水泥廠工控及網(wǎng)絡(luò)安全防護(hù)建設(shè)探討

包曉東

（成縣祁連山水泥有限公司，甘肅 隴南 742500）

0 引言

近年來，水泥企業(yè)信息化和智能化建設(shè)發(fā)展迅速，抓住了智能制造發(fā)展的制高點(diǎn)，信息化是水泥企業(yè)信息化建設(shè)的必由之路，對企業(yè)管理，企業(yè)生產(chǎn)和節(jié)能降耗都產(chǎn)生了很大的效果。但是對于網(wǎng)絡(luò)的運(yùn)行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。為實(shí)現(xiàn)企業(yè)的轉(zhuǎn)型，我公司介紹了建設(shè)和網(wǎng)絡(luò)安全管理的方法和經(jīng)驗(yàn)。

1 運(yùn)行控制與網(wǎng)絡(luò)安全建設(shè)背景

1.1 信息化建設(shè)

在信息化建設(shè)初期，我公司的網(wǎng)絡(luò)安全還不完善，在信息化和智能化建設(shè)方面，沒有考慮網(wǎng)絡(luò)管理和安全問題。但在施工過程中，網(wǎng)絡(luò)安全越來越重要，在實(shí)施過程中發(fā)現(xiàn)了以下問題：比如OPC 協(xié)議是目前以信息為基礎(chǔ)的通信方式，是實(shí)現(xiàn)建筑信息智能傳輸?shù)闹匾ㄐ欧绞剑?dāng)前正在解決信息隔離問題。公司能源管理系統(tǒng)數(shù)據(jù)和DCS 系統(tǒng)監(jiān)控?cái)?shù)據(jù)應(yīng)通過OPC 通信進(jìn)行隔離和控制，方便員工使用。在出差過程中快速監(jiān)控直流生產(chǎn)和生產(chǎn)畫面，為了監(jiān)控?cái)?shù)據(jù)和曲線，我公司采用智能集成工廠，并在手機(jī)上安裝移動工廠應(yīng)用程序。在保證網(wǎng)絡(luò)安全的前提下，我們可以對公司生產(chǎn)的圖像進(jìn)行監(jiān)控，但是如何管理數(shù)據(jù)通過網(wǎng)絡(luò)在手機(jī)上移動，基于前面應(yīng)用實(shí)現(xiàn)的方便性，沒有必要的安全設(shè)施，生產(chǎn)系統(tǒng)的安全是否得到保證。目前，智能物流廣泛應(yīng)用于水泥行業(yè)，銷售系統(tǒng)和生產(chǎn)統(tǒng)計(jì)等其他系統(tǒng)以及數(shù)據(jù)通信量最大的系統(tǒng)具有最高的安全性。生產(chǎn)原材料多個生產(chǎn)和辦公系統(tǒng)缺乏主機(jī)管理和控制軟件及防病毒，導(dǎo)致控制自動化系統(tǒng)各設(shè)備的USB 接口，缺乏有效的移動媒體控制狀態(tài)。系統(tǒng)維護(hù)工程師必須定期復(fù)制數(shù)據(jù)，操作人員也可以秘密使用USB接口，存在較大的網(wǎng)絡(luò)風(fēng)險。因?yàn)榘l(fā)生網(wǎng)絡(luò)安全事件會導(dǎo)致整個工廠系統(tǒng)癱瘓、服務(wù)器崩潰和數(shù)據(jù)損失等嚴(yán)重后果。我公司從2020 年開始實(shí)施網(wǎng)絡(luò)升級改造，優(yōu)化和提高了管理網(wǎng)絡(luò)和生產(chǎn)網(wǎng)絡(luò)的安全性[1-3]。

