毛片网站在线观看-毛片网站在线-毛片网站有哪些-毛片网站视频-女生脱衣服app-女色综合

摘要：在早期，由于信息化發(fā)展水平有限，工業(yè)控制系統(tǒng)與信息管理層基本上處于隔離狀態(tài)。因此，企業(yè)的信息化建設首先從信息層開始，經(jīng)過10多年的建設積累，信息層的信息化建設已經(jīng)有了較好的基礎，涉及到了鋼鐵、勘探、加工、煉化、化工、儲運等諸多工業(yè)領域，企業(yè)在管理層的指揮、協(xié)調和監(jiān)控能力都有很大提升，提高了生產(chǎn)信息上傳下達的實時性、完整性和一致性，相應的網(wǎng)絡安全防護也有了較大提高。在信息管理層面，企業(yè)在生產(chǎn)領域大量引入IT技術，同時也包括各種如防火墻、IDS、VPN、防病毒等IT網(wǎng)絡安全技術，這些技術主要面向商用網(wǎng)絡應用層面，技術應用方面也相對成熟。

關鍵詞：訪問控制；行為監(jiān)測；白名單；行為基線；鋼鐵；工業(yè)控制系統(tǒng)；信息安全

鋼鐵行業(yè)是自動化普及度較高的行業(yè)之一，同時也是對工業(yè)控制系統(tǒng)的穩(wěn)定性和控制策略復雜性要求很高的行業(yè)。系統(tǒng)一旦出現(xiàn)故障，不僅造成巨大的經(jīng)濟損失和能源安全沖擊，還會造成人身安全影響。因此對控制層的網(wǎng)絡安全重視程度最高。

河北某鋼鐵自動化建設相對完善，但對于其控制系統(tǒng)網(wǎng)絡仍處于空白部分，本設計在分析工業(yè)控制中心信息安全需求的基礎上，通過部署信息安全設備，對工業(yè)控制中心信息安全建設提供合理依據(jù)。

1.1 設計范圍

本設計針對XX鋼鐵軋鋼產(chǎn)線及煉鋼產(chǎn)線控制環(huán)境信息安全進行設計，按IEC62443的層級劃分結構，本設計旨在對L1-L3層級信息安全進行設計。

1.2 設計原則

（1）技術可行性原則

設計過程中采用可落地的信息安全技術應用，確保選擇的信息安全手段可發(fā)揮既定的作用。

（2）生產(chǎn)可用性優(yōu)先原則

設計過程需要建立在生產(chǎn)流程的基礎上，除非必須場景外，在L1.5層級不采用阻斷類的管控手段，從而保障生產(chǎn)過程不受信息安全策略的影響，確保不會造成二次安全威脅。

（3）經(jīng)濟性原則

設計過程中需考慮經(jīng)濟的有效利用，合理應用技術手段，避免資源浪費。

（4）合規(guī)性原則

設計過程需依照《工業(yè)信息安全防護指南》、《等保2.0工業(yè)擴展部分》等國家標準，確保建設過程符合國家相關要求；同時也需參照《IEC62443》《SP800-82》等國際領先標準，依照相關信息安全標準，確保設計的合理性。

（5）生命周期延續(xù)原則

設計采用成熟穩(wěn)定的主流技術手段，保障在業(yè)務生命周期內的信息安全防護，在保障期間內，應用技術不處于落后淘汰范圍。

2.1 網(wǎng)絡結構梳理

2.1.1 軋鋼產(chǎn)線

某鋼鐵軋鋼產(chǎn)線網(wǎng)絡結構如圖1所示：

圖1 某鋼鐵軋鋼產(chǎn)線原始拓撲

軋鋼產(chǎn)線包含加熱爐區(qū)域、主扎線區(qū)域、平整加工區(qū)域、磨輥區(qū)域，其中主扎線區(qū)域可以根據(jù)工段劃分為粗軋、精軋、卷曲區(qū)域。

