楊 軍，劉亞賓，常 濤，劉 洋，馬 濤

（共享智能鑄造產(chǎn)業(yè)創(chuàng)新中心有限公司，寧夏銀川750021）

隨著中國(guó)制造2025全面推進(jìn)，工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，新形勢(shì)下工控安全工作的重要性和緊迫性更加凸顯。2016年10月17日，工信部頒布《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，指出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從安全軟件選擇與管理、配置和補(bǔ)丁管理、邊界安全防護(hù)、物理和環(huán)境安全防護(hù)、身份認(rèn)證、遠(yuǎn)程訪問安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練、資產(chǎn)安全、數(shù)據(jù)安全、供應(yīng)鏈管理、落實(shí)責(zé)任十一個(gè)方面做好工控安全防護(hù)工作；2017年12月29日，工信部發(fā)布《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018-2020年）》的通知，明確安全與發(fā)展并重，把工控安全作為工業(yè)生產(chǎn)安全的重要組成部分，并以落實(shí)企業(yè)主體責(zé)任為關(guān)鍵，確保信息安全與信息化建設(shè)同步規(guī)劃、同步建設(shè)、同步運(yùn)行，切實(shí)提升工業(yè)控制系統(tǒng)信息安全防護(hù)水平，保障工業(yè)控制系統(tǒng)安全[1]。

另一方面，鑄造行業(yè)作為傳統(tǒng)行業(yè)，其數(shù)字化、網(wǎng)絡(luò)化、智能化過程是逐步發(fā)展的。由于歷史原因，在前期往往缺乏整體規(guī)劃，為了網(wǎng)絡(luò)化而網(wǎng)絡(luò)化，其網(wǎng)絡(luò)電氣接口與光纖接口轉(zhuǎn)接隨意，生產(chǎn)網(wǎng)、管理網(wǎng)、辦公網(wǎng)、視頻網(wǎng)等沒有進(jìn)行合理劃分而混雜在一起，在不改變當(dāng)前網(wǎng)絡(luò)拓樸的前提下，對(duì)關(guān)鍵設(shè)備進(jìn)行相關(guān)安全部署時(shí)，需要相當(dāng)數(shù)量的防護(hù)與審計(jì)產(chǎn)品。為充分提高工控防護(hù)與審計(jì)產(chǎn)品的覆蓋利用率，倒逼一線工程師在不影響生產(chǎn)、管理、辦公等要求下先進(jìn)行網(wǎng)絡(luò)優(yōu)化，組織協(xié)調(diào)牽涉面廣、難度大。整個(gè)網(wǎng)絡(luò)基礎(chǔ)的不利現(xiàn)狀，導(dǎo)致在后續(xù)工控安全部署時(shí)，或因拓樸調(diào)整過繁投入過高，或因技術(shù)路線不明而無從著手，工控安全近時(shí)期僅局限于紙面或口號(hào)而無從落實(shí)。

本文試圖從鑄造行業(yè)工控安全隱患分析著手，通過給出網(wǎng)絡(luò)典型拓樸及工控安全產(chǎn)品典型部署方式，為鑄造行業(yè)工控安全的實(shí)施提供借鑒。

1 常見工控安全隱患分析

1.1 工控主機(jī)

現(xiàn)場(chǎng)仍有相當(dāng)部分工控主機(jī)安裝Windows XP等微軟官方技術(shù)不再支持的系統(tǒng)，且系統(tǒng)的安全漏洞常因封閉的生產(chǎn)網(wǎng)絡(luò)限制，而不能進(jìn)行可控的升級(jí)與更新。

因工控軟件與殺毒軟件兼容性問題，以及遠(yuǎn)程訪問的需要，技術(shù)人員為圖方便，在工控軟件的安裝、配置、運(yùn)行過程中，往往關(guān)閉殺毒軟件、防火墻、系統(tǒng)更新，相當(dāng)于裸機(jī)運(yùn)行。

移動(dòng)介質(zhì)如U盤、移動(dòng)硬盤、共享文件夾等方式的不規(guī)范使用，即使在局域網(wǎng)內(nèi)也會(huì)帶來交叉?zhèn)魅镜劝踩L(fēng)險(xiǎn)。

工控軟件的登錄口令、訪問權(quán)限、通信協(xié)議端口、工業(yè)協(xié)議常采用默認(rèn)配置，僅依靠常規(guī)的IT防護(hù)手段難以有效防護(hù)復(fù)雜的工控應(yīng)用環(huán)境。

1.2 信息基礎(chǔ)設(shè)施

邊界防護(hù)往往僅在局域網(wǎng)與公網(wǎng)之間部署傳統(tǒng)的IT防火墻與審計(jì)軟件，對(duì)基于工業(yè)協(xié)議的識(shí)別與攻擊無能為力；生產(chǎn)網(wǎng)、管理網(wǎng)、辦公網(wǎng)、視頻網(wǎng)等常為同一局域網(wǎng)段內(nèi)混用，絕大部分接入層的數(shù)據(jù)傳輸與交互使用不帶網(wǎng)管功能的傻瓜式交換機(jī)，形成局域網(wǎng)內(nèi)安全防護(hù)的真空地帶；服務(wù)器等設(shè)施安全隱患與工控主機(jī)類似，不再贅述。