1.2 信息安全保護(hù)發(fā)展

新的應(yīng)用沒有等級保護(hù)標(biāo)準(zhǔn)，缺乏完整的風(fēng)險評估和安全監(jiān)測系統(tǒng)，因此很難適應(yīng)互聯(lián)網(wǎng)信息安全保護(hù)的要求，為了適應(yīng)新技術(shù)和新的應(yīng)用發(fā)展，滿足各種系統(tǒng)等級保護(hù)的需求威海工業(yè)控制領(lǐng)域的云計(jì)算，信息系統(tǒng)等方面提供了重要保證，以重要保證為基礎(chǔ)，目前工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)還不夠，工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保護(hù)的必要性分析工業(yè)控制系統(tǒng)需要使用的許多控制系統(tǒng)，包括，產(chǎn)業(yè)生產(chǎn)中監(jiān)控系統(tǒng)，數(shù)據(jù)采集系統(tǒng)和分布式控制系統(tǒng)，如PLC 等應(yīng)用廣泛，與人們的生產(chǎn)和生活密切相關(guān)，本文分析了他面臨的威脅。

1.3 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全事件分析

2019 年出現(xiàn)的第一個控制系統(tǒng)，打破離心分離器運(yùn)行的產(chǎn)業(yè)控制器，建立了一個全新的腳本技術(shù)和適應(yīng)大規(guī)模應(yīng)用的完美安全保護(hù)體系。祝賀很重要。2018 年，黑客利用工業(yè)惡性軟件攻擊烏克蘭的一個變電站，導(dǎo)致基輔等地區(qū)的供電中斷，使用軟件自動運(yùn)行，導(dǎo)致機(jī)器控制系統(tǒng)無法正常運(yùn)行因此，電力網(wǎng)和其他基礎(chǔ)設(shè)施的安全受到了嚴(yán)重的威脅。例如，2017 年有100 多個地區(qū)受到威脅軟件感染的影響，中國的石油和交通受到影響，造成嚴(yán)重后果。

1.4 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)用

目前這些系統(tǒng)由于需求不足，各種業(yè)務(wù)系統(tǒng)存在潛在的安全隱患，比如遠(yuǎn)程訪問保護(hù)要求，大多數(shù)工業(yè)控制和生產(chǎn)網(wǎng)絡(luò)的遠(yuǎn)程維護(hù)都是由供應(yīng)商提供的。渠道使用存在入侵風(fēng)險。還有網(wǎng)絡(luò)監(jiān)控和審核要求，目前行業(yè)使用的各種監(jiān)控軟件和審計(jì)軟件和基礎(chǔ)設(shè)施還不完善，難以對數(shù)據(jù)進(jìn)行有效的控制其次是操作系統(tǒng)漏洞管理需求；工業(yè)生產(chǎn)控制系統(tǒng)對網(wǎng)絡(luò)的要求很高，這就給系統(tǒng)漏洞升級帶來了難題，一旦出現(xiàn)安全漏洞，就會威脅到系統(tǒng)運(yùn)行的安全；惡意代碼風(fēng)險防范要求，在工控系統(tǒng)應(yīng)用中實(shí)際發(fā)生惡意代碼時，存在著安裝殺毒軟件和安全隱患等安全防護(hù)缺失等重大風(fēng)險。在分析網(wǎng)絡(luò)安全需求的基礎(chǔ)上，分析了網(wǎng)絡(luò)安全對人身安全財(cái)產(chǎn)安全的影響，為保證網(wǎng)絡(luò)安全運(yùn)行所采取相應(yīng)的措施，建立工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)策略，實(shí)施安全管理體系。根據(jù)安全防護(hù)工作要求設(shè)置專門的部門和人員，由安全管理人員和安全管理人員負(fù)責(zé)，組織網(wǎng)絡(luò)安全委員會或領(lǐng)導(dǎo)小組。掌握具體工作，要求做好網(wǎng)絡(luò)安全防護(hù)工作，并根據(jù)需要制定相應(yīng)的管理制度和方法，實(shí)現(xiàn)崗位職責(zé)和資源的有效分工。配置足夠的人力資源，確保網(wǎng)絡(luò)安全工作的順利進(jìn)行，加強(qiáng)與安全供應(yīng)商和企業(yè)的溝通，確保安全，及時掌握事態(tài)發(fā)展，定期進(jìn)行安全檢查。首先做好檢查記錄，編制安全檢查報(bào)告，確保各項(xiàng)工作順利完成，其次，建立安全管理機(jī)構(gòu)，配備網(wǎng)絡(luò)安全管理人員；安全管理體系能否有效啟動，與組織機(jī)構(gòu)組成、人員配置、工作要求、人力資源配置、協(xié)調(diào)指導(dǎo)密切相關(guān)。對實(shí)施網(wǎng)絡(luò)安全管理等任務(wù)，建立有效的安全防護(hù)組織體系。加強(qiáng)安全施工管理，在安全施工管理方面，以信息系統(tǒng)的整個生命周期為中心實(shí)施安全管理措施，系統(tǒng)審核和控制安全等級等關(guān)鍵環(huán)節(jié)，加強(qiáng)安全運(yùn)輸和層次管理，結(jié)合網(wǎng)絡(luò)安全威脅和風(fēng)險的原因和特點(diǎn)，實(shí)施安全評價和安全強(qiáng)化，對機(jī)艙環(huán)境、漏洞和網(wǎng)絡(luò)、實(shí)施設(shè)施安全運(yùn)行維護(hù)管理等安全管理，有效變更備份及修復(fù)管理和各種安全事件。