其中加熱爐區(qū)域、平整加工區(qū)域、磨輥區(qū)域在網(wǎng)絡結構中相對獨立。特別為磨輥區(qū)域，其L1~L2層未與其他系統(tǒng)連接。主扎線區(qū)域相對復雜，粗軋與精軋共用一套電氣室，在控制流程中，無法在物理層面區(qū)分。卷曲主控接入節(jié)點為粗精軋Switch3/6，間接與卷曲電氣室（Switch5）連接。

2.1.2 煉鋼產(chǎn)線

某鋼鐵煉鋼（150T轉爐&150連鑄）產(chǎn)線網(wǎng)絡結構如圖2所示：

圖2 某鋼鐵煉鋼產(chǎn)線原始拓撲

煉鋼產(chǎn)線網(wǎng)絡結構相對復雜，同時煉鋼網(wǎng)絡中存在大量環(huán)網(wǎng)應用，具體參考圖3，其中紅色標記鏈路為環(huán)網(wǎng)鏈路：

圖3 某鋼鐵煉鋼產(chǎn)線環(huán)網(wǎng)應用

環(huán)網(wǎng)交換機連接均連接多條鏈路，造成訪問控制裝置無法有效部署，同時由于環(huán)網(wǎng)鏈路的建立通常包含了環(huán)網(wǎng)交換機的私有協(xié)議，工業(yè)防火墻不具備上述寫，故不可以串接在環(huán)網(wǎng)主干鏈路中。

2.2 網(wǎng)絡層威脅分析

網(wǎng)絡層威脅主要體現(xiàn)在訪問控制、流量內容過濾，未知流量方面。

2.2.1 未經(jīng)授權的訪問

當前在各個產(chǎn)線控制系統(tǒng)中，通過Vlan進行了網(wǎng)段劃分，但仍存在利用交換機作為“中間人”對下發(fā)起訪問的行為。

同時，軋鋼產(chǎn)線特別是粗精軋產(chǎn)線存在共用控制器的場景，上述環(huán)境造成理論中存在異常操作可能。

2.2.2 拒絕服務攻擊

若在網(wǎng)絡中任意節(jié)點下發(fā)大量無效報文，會對正常通信造成影響，從而影響生產(chǎn)。在網(wǎng)絡層面而言，究其原因缺少針對報文的有效識別及過濾能力，無法過濾無效報文內容。

2.2.3 未知流量威脅

對于未知流量，缺少有效的識別及管控手段，無法判定網(wǎng)絡中是否存在漏洞利用攻擊行為，需要在網(wǎng)絡層面實現(xiàn)對于漏洞攻擊的有效識別及防范。

2.2.4 利用無線網(wǎng)絡的入侵行為

軋鋼產(chǎn)線中Switch3接入設備包含無線AP，無線網(wǎng)絡因其開放性，相比于傳統(tǒng)網(wǎng)絡更易造成網(wǎng)絡侵入，存在仿冒設備接入的可能。

2.3 主機層信息安全威脅

2.3.1 惡意代碼

部分操作工或運維人員通過移動存儲設備或感染惡意代碼的個人PC與控制系統(tǒng)中上位機進行連接，造成惡意代碼植入上位機。

2.3.2 非法存儲介質接入

在工程建設或生產(chǎn)過程中不可避免涉及到移動存儲介質的接入問題，當前缺少對移動存儲介質可信性進行認證的措施，這也是主機惡意代碼的主要來源。

2.3.3 脆弱性威脅

工業(yè)應用及主機存在眾多已知漏洞，上述漏洞則會成為攻擊者利用的條件，對生產(chǎn)環(huán)境進行影響。

2.4 主機層信息安全威脅

2.4.1 缺少進程、服務管控

由于工控機特別是老式工控機性能受限，且其物理環(huán)境缺少必要的監(jiān)控，存在操作人員利用工程師站、操作員站計算資源進行非生產(chǎn)操作的場景。

