縱觀近年國際局勢，工業控制系統安全事件頻發，國内外工業控制系統網絡信息安全問題日益嚴峻。國家工信部陸續下發了《關于加強工業控制系統信息安全管理的通知》《工業控制系統信息安全防護指南》《工業自動化和控制系統網絡安全》等一系列的工業信息安全防護文件，強調了加強工業控制系統信息安全管理的重要性和緊迫性，并明确了核設施、鋼鐵、有色、化工、石油石化、電力等與國計民生緊密相關領域的工業控制系統信息安全管理要求。

鋼鐵企業是典型的生産、資金、技術密集型企業，具有生産連續性強，生産系統耦合性高等特點，如何有效地防範來自内部或外部攻擊，做好工控系統網絡安全的防護工作，确保生産系統穩定可靠，是鋼鐵行業工控系統信息安全所亟待解決的問題。

近年來，随着計算機網絡技術發展的突飛猛進，為提高生産管理運行效率、減少人力投入及能源消耗，國内衆多鋼鐵企業不斷推進智能化建設，尤其是在工業控制系統方面，更是大量投入資金人力，以實現企業的智能化升級轉型。

工業控制系統在初始建設時，多是基于自身可用性角度設計開發，較少考慮到後續出現的多系統級聯、開放性越來越強的生産控制系統網絡的安全保障及安全防護建設。鋼鐵行業的工業控制系統主要是由PCS、DCS、PLC、SCADA、智能儀表、機器人等組成。如今在信息技術發展的影響下，工控系統廠商越來越關注系統的開放性設計，采用第三方集成，操作端PC化等方式降低了用戶的投資與維護成本。

對于鋼鐵行業工業控制系統來說，産生安全威脅的因素是多方面的。例如：缺少安全管理機制、安全防護手段落後、安全意識薄弱、工業網絡病毒、工控系統自身及外方設備漏洞或後門、持續性威脅APT、無線技術應用隐患等等。當面對如此之多的安全威脅時，如果企業沒有專業而清晰的認識就容易陷入以下防護誤區：

防火牆、網關絕對安全

萬物互聯的工業互聯網時代背景下，與外界完全隔離幾乎是不可能的。而且，在未經授權及檢查的情況下，使用筆記本電腦對系統進行調試維護或接入外部U盤等移動存儲設備時，也會從内部打破系統與外界的隔離。

常規商用型安全防護産品就可以達到防護目标

商業使用的安全防護産品與工業專用産品是有大不相同之處的，工業控制系統強調可用性，而商用系統強調保密性；同時，工業設備不能進行頻繁的系統升級和安裝補丁，工業協議和工業病毒類型與商業應用場景下有着明顯的差異。

網絡安全軟硬件防護可以解決一切問題

有效管理且進行了正确配置的防禦軟硬件可以抵禦大部分已知的安全威脅，但對于新型、變異型以及更為隐蔽的病毒或漏洞的防禦還遠遠不夠。任何防禦系統的本身都并不是完全安全的，多存在漏洞和缺陷，再好的防禦技術也要操作員正确管理和合理使用才會發揮真正功效。

工控系統供應商會保障系統安全

用戶通常認為供應商對其系統的缺陷和安全性了如指掌，實際上大部分供應商對他們系統的認識僅限于其所能夠提供的功能，當系統真正出現安全問題時，所能提供的解決辦法和響應速度就有待商榷。另外，供應商所關注的工控系統安全，大部分是其核心組件部分，而對其外圍終端設備能做的防護十分有限。

采用工業協議攻擊者不了解

從各鋼鐵企業工控系統項目中可以發現，工業環境中已廣泛使用商業IT技術，大部分通訊方式都是采用以太網TCP/IP協議，其操作系統也以Microsoft産品居多。即使在某些特殊環境下采用的内部協議在網上也均可以獲取到，例如Modbus工業協議可以很容易的找到其詳細說明，更何況大部分工控設備功能簡單、設計規範而工業協議又不具備安全防護特征，所以工業協議對攻擊者根本不是問題。