1.5 安全技術(shù)系統(tǒng)建設(shè)

安全通信網(wǎng)絡(luò)設(shè)計(jì)技術(shù)體系和安全通信網(wǎng)絡(luò)設(shè)計(jì)的重點(diǎn)是網(wǎng)絡(luò)結(jié)構(gòu)。利用關(guān)鍵網(wǎng)絡(luò)設(shè)備和電腦設(shè)備，以不必要的結(jié)構(gòu)劃分安全區(qū)域，實(shí)現(xiàn)安全隔離。通信傳輸。使用密碼確保通信的完整性和機(jī)密性?？梢孕刨嚨尿?yàn)證。對于產(chǎn)業(yè)控制和網(wǎng)絡(luò)安全建設(shè)的總體規(guī)劃，應(yīng)該保護(hù)事務(wù)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的界限，并且在劃分網(wǎng)絡(luò)層次結(jié)構(gòu)的同時，根據(jù)各信息系統(tǒng)的功能，將與管理系統(tǒng)有密切關(guān)系的系統(tǒng)劃分為控制層，將系統(tǒng)數(shù)據(jù)并連接外部網(wǎng)絡(luò)時系統(tǒng)分為電源管理系統(tǒng)等生產(chǎn)管理層，軟件系統(tǒng)與管理系統(tǒng)的數(shù)據(jù)交流較少，企業(yè)管理中其他企業(yè)管理軟件，如智能物流系統(tǒng)的數(shù)據(jù)交換較多的軟件系統(tǒng)，在網(wǎng)絡(luò)邊界處配置入侵防御和防火墻安全產(chǎn)品，實(shí)時分析鏈接的傳輸數(shù)據(jù)，阻斷鏈接隱藏的威脅。