2.4.2 應用脆弱威脅

工業(yè)應用如SCADA、組態(tài)編程軟件，其通常不進行補丁加固，存在較多已知漏洞，造成漏洞攻擊成本降低，易遭受漏洞利用攻擊。

2.5 數(shù)據(jù)層信息安全威脅

控制系統(tǒng)通訊協(xié)議均為工業(yè)專用協(xié)議，其在設計支持考慮多為數(shù)據(jù)傳輸?shù)膶崟r性、容錯性等，無安全層面考慮，造成其中數(shù)據(jù)部分多為明文或HEX類型數(shù)據(jù)，通過對報文監(jiān)聽即可獲取數(shù)據(jù)內容，造成生產(chǎn)數(shù)據(jù)的外泄。

3.1 設計思路

依照行為基線，整體安全設計參照“白名單”環(huán)境進行設定，即僅限定合法流量、進程、服務的應用。

在IT環(huán)境下由于流量種類及目標指向過于繁雜，白名單很難執(zhí)行落地，在工業(yè)環(huán)境下，通信結構及流量、應用較IT環(huán)境簡化，基于白名單結構可以更簡單實現(xiàn)安全策略的落地。

3.2 安全域劃分

對網(wǎng)絡各個系統(tǒng)進行安全域劃分，目的旨在切割風險，同時方便管理策略的執(zhí)行。

軋鋼產(chǎn)線具體劃分如圖4所示：

圖4 某鋼鐵軋鋼產(chǎn)線安全域劃分

根據(jù)軋鋼連扎車間的生產(chǎn)流程及接入環(huán)境，共劃分為6個區(qū)域，如圖5所示，分別為加熱爐控制區(qū)、磨輥控制區(qū)、主扎線控制區(qū)、平整加工控制區(qū)及無線接入?yún)^(qū)等。

圖5 某鋼鐵煉鋼產(chǎn)線安全域劃分

3.3 技術設計

3.3.1 訪問控制設計

（1）與非控制系統(tǒng)邊界訪問控制設計

為保障IT至OT網(wǎng)絡間實現(xiàn)對于指令級別的訪問控制，需要部署具備對功能工業(yè)協(xié)議識別的訪問控制裝置。目前等保2.0對控制區(qū)與非控制區(qū)邊界要求實現(xiàn)單向隔離即協(xié)議剝離，故在該節(jié)點建議將原防火墻替換為工業(yè)網(wǎng)閘實現(xiàn)訪問控制功能。

圖6 二級中控與非控制區(qū)邊界訪問設計

圖7 磨輥車間與非控制區(qū)邊界訪問控制設計

煉鋼車間中150T轉爐五樓值班室具備對其他網(wǎng)絡接口，包括OA系統(tǒng)（辦公）、MES系統(tǒng)（生產(chǎn)管理）、質量系統(tǒng)（ERP），其均為對生產(chǎn)數(shù)據(jù)進行分析、研判等應用，根據(jù)劃分，屬于非控制區(qū)域。

圖8 煉鋼車間與非控制區(qū)邊界訪問控制設計

（2）產(chǎn)線間控制系統(tǒng)邊界訪問控制設計

XX鋼鐵采用的數(shù)采網(wǎng)關為windows PE操作系統(tǒng)，在隔離作用中可視作雙網(wǎng)卡PC，僅實現(xiàn)通訊協(xié)議的采集及轉發(fā)功能，較易作為“中間跳板”對軋鋼產(chǎn)線進行非法訪問，綜上所述，數(shù)采網(wǎng)關不具備邊界隔離作用。需要在其邊界部署訪問控制手段實現(xiàn)對于其他產(chǎn)線訪問流量管控。

圖9 與其他產(chǎn)線控制邊界訪問控制設計

（3）無線區(qū)域邊界訪問控制設計

無線接入?yún)^(qū)域中輥道小車均為獨立控制（本地HMI），部分數(shù)據(jù)通過Wi-Fi傳輸與其他區(qū)域，該區(qū)域相對其他區(qū)域，安全性較低，需要增加訪問控制措施實現(xiàn)不同安全等級安全域的隔離。

圖10 無線區(qū)域邊界訪問控制設計

（4）區(qū)域間訪問控制設計

在生產(chǎn)網(wǎng)中，網(wǎng)絡邊界防火墻將以最小通過性原則部署配置，根據(jù)業(yè)務需求采用白名單方式，逐條梳理業(yè)務流程，增加開放IP和開放端口，實現(xiàn)嚴格流量管控。

