为了更好地应对新的市场挑战,各钢铁企业都在积极推进信息化建设,近年来,钢铁企业的信息化建设取得了很大进展,企业信息化的功能框架,即PCS、MES和ERP系统投入了运行,取得了良好的成果。对于强化集团管控水平、规范内部管理、提高运作效率、节能减排、增产降耗发挥了巨大的作用。但与此同时,信息安全防护相对滞后,给企业信息化建设带来一些安全隐患。
钢铁行业控制网络说明及隐患分析
钢铁行业工业以太网一般采用环网结构,为实时控制网,负责控制器、操作站及工程师站之间过程控制数据实时通讯网络,网络上所有操作站、数采机及PLC都使用以太网接口并设置为同一网段IP地址,网络中远距离传输介质为光缆,本地传输介质为网线(如PLC与操作站之间)。生产监控主机利用双网卡结构与管理网相连。目前的系统存在以下信息安全隐患:
1、整个网络均采用同一网段的以太网通讯连接,任何连接到网络内的PC或操作站都能访问网络中所有的PLC,对PLC进行操作甚至破坏PLC的组态程序,直接造成PLC的控制单元失灵或是现场设备停机或损毁
2、IP地址可以随意分配,一旦发生地址冲突,就会造成设备停机
3、网络中无任何隔离防护设备,如果主控楼操作站感染病毒,病毒将会轻易蔓延至整个网络,可能会导致整个网络数据堵塞或操作站丧失操作能力,某些针对工业协议(如Modbus TCP)的病毒还可能会导致PLC控制单元死机,完全丧失控制能力
4、网络中无安全监控平台,无法对网络安全事故进行预警和分析,网络工程师将无法以快的速度判断问题所在,也就无法迅速准确的做出防护和修复措施
解决方案
多芬诺安全防护方案网络拓扑图
1、区域隔离
在关键通道上部署Tofino工业防火墙,保证即使某台设备局部出现问题,不会波及整套装置或工厂的安全稳定运行。同时对环网内不同装置划分VLAN,由于防火墙的作用即使出现非法IP地址也不能对PLC进行下装程序等操作。
2、通讯管控
通过对防火墙插件的组态,通讯规则只允许PLC制造商专有协议数据通过,其它基于Windows应用的不必要通讯以及病毒、非法访问等一律禁止,从而创造出一个单一制造商通信网络的环境。
3、集中管理
在网络中部署CMP配置管理平台,用于配置、管理、监测网络中所有的Tofino工业防火墙,并接收来自防火墙的网络报警信息。无需停车,Tofino工业防火墙特有的“测试”模式允许在线配置防火墙策略。
4、实时报警
通过CMP对报警事件的记录存储,为我们解决部分已发生过的安全事件提供分析依据,把网络安全问题消灭在萌芽中。