钢铁企业工控安全解决方案V1.0.docx

钢铁企业工控安全

解决方案

2023 年 2 月

目录

1. 背景...............................................................................................................................................................4

2. 需求分析......................................................................................................................................................5

2.1. 工控软件本身安全性设计缺陷 ...............................................................................................5

4. 方案设计......................................................................................................................................................9

4.1. 总体设计 ........................................................................................................................................9

4.2. 详细设计......................................................................................................................................10

4.2.1. 工业网闸 ........................................................................................................................10

4.2.2. 工业防火墙....................................................................................................................11

4.2.3. 工业安全审计系统......................................................................................................12

4.2.4. 防病毒.............................................................................................................................12

4.2.5. 堡垒机.............................................................................................................................13

4.2.6. 日志审计 ........................................................................................................................13

4.2.7. 安管平台（态势感知）.............................................................................................14

6. 产品选型....................................................................................................................................................27

1. 背景

近年来，我国钢铁企业在总结国内外先进钢铁企业信息化建设经验的基础上，

善于学习、敢于创新、勇于创造，突破性地解决了产销一体、管控衔接等重大关

键性技术难题，一批体现自主创新的信息化工程涌现。钢铁企业的发展战略中开

始纳入信息化内容，信息化的目标、方针、内容、任务、技术路线逐渐明晰，企

业信息化的管理体系逐步确立，企业最高决策层逐渐领衔信息化，信息资源的开

发利用水平得到提高;信息基础设施建设不断完善，网络信息安全防范意识增强;

信息产业队伍逐渐强大，系统集成与维护、软件设计能力不断增强，自主创新、

集成创新、引进消化吸收再创新的能力在信息化建设中得到提高;管理信息化建

PLC、SCADA、智能仪表、机器人以及基于控制系统的高级应用等组成，在如今信

息技术发展的影响下，工控系统厂商越来越注重于系统的开放性设计，多采用第

三方集成，操作端 PC 化的方式，这一改进大大降低了用户的投资与维护成本。

对于钢铁行业工业控制系统来说，产生安全威胁的因素是多方面的，例如：

管理缺失、缺少安全管理机制、防护手段落后、安全意识薄弱、公开通用的通信

协议与操作系统、工业网络病毒、工控系统自身、外方设备漏洞或后门、持续性

威胁 APT、无线技术等等。

《网络安全法》明确了“国家实行网络安全等级保护制度”、“关键信息基

础设施，在网络安全等级保护制度的基础上，实行重点保护”等内容，为网络安

全等级保护工作赋予了新的内涵。为适应煤矿企业的网络安全建设的需求，规范

进的背景下，工业控制系统安全发展速度却远远落后于建设速度，应用单位必须

着力提高工控系统安全应急处置能力，杜绝网络威胁攻击和远程控制失效的情况。

煤矿生产场景常见工控系统：

DCS：分布式控制系统（distribution control system），以计算机为基础，

在系统内部(组织内部)对生产过程进行分布控制、集中管理的系统。

PLC：可编程逻辑控制器（programmable logic controller），采用可编程存

储器，通过数字运算操作对工业生产装备进行控制的电子设备。

MES 系统：制造执行系统 （manufacturing execution system），为企业实

现生产计划管理、生产过程控制、产品质量管理、车间库存管理、项目看板管理

等，提高企业制造执行能力。

数据采集与监控子系统中，主要以 SCADA 系统进行油气生产物联网底层数据

的收集。SACDA 软件系统缺乏自身的安全性设计，生产控制系统安全防护滞后于

系统的建设速度，再加上相关人员安全意识不够、相关的管理制度缺失，使得系

统本身存在较大的脆弱性。

专有的工业控制通信协议或规约在设计时通常只强调通信的实时性及可用

性，对安全性普遍考虑不足：油气生产物联网中使用的 OPC 协议，利用系统的 DCOM

组件，使用 OLE 技术会在数据传输过程中开放 1024~65535 的动态端口，使用这

些端口缺少足够强度的认证、加密、授权等给数据的安全性和可靠性带来威胁。

存在着从终端入侵感染整个油气生产物联网的高危风险。2014 年土耳其石油管

道爆炸事件正是由视频监控网络入侵，关闭石油输送管线的调度系统内的报警服

务，最终造成了重大的经济损失。

数据传输子系统以生产网内的通信网络建设为主。从油气田井场、站场（厂）

监控中心至作业区生产管理中心部署生产网，延伸至采油采气厂或油气田公司层

级，从作业区生产管理中心或采油采气厂生产调度中心至油气田公司生产指挥中

心部署办公网。整个油气生产物联网的的生产网与办公网络存在重叠，边界变得

很不清晰，并且生产网络和办公网络存在着实时数据库和关系数据库的关键业务

交互，缺少边界层面的访问控制措施，存在着安全隐患。