1.6 邊界網(wǎng)絡(luò)屏障設(shè)置

警戒保護(hù)并在相關(guān)控制系統(tǒng)中讀取的所有數(shù)據(jù)通過網(wǎng)絡(luò)屏障確保系統(tǒng)的安全。我公司擁有兩個DCS 系統(tǒng)，一個是加工品水泥生產(chǎn)線的DCS 系統(tǒng)，另一個是起到外部控制作用的DCS 系統(tǒng)，公司的兩個工業(yè)控制系統(tǒng)的外部數(shù)據(jù)傳輸鏈接的出口端增加了產(chǎn)業(yè)防火墻。所有的管理系統(tǒng)都要通過防火墻來通訊外部數(shù)據(jù)。進(jìn)行管理防止系統(tǒng)中未授權(quán)的程序和未知存儲介質(zhì)的運(yùn)行，白色命名單系統(tǒng)由非系統(tǒng)管理者隨意使用USB 接口或隨意復(fù)制或安裝各種軟件，對生產(chǎn)主機(jī)進(jìn)行安全管理、提高設(shè)備運(yùn)行能力，確保各生產(chǎn)業(yè)務(wù)系統(tǒng)的安全運(yùn)行。對于安全區(qū)域邊界設(shè)計(jì)內(nèi)容包括警戒保護(hù)和入侵預(yù)防等，惡意代碼和安全審計(jì)。對于正在運(yùn)行的工業(yè)無線網(wǎng)絡(luò)，無線AP 或無線路由器由上述端口控制，例如在訪問防火墻端口時，以工業(yè)防火墻為邊界進(jìn)行邏輯隔離，實(shí)現(xiàn)網(wǎng)絡(luò)區(qū)域的有效隔離。從實(shí)施網(wǎng)絡(luò)安全保護(hù)的角度分析了安全計(jì)算環(huán)境，安全計(jì)算環(huán)境的設(shè)計(jì)主要內(nèi)容如下，首先是安全監(jiān)控，由于工業(yè)控制系統(tǒng)的運(yùn)行環(huán)境越來越復(fù)雜，新技術(shù)和新設(shè)備的廣泛應(yīng)用，對環(huán)境保護(hù)計(jì)算具有重要意義。利用數(shù)據(jù)庫協(xié)議的分析和控制技術(shù)，可以達(dá)到阻塞危險命令、控制訪問行為等目的。保護(hù)數(shù)據(jù)庫運(yùn)行安全。由安全管理中心建立的安全管理中心具有以下功能，基于工控系統(tǒng)安全管理平臺，對登錄人員進(jìn)行動態(tài)認(rèn)證。并且組織安全管理人員和監(jiān)理人員的授權(quán)，實(shí)行統(tǒng)一調(diào)配管理，其次，還要進(jìn)行安全監(jiān)督管理；確認(rèn)相應(yīng)人員的身份并監(jiān)督其工作，如工作日志和門禁等進(jìn)行安全管理，最后通過集中管理和數(shù)據(jù)和信息的收集和分析，了解系統(tǒng)運(yùn)行的安全狀態(tài)，并采取設(shè)施安全防護(hù)措施。

