某钢铁公司7 高炉工控安全防护

                     2.2.1 网络概述：此网络是实时控制网，负责控制器、操作站及工程师站之间过程控制数据实时通讯网络，网络上所有操作站、数采机及PLC都使用以太网接口并设置为同一网段IP地址，网络中远距离传输介质为光缆，本地传输介质为网线（如PLC与操作站之间）。2.2.2 网络存在的隐患分析：1、因整个网络均采用同一网段的以太网通讯连接，且未安装有效的安全防护设备，这样任何一个对网络和PLC比较熟悉的人都可以轻易使用一台个人计算机插入网络中的任意一台交换机，使用PLC的组态软件对网络中的PLC进行操作甚至破坏PLC的组态程序，直接造成PLC的控制单元失灵或是现场设备停机或损毁。

               2、网络中无任何隔离防护设备，如果主控楼操作站感染计算机病毒，病毒将会轻易感染到网络上的其它操作站及PLC控制单元，可能会导致整个网络数据堵塞或操作站丧失操作能力，某些针对工业协议（如Modbus TCP）的病毒还可能会导致PLC控制单元死机，完全丧失控制能力。3、网络中无专业的通讯侦测设备，如果发生病毒感染或外网攻击，网络工程师将无法以最快的速度判断问题所在，也就无法迅速准确的做出防护和修复措施。2.2.3 隐患解决思路：1、在网络中需要绑定PLC与操作站的地址，指定哪一台（或几台）操作站可以对哪一台（或几台）PLC进行操作或组态，而其它未被允许的操作站均无法对PLC进行操作或组态，这样所有未被授权的计算机即使接入了控制网络也无法对任何一台PLC进行操作或组态。

                   2、网络中需要增加具有工业协议设置能力的隔离防护设备，此设备可以根据不同PLC所使用的不同工业以太网协议，对其防护规则进行精确设置，唯一允许合法的工业以太网协议通讯，并阻止其余非法的数据传输（如病毒的传播或无效数据的传输），这样即使某一台操作站感染病毒也不会对整个网络的PLC造成影响，除了正常操作的数据可以传输给PLC，其余的非法操作数据均无法到达PLC控制单元。3、网络中需要通讯侦测设备，此设备可以精确记录通讯的时间、IP地址、端口、方向、使用何种协议等重要信息，如果发现大量非法通讯记录突然出现则可认定为网络中有病毒感染或非法入侵，网络工程师可以根据这些通讯的信息迅速找到非法通讯的源头及攻击范围，可以及时的对感染病毒的主机进行隔离杀毒或安全防护。

               3．网络安全防护解决方3.1 安全防护的目标工厂网络要保证安全可靠，最好的方法是建立一个私有的信道，且创造一个相对独立的网络。但是信息技术的发展已经不可逆转，分析以上存在的隐患，总结前人的经验，同时参考我国信息网络安全防护指导，我们认为要保证工厂控制网络的安全稳定运行必须达到以下三个目标：1、通讯可控网络数据的传输总是给我们以抽象、概念性的印象，没有一个直观的显示，通讯电缆如同高速公路，怎样能够直观的观察、监控、管理通讯电缆中流过的数据，这是我们首先要达到的目标。通过这个管控，对控制网络而言仅需要保证制造商专有协议数据通过即可，对其它基于Windows应用的不必要通讯一律禁止，从而创造出一个单一制造商通信网络的环境。

                  2、区域隔离：网络安全问题不同于其它设备故障，对于现代计算机网络，我们认为最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪，具有可扩散性和快速性的特点，虽然目前我们在现场采取了很多措施，但要杜绝网络安全问题是不可能的，所以我们要保证即使在控制网局部出现问题，也能保持装置或工厂的安全稳定运行。这就要在关键通道上部署网络隔离设备，通过这种隔离，为我们的控制系统也创造了一个相对独立的网络环境。3、实时报警：千里之堤毁于蚁穴，报警的首要问题是把网络安全问题消灭在萌芽中，同时通过对报警事件的记录存储，为我们解决部分已发生过的安全事件提供分析依据，告别以前主观经验推断的模式。怎样能够及时发现网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络安全的前提。

                   4.在线审计与异常监测:生产控制区的监控系统应当具备安全审计功能，能够对生产网络通讯做行为分析，实时监测网络中的通讯链路状态，溯源网络中病毒木马的传播路径；同时，用户可自定义异常状态判定阈值，将发生的异常通讯以告警的形式汇总展示；此产品还同时具备工控协议及操作系统漏洞库，可以检测工控系统是否存在安全漏洞和隐患。除了具备实时工业通讯协议行为解析外，审计设备也可像飞机的黑匣子一样，能够回溯及追查网络安全问题，完成追根溯源。