（1）操作行為監(jiān)測(cè)設(shè)計(jì)

在控制器前端交換機(jī)部署監(jiān)測(cè)審計(jì)手段，用來(lái)實(shí)現(xiàn)對(duì)于操作過(guò)程的監(jiān)測(cè)。

（2）訪問(wèn)流量回溯

針對(duì)控制系統(tǒng)外對(duì)控制系統(tǒng)訪問(wèn)內(nèi)容進(jìn)行回溯，該設(shè)計(jì)要求行為審計(jì)不僅對(duì)工業(yè)流量進(jìn)行解析，而且對(duì)遠(yuǎn)程桌面、telnet等行為進(jìn)行有效解析，同時(shí)針對(duì)控制器與上位機(jī)固定通訊流量進(jìn)行監(jiān)測(cè)并統(tǒng)計(jì)。

（3）網(wǎng)絡(luò)白名單

通過(guò)策略設(shè)定或自學(xué)習(xí)，對(duì)網(wǎng)絡(luò)監(jiān)測(cè)節(jié)點(diǎn)協(xié)議進(jìn)行白名單過(guò)濾，限定可流通協(xié)議，對(duì)于限定外協(xié)議進(jìn)行報(bào)警。

3.3.3 主機(jī)行為管控設(shè)計(jì)

主機(jī)白名單客戶(hù)端部署于軋鋼產(chǎn)線全部PC，原則上不允許存在例外，通過(guò)對(duì)終端的管控，構(gòu)成工業(yè)安全實(shí)質(zhì)層面最外層的安全防線。

（1）進(jìn)程及服務(wù)管控

主機(jī)白名單以最小化設(shè)定為原則，對(duì)主機(jī)中應(yīng)用進(jìn)行管控，針對(duì)目標(biāo)應(yīng)用必要進(jìn)程及服務(wù)開(kāi)放白名單，非限定進(jìn)程及服務(wù)均禁止運(yùn)行。該策略在保證生產(chǎn)持續(xù)進(jìn)行條件下有效降低對(duì)工控計(jì)算資源的占用。

（2）接口管控

對(duì)軋鋼產(chǎn)線中移動(dòng)存儲(chǔ)介質(zhì)通過(guò)終端管控進(jìn)行分級(jí)授權(quán)，未經(jīng)授權(quán)移動(dòng)存儲(chǔ)介質(zhì)從驅(qū)動(dòng)層面禁用。在管理層面，禁止運(yùn)維移動(dòng)終端作為工程師個(gè)人PC，第三方調(diào)試PC均需要納入終端管控范圍。

3.3.4 脆弱性檢測(cè)設(shè)計(jì)

采用離線工控系統(tǒng)漏洞掃描和入網(wǎng)檢測(cè)，對(duì)目標(biāo)設(shè)備進(jìn)行掃描，凡是生產(chǎn)網(wǎng)內(nèi)工業(yè)控制系統(tǒng)中所特有的設(shè)備/系統(tǒng)必須經(jīng)工控漏洞掃描檢測(cè)合格后，方能具備入網(wǎng)資格。

4 部署結(jié)構(gòu)及說(shuō)明

4.1 部署結(jié)構(gòu)

軋鋼產(chǎn)線部署結(jié)構(gòu)如圖12所示：

圖12 軋鋼產(chǎn)線信息安全整體部署結(jié)構(gòu)圖

本次設(shè)計(jì)在不改變?cè)芯W(wǎng)絡(luò)結(jié)構(gòu)的基礎(chǔ)上，將原有網(wǎng)絡(luò)劃分為6個(gè)獨(dú)立區(qū)域，在其間部署訪問(wèn)控制手段進(jìn)行隔離；控制器接入前端部署審計(jì)探針，對(duì)出入棧內(nèi)容進(jìn)行解析及檢測(cè)；全部主機(jī)部署主機(jī)白名單面對(duì)進(jìn)程及服務(wù)進(jìn)行管控；漏洞掃描以服務(wù)形式，對(duì)停產(chǎn)維護(hù)資產(chǎn)以及新上線系統(tǒng)進(jìn)行健康性檢測(cè)。

煉鋼產(chǎn)線部署結(jié)構(gòu)圖如圖13所示：

圖13 煉鋼產(chǎn)線信息安全整體部署結(jié)構(gòu)圖

由于環(huán)網(wǎng)主干鏈路的存在，煉鋼車(chē)間部分區(qū)域無(wú)法進(jìn)行有效訪問(wèn)控制。同時(shí)由于煉鋼車(chē)間與軋鋼車(chē)間間隔兩臺(tái)數(shù)據(jù)采集網(wǎng)關(guān)，造成網(wǎng)絡(luò)不可達(dá)，故在部署過(guò)程中煉鋼產(chǎn)線也部署一套獨(dú)立的審計(jì)系統(tǒng)。

4.2 技術(shù)對(duì)應(yīng)設(shè)備說(shuō)明

表1 技術(shù)對(duì)應(yīng)設(shè)備說(shuō)明

5 補(bǔ)充設(shè)計(jì)說(shuō)明

由于本次設(shè)計(jì)僅針對(duì)軋鋼產(chǎn)線及煉鋼產(chǎn)線，建議在全廠基礎(chǔ)設(shè)施信息安全建設(shè)完畢后，增加全廠信息安全調(diào)度平臺(tái)及廠級(jí)工業(yè)信息安全態(tài)勢(shì)感知平臺(tái)及相關(guān)服務(wù)應(yīng)用。

整體信息安全防護(hù)框架如圖14所示：

圖14 安全框架設(shè)計(jì)

整體框架分別由安全防護(hù)體系、態(tài)勢(shì)感知體系及應(yīng)急響應(yīng)體系構(gòu)成，三套體系分別承擔(dān)生產(chǎn)網(wǎng)中的安全防護(hù)及安全檢測(cè)能力，安全場(chǎng)景分析能力，安全應(yīng)急響應(yīng)能力。三套體系數(shù)據(jù)交互，構(gòu)成整體縱向防御架構(gòu)。

作者簡(jiǎn)介：

馬霄（1988-），男，自動(dòng)化、工商管理雙學(xué)士學(xué)位，現(xiàn)任北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司解決方案中心總監(jiān)，主要研究領(lǐng)域?yàn)楣I(yè)控制系統(tǒng)信息安全、工業(yè)互聯(lián)網(wǎng)安全、內(nèi)生安全等。

摘自《自動(dòng)化博覽》2020年2月刊