不容樂觀!全球鋼鐵行業面臨攻擊風險
全球鋼鐵行業形勢嚴峻
鋼鐵行業作為國民經濟的支柱性產業,一旦遭受攻擊破壞影響范圍不僅是單個企業,更可能影響整個產業鏈或生態,甚至關乎經濟發展和社會穩定乃至國家安全。近年全球范圍內,一系列安全事件均表明網絡攻擊非常普遍,而公開的事件僅是冰山一角,鋼鐵行業已成為信息安全乃至國家安全的新戰場,工業安全保障體系建設的重要性越發凸顯。
6月27日伊朗國有企業胡齊斯坦鋼鐵公司在遭受網絡攻擊后被迫停止生產,這是近年來針對該國戰略工業部門的最大規模此類攻擊之一。 專家已確定由于在 “網絡攻擊 ”后“ 存在技術問題 ”,該工廠必須停 工直至接到進一步的通知,該公司的網站也在當天關閉,這一事件再次為全球鋼鐵行業敲醒了警鐘!為了有效、高效地免受網絡攻擊,鋼鐵企業必須超越IT安 全,結合行業場景特點,實現整個工業系統層面網絡安全防護的提升,真正做到筑牢“鋼鐵防線”。
圖1 某匿名黑客團伙發布的胡齊斯坦鋼鐵廠車間閉路電視畫面
鋼鐵行業網絡安全風險分析
從上述的安全事件我們得知,鋼鐵行業作為國家關鍵信息基礎設施的重要組成部分,在獲得巨大發展空間的同時,工控系統網絡安全問題變得日益嚴峻。
鋼鐵企業是典型的生產、資金、技術密集型企業,其生產連續性強,生產系統耦合性高,如何有效的防范來自內部或外部攻擊,做好工控系統網絡安全的防護工作,確保生產系統的穩定可靠,是鋼鐵行業工控系統網絡安全所亟待解決的問題。
圖2 鋼鐵行業生產工藝流程示意圖
從鋼鐵企業生產工藝流程示意圖(圖2)可以看出,鋼鐵冶煉是將鐵礦石經過一系列工序冶煉成鋼并軋制成鋼材的過程,典型工藝流程一般分為選礦、燒結、高爐煉鐵、電爐或轉爐煉鋼、連鑄、軋鋼等幾個工藝,生產控制系統主要以PLC和DCS為主,工控主機操作系統以Windows系統居多。
在煉鐵生產工藝過程中通過PLC控制器實現對噴煤、皮帶傳輸、送風的控制;在煉鋼生產工藝過程中通過PLC控制器實現對鐵液預處理、轉爐、電弧爐以及爐外精煉的控制;在連鑄生產工藝過程中通過DCS、PLC控制系統實現對鋼水預處理、液面控制、拉坯以及切割的控制;在軋鋼生產工藝過程中通過PLC控制器實現板型控制、溫度控制以及儀器儀表的控制;在上述各個工藝環節中PLC控制器等存在被非法操控的風險,導致停工、停產,更有甚者造成鐵水、鋼水等高溫液體的外泄。
在伊朗胡齊斯坦鋼鐵廠的安全事件中,據流露出的視頻分析顯示(如下圖3)鋼坯生產線上的一臺重型機械發生故障并引發大火,據行業內的專業人士分析,此事故可能是鋼水包不受控制一直外溢,導致全部鋼水流出。由此可見,針對鋼鐵企業的各流程工藝環境,一旦底層控制系統被非法攻擊,可能會產生巨大的安全事故,甚至影響人身安全。
圖3 伊朗胡齊斯坦鋼鐵廠安全事件流露視頻畫面
那對于鋼鐵行業工業控制系統來說,產生上述的安全風險因素是多方面的,如工控設備漏洞或后門、防護手段落后、工控系統自身脆弱性、缺少安全管理機制、安全意識薄弱等。結合我國鋼鐵企業工控網絡的現狀和形勢,總結有以下六點比較突出的問題:
1.從威脅角度看
在兩化融合和數字化轉型背景下,越來越多的鋼鐵企業工控資產可能非計劃性的暴露在互聯網上,黑客或攻擊者開始有組織、有目的地進行針對性的掃描探測和攻擊,而且部分病毒、代碼由專業人員編寫,針對性強,幾乎無法通過單一安全產品進行抵御。
2.從防護手段看
鋼鐵企業部分工業控制系統在防護、監測、審計等方面的相關防護措施不足(邊界無防護,網絡無監測審計,主機、服務器無防護等),而且鋼鐵企業廠區大,分布廣,安全措施無法覆蓋到所有區域,一旦某個生產區域感染病毒或者受到攻擊后,很有可能蔓延至整個工控網絡,造成嚴重的生產事故。
3.從系統軟件看
鋼鐵行業大多數工業控制系統在設計之初,由于資源受限等原因普遍缺乏安全性設計,各類編程軟件、組態軟件以及工業協議等,缺少完整性、身份認證等安全措施,另外上位機多數采用通用的Windows操作系統,其自身存在很多安全漏洞,容易被攻擊者利用,造成安全事故。
4.從運維角度看