從以上的防護分析中可以看出，工控系統網絡信息安全建設不是僅靠幾台防護設備、幾項先進技術就能一勞永逸地解決的。信息安全防護是一個持久戰，要統籌全局，結合各企業實際情況，分别從人、技術、組織管理三個方面來具體開展防護工作。

根據鋼鐵行業工業控制系統信息安全現狀，結合《工業控制系統信息安全防護指南》的具體要求，按照預防監測與安全防護相結合的方針，整體提高企業工業控制網絡的安全保障能力。制定具體工控系統網絡安全解決方案如下：

1.人防

人是工業控制系統信息安全中最關鍵的因素。不管是技術的實施和維護，标準的制定與修訂、流程的遵從、改善和管理，都離不開經過培訓、有專業素質的人的參與。

（1）企業對員工實行從業全周期的信息安全培訓，使從業人員接受信息安全系統、機制化的教育培訓，增強員工信息安全意識，減少誤操作，并使之具備預防和發現隐患的能力。

（2）培養一批了解生産實際情況，熟悉國内外信息安全标準和信息安全管理的專業人才，将工業控制系統信息安全工作專人化、專業化。

預防監測

（1）搭建工業控制系統在線監測平台，對包括MES、PCS、DCS、HMI、PLC、SCADA等工控系統，以及服務器、數據庫、工程師站、操作站、智能儀器儀表、嵌入式設備、視頻監控設備、路由器、工業防火牆、工業網關等進行監控預警。

（2）在工控系統網絡交換機上部署流量審計設備，重點監測工控網絡内部異常的流量、訪問、操作以及非法入侵等行為。

（3）在進行停機檢修或系統上線、維護時進行漏洞掃描，并對漏洞修複及補丁進行評審後再修補。

（4）對鋼鐵企業工控系統信息安全現狀進行周期性風險評估。通過風險評估，确定風險管理計劃、需要采取的控制措施，了解企業信息安全管理的現狀。檢查内容包括系統配置檢查、病毒檢查、系統日志檢查等，尤其是對一些服務協議、賬号密碼策略、加密方式等問題重點關注，并對其風險進行持續性改進。

安全防護

（1）邊界防護，區域隔離，單向傳輸。在工控系統網絡與企業網絡的邊界部署安全設備，阻止從工控系統外部發起的網絡攻擊行為。在各一二級區域間部署工業網關、網閘類安全設備，禁止未經授權通訊傳入或傳出工控系統，從而實現對IP、端口、訪問、流量等内容的實時控制。

（2）對服務器實行主機加固，對操作站、工程師站以及其他工控類計算機部署集殺毒、系統管理、應用程序管理、進程管控及接口管理于一身的工控機安全管理系統，實現移動存儲介質使用的管理、軟件黑白名單管理，起到防病毒和惡意代碼的作用。

（3）對關鍵主機設備、網絡設備、控制組件等進行冗餘配置，冷、熱備機，異地災備。

（4）工業控制系統網絡準入機制。防火牆遵循安全最大化的原則，所有與工業控制網絡有接入的網絡必須進行配置後方可接入，必須是其所隔離的網絡之間的唯一信息通道，在進行遠程訪問時，需指定訪問對象，對通訊流量進行審計，記錄并保存訪問日志，并定期進行備份、審計、追蹤非授權訪問行為。

（5）縱深防禦。嚴格遵循ANSI/ISA-99标準，采用ANSI/ISA-99.02.01和IEC-63443标準的區級防護，将網絡劃分為不同的安全區，在安全區之間按照一定規則安裝防火牆或可信網關。這樣即使在某一點發生網絡安全事故，也能保證其他區域的正常安全穩定運行。

參考來源：冶金規劃院工業智能中心

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!