2 網(wǎng)絡(luò)運(yùn)行控制及具體實(shí)施

根據(jù)上述總體安全策略的要求，我們的辦公網(wǎng)絡(luò)和管理網(wǎng)絡(luò)被劃分為VLAN，VLAN 將辦公網(wǎng)絡(luò)和管理網(wǎng)絡(luò)隔離開來，我們還建造了辦公室和機(jī)械宿舍，建筑細(xì)節(jié)如下，公司所使用的防火墻是可以將新的入侵防御系統(tǒng)與網(wǎng)絡(luò)病毒過濾和殺滅相結(jié)合。根據(jù)實(shí)際管理和控制原則，各子網(wǎng)在網(wǎng)絡(luò)區(qū)域內(nèi)組織地址區(qū)域，避免廣播風(fēng)造成公司網(wǎng)絡(luò)整體癱瘓，并確定網(wǎng)絡(luò)故障點(diǎn)。從網(wǎng)絡(luò)層面分為辦公網(wǎng)絡(luò)和工業(yè)控制網(wǎng)絡(luò)，在兩個網(wǎng)絡(luò)隔離邊界上設(shè)置網(wǎng)關(guān)，在網(wǎng)絡(luò)隔離的基礎(chǔ)上實(shí)現(xiàn)數(shù)據(jù)交換。公司從管理網(wǎng)讀取DCS 系統(tǒng)數(shù)據(jù)，并增加雙向控制體系。我們公司有兩套DCS 系統(tǒng)，一個是水泥生產(chǎn)線的DCS 系統(tǒng)，另一個是為了余熱發(fā)電的DCS 系統(tǒng)。在配套系統(tǒng)中增加Moxa 工業(yè)基地的交換機(jī)，對工業(yè)行為進(jìn)行審查，通過鏡像流動對整個網(wǎng)絡(luò)進(jìn)行流量審計(jì)和檢查，建立專用作業(yè)控制運(yùn)輸管理區(qū)并通過產(chǎn)業(yè)防火墻隔離，設(shè)置主機(jī)白名單和漏洞掃描，確保網(wǎng)絡(luò)安全和安全，除上述建設(shè)內(nèi)容外，我公司將根據(jù)融合管理體系建立公司的機(jī)械住宅和網(wǎng)絡(luò)布局完善是實(shí)現(xiàn)網(wǎng)絡(luò)化和工業(yè)控制的必要手段，具體情況如下：公司已經(jīng)建立了標(biāo)準(zhǔn)控制網(wǎng)絡(luò)，并且要求機(jī)房獨(dú)立連接接地網(wǎng)，在靜電地板下用10 毫米寬的銅箔設(shè)置屏蔽網(wǎng)格，確保整個機(jī)房連接良好，設(shè)置傳感器系統(tǒng)，安裝恒溫系統(tǒng)和自動滅火系統(tǒng)，建立完整的同環(huán)檢測平臺，確保機(jī)房不斷供電和火災(zāi)警報(bào)，公司的兩個機(jī)房采用遠(yuǎn)程自動備份系統(tǒng)和自動備份服務(wù)器系統(tǒng)和軟件數(shù)據(jù)，并可在網(wǎng)絡(luò)空間發(fā)生災(zāi)難后迅速恢復(fù)，設(shè)置網(wǎng)絡(luò)管理軟件。主要是網(wǎng)絡(luò)掃描，遠(yuǎn)程監(jiān)控和警報(bào)管理。微信警告，支持網(wǎng)絡(luò)管理多個資產(chǎn)許可證，便于網(wǎng)絡(luò)管理，公司客房內(nèi)多種通信專用線和聯(lián)合線的雙軌連接，確保公司網(wǎng)絡(luò)實(shí)時正常運(yùn)行，防止專用線路故障導(dǎo)致整個公司網(wǎng)絡(luò)的癱瘓[4-5]。

3 結(jié)束語

近年來，水泥企業(yè)信息化和智能化建設(shè)發(fā)展迅速，各企業(yè)紛紛實(shí)施信息化建設(shè)競爭，抓住了智能制造發(fā)展的制高點(diǎn)，信息化是水泥企業(yè)信息化建設(shè)的必由之路，對企業(yè)管理，企業(yè)生產(chǎn)和節(jié)能降耗都產(chǎn)生了很大的效果。但是對于網(wǎng)絡(luò)的運(yùn)行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。企業(yè)在改造后，公司網(wǎng)絡(luò)系統(tǒng)運(yùn)行穩(wěn)定，網(wǎng)絡(luò)不會出現(xiàn)由于間斷而影響業(yè)務(wù)和生產(chǎn)，也不會發(fā)生系統(tǒng)或服務(wù)器中毒事件，各信息系統(tǒng)運(yùn)行穩(wěn)定。防火墻和防火墻形成的保護(hù)體系運(yùn)行穩(wěn)定，預(yù)防外部多次的網(wǎng)絡(luò)入侵攻擊和病毒。企業(yè)的網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)具有良好的擴(kuò)展性和安全性，在企業(yè)實(shí)施不同的信息化項(xiàng)目時，可以更加便利鮮明地將新系統(tǒng)配置在網(wǎng)絡(luò)結(jié)構(gòu)中，提高系統(tǒng)的線上效率和穩(wěn)定運(yùn)行。