鋼鐵行業工業控制系統技術運維人員在日常維護過程中,缺乏足夠的安全意識和安全操作規程,而且存在第三方遠程運維場景(部分生產工藝過程中需要自動化系統廠商對系統進行遠程調試)、移動存儲介質濫用、電腦直接接入生產網絡進行調試等的問題,很可能因違規運維行為造成工業控制系統停機事故。
5.從底層設備看
鋼鐵企業現場的PLC、DCS等設備、控制系統和工業交換機都會存在安全隱患,自身安全防護能力不足,而且控制系統、設備種類繁多(如西門子S7系列PLC、施耐德DCS系統、ABB DCS系統等)、設備使用周期長以及系統補丁兼容性差等現實問題,難以及時處理和解決,直接影響工業控制系統安全性。
6.從預警角度看
鋼鐵企業缺乏對工業控制系統資產安全狀態全面監控的能力,對安全威脅無法及時預警,部署在工業網絡環境中的各類設備主要是以單一產品進行防護的形式,無法做到有機的整合和關聯,導致出現安全問題后無法快速響應。
威努特鋼鐵行業工控網絡安全防護
最佳實踐
隨著外部網絡安全形勢愈發嚴峻,同時國內工控安全防護標準體系日趨完善,威努特聯合某全國大型的螺紋鋼生產基地企業對工控系統進行深入的調研和風險分析,結合該企業工控系統網絡安全的現狀,通過對工控網絡流量、工控主機狀態等進行監測,收集并分析工控網絡數據及軟件運行狀態,建立工控系統安全基線和模型,構筑該企業集控中心工控系統的整體安全防護體系。
1.解決方案
某集團集控中心整體工業控制系統網絡安全建設拓撲示意如下圖:
圖4 某集團集控中心工業控制系統網絡安全建設示意圖
- 在集控中心機房工控網、調度網、信息網網絡邊界處,燒結、高爐、球團等不同廠區的工控網絡邊界處利用工業互聯防火墻開啟訪問控制、入侵防御和對OPC、S7、Modbus等工控協議的深度解析策略,解決來自外部網絡非授權訪問的問題,強化邊界訪問控制的能力,同時提高該單位工控系統在應對攻擊、威脅、安全事件等方面的能力;
- 在工控網核心交換區旁利用入侵檢測系統對來自網絡內外的蠕蟲、木馬、后門、間諜軟件、Web攻擊等進行實時檢測和審計預警,提升網絡的威脅檢測能力,補足工控網絡無監測審計措施的短板;
- 在工程師站、操作員站、服務器上利用工控主機衛士的文件白名單、安全基線和外設管控的能力,實現對惡意代碼的有效防范,降低各類編程軟件、組態軟件等帶來的安全隱患,提升工控主機的安全防護等級;
- 建立安全管理中心,利用統一安全管理平臺、日志審計和安全運維管理系統等提供網絡安全管理的統一入口,實現工控資產全面監控、安全威脅及時預警、安全設備集中管控、安全事件集中采集和關聯分析,將工控資產家底進行整合和關聯,及時發現安全問題并進行快速響應,提高該單位工控系統整體安全運營能力。
2.用戶價值
- 提升工業控制系統在防護、監測、審計等方面的防護能力,阻止勒索、蠕蟲等病毒、木馬、惡意程序在生產區域之間的傳播和擴散,防范工作站、服務器對生產控制系統惡意操作、違規指令的下發,防止工控安全事件的發生,確保工控系統、網絡、設備的安全性、穩定性和可靠性;
- 彌補工業控制系統在設計之初缺乏安全性以及各類編程軟件、組態軟件等缺少安全措施的短板,及時發現工控網絡中的漏洞并進行主動防御,管理操作人員、運維人員對工控設備的各類行為,避免越權操作和誤操作造成生產事故;
- 建立安全管理中心,理清工業資產家底,集中管控安全策略,監測網絡運行態勢,將工控網絡中的各類設備進行有機的整合和關聯,對安全威脅做到及時預警,對安全事件做到快速響應,提高安全運營能力。
結束語
在“兩化融合”的行業發展背景下,為提高生產管理運行效率、減少人力投入及能源消耗,國內眾多鋼鐵企業不斷推進智能化建設,尤其是在工業控制系統方面,更是大量投入資金人力,以實現企業的智能化升級轉型。從近期國內外的安全形勢上看,目前針對工業企業的網絡安全建設工作仍需加強,威努特一直遵循捍衛工控網絡安全的使命,目前基于白環境縱深安全防護技術體系已成功為近30家鋼鐵生產企業提供安全建設服務,避免出現類似于胡齊斯坦鋼鐵公司所遭受的網絡攻擊事件,助力鋼鐵制造企業順利完成數字化轉型的目標。