1.3 安全組織與意識(shí)

由IT運(yùn)維人員兼職，將IT安全等同于工控安全；企業(yè)內(nèi)歷史上沒出過工控安全事件，防范意識(shí)薄弱；缺乏針對(duì)性的工控安全防護(hù)措施、應(yīng)急演練、應(yīng)急預(yù)案等管理制度；工控安全防護(hù)與審計(jì)類產(chǎn)品均價(jià)格不菲，在沒有政策引導(dǎo)與激勵(lì)措施存在的環(huán)境下，企業(yè)負(fù)責(zé)人、技術(shù)負(fù)責(zé)人、一線工程師等往往對(duì)工控安全需求選擇性漠視或弱化處理。

2 典型網(wǎng)絡(luò)拓樸

具體策劃及實(shí)施時(shí)，采用冗余高速工業(yè)以太光纖環(huán)網(wǎng)，沿廠區(qū)或單元邊界成環(huán)，工廠建立主環(huán)網(wǎng)，單元內(nèi)部建立小環(huán)網(wǎng)，小環(huán)網(wǎng)均分布在主環(huán)網(wǎng)上。采用單模光纖、雙線雙設(shè)備方式，兼顧后期網(wǎng)絡(luò)接入需求。

設(shè)備接入方面，千兆電氣鏈路的始端接入光纖環(huán)網(wǎng)的交換設(shè)備，千兆電氣鏈路的終端采用帶網(wǎng)管功能的工業(yè)級(jí)交換機(jī)，用于工業(yè)設(shè)備、傳感、網(wǎng)關(guān)、客戶端的就近接入，并避免形成電氣環(huán)網(wǎng)。

將生產(chǎn)網(wǎng)、管理網(wǎng)、辦公網(wǎng)、視頻網(wǎng)等物理分開，或通過劃分VLAN區(qū)進(jìn)行邏輯隔離。

圖1 鑄造行業(yè)典型光纖環(huán)網(wǎng)拓樸示意

3 典型工控安全產(chǎn)品組合式部署

工控安全防護(hù)常見技術(shù)策略中，有效性排名靠前的為白名單、配置及補(bǔ)丁管理、隔離區(qū)等。白名單機(jī)制下，只有可信任的設(shè)備，才能接入工控網(wǎng)絡(luò)；只有可信任的消息，才能在工控網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行。以威努特工控安全產(chǎn)品為例，鑄造行業(yè)工控環(huán)境典型的組合式部署如圖2所示。

其中，可信網(wǎng)關(guān)(帶旁路機(jī)制的工業(yè)防火墻，進(jìn)行網(wǎng)絡(luò)邊界實(shí)時(shí)防護(hù))、工控主機(jī)衛(wèi)士+安全U盤（進(jìn)行主機(jī)安全防護(hù)，及安全的數(shù)據(jù)交換）、安全運(yùn)維管理系統(tǒng)（實(shí)現(xiàn)對(duì)用戶從登錄到退出的全程操作行為進(jìn)行審計(jì)）、主機(jī)安全加固系統(tǒng)（對(duì)操作系統(tǒng)進(jìn)行安全加固）、入侵檢測(cè)系統(tǒng)（對(duì)異常攻擊實(shí)時(shí)監(jiān)測(cè)）、安全隔離與信息交換系統(tǒng)（實(shí)現(xiàn)內(nèi)外網(wǎng)間隔離及數(shù)據(jù)安全交換）、統(tǒng)一安全管理平臺(tái)（進(jìn)行工控安全軟硬件產(chǎn)品集中管理）屬于防護(hù)型產(chǎn)品，監(jiān)測(cè)與審計(jì)平臺(tái)（進(jìn)行基于網(wǎng)絡(luò)通信的審計(jì)與溯源）屬于監(jiān)測(cè)型產(chǎn)品。

該組合式部署涵蓋鑄造工廠設(shè)備層、單元層與車間層，實(shí)現(xiàn)隔離、檢測(cè)、防護(hù)、響應(yīng)、審計(jì)、管理等全過程全方位的縱深防御。

圖2 鑄造行業(yè)典型工控安全產(chǎn)品組合式部署示意

4 小結(jié)

鑄造行業(yè)工控安全的具體實(shí)施，應(yīng)依據(jù)自身信息基礎(chǔ)設(shè)施的實(shí)際現(xiàn)狀，以及工控安全需求、重點(diǎn)防護(hù)對(duì)象或區(qū)域，參照典型光纖環(huán)網(wǎng)拓樸及工控安全產(chǎn)品組合式部署，遵循統(tǒng)籌規(guī)劃、分步實(shí)施的原則，逐步滿足工控安全的各項(xiàng)重點(diǎn)評(píng)價(jià)指標(biāo)。