圖11 加熱爐控制區(qū)與主扎線區(qū)域邊界訪問控制設計

3.3.2 網(wǎng)絡行為監(jiān)測設計

（1）操作行為監(jiān)測設計

在控制器前端交換機部署監(jiān)測審計手段，用來實現(xiàn)對于操作過程的監(jiān)測。

（2）訪問流量回溯

針對控制系統(tǒng)外對控制系統(tǒng)訪問內容進行回溯，該設計要求行為審計不僅對工業(yè)流量進行解析，而且對遠程桌面、telnet等行為進行有效解析，同時針對控制器與上位機固定通訊流量進行監(jiān)測并統(tǒng)計。

（3）網(wǎng)絡白名單

通過策略設定或自學習，對網(wǎng)絡監(jiān)測節(jié)點協(xié)議進行白名單過濾，限定可流通協(xié)議，對于限定外協(xié)議進行報警。

3.3.3 主機行為管控設計

主機白名單客戶端部署于軋鋼產(chǎn)線全部PC，原則上不允許存在例外，通過對終端的管控，構成工業(yè)安全實質層面最外層的安全防線。

（1）進程及服務管控

主機白名單以最小化設定為原則，對主機中應用進行管控，針對目標應用必要進程及服務開放白名單，非限定進程及服務均禁止運行。該策略在保證生產(chǎn)持續(xù)進行條件下有效降低對工控計算資源的占用。

（2）接口管控

對軋鋼產(chǎn)線中移動存儲介質通過終端管控進行分級授權，未經(jīng)授權移動存儲介質從驅動層面禁用。在管理層面，禁止運維移動終端作為工程師個人PC，第三方調試PC均需要納入終端管控范圍。

3.3.4 脆弱性檢測設計

采用離線工控系統(tǒng)漏洞掃描和入網(wǎng)檢測，對目標設備進行掃描，凡是生產(chǎn)網(wǎng)內工業(yè)控制系統(tǒng)中所特有的設備/系統(tǒng)必須經(jīng)工控漏洞掃描檢測合格后，方能具備入網(wǎng)資格。

4.1 部署結構

軋鋼產(chǎn)線部署結構如圖12所示：

圖12 軋鋼產(chǎn)線信息安全整體部署結構圖

本次設計在不改變原有網(wǎng)絡結構的基礎上，將原有網(wǎng)絡劃分為6個獨立區(qū)域，在其間部署訪問控制手段進行隔離；控制器接入前端部署審計探針，對出入棧內容進行解析及檢測；全部主機部署主機白名單面對進程及服務進行管控；漏洞掃描以服務形式，對停產(chǎn)維護資產(chǎn)以及新上線系統(tǒng)進行健康性檢測。

煉鋼產(chǎn)線部署結構圖如圖13所示：

圖13 煉鋼產(chǎn)線信息安全整體部署結構圖

由于環(huán)網(wǎng)主干鏈路的存在，煉鋼車間部分區(qū)域無法進行有效訪問控制。同時由于煉鋼車間與軋鋼車間間隔兩臺數(shù)據(jù)采集網(wǎng)關，造成網(wǎng)絡不可達，故在部署過程中煉鋼產(chǎn)線也部署一套獨立的審計系統(tǒng)。

4.2 技術對應設備說明

表1 技術對應設備說明

5 補充設計說明

由于本次設計僅針對軋鋼產(chǎn)線及煉鋼產(chǎn)線，建議在全廠基礎設施信息安全建設完畢后，增加全廠信息安全調度平臺及廠級工業(yè)信息安全態(tài)勢感知平臺及相關服務應用。

整體信息安全防護框架如圖14所示：

圖14 安全框架設計

整體框架分別由安全防護體系、態(tài)勢感知體系及應急響應體系構成，三套體系分別承擔生產(chǎn)網(wǎng)中的安全防護及安全檢測能力，安全場景分析能力，安全應急響應能力。三套體系數(shù)據(jù)交互，構成整體縱向防御架構。

來源：工業(yè)安全產(chǎn)業(yè)聯(lián)盟