2014年，以Havex為代表的新一代的APT攻擊肆虐工業控制系統，而基于信息網絡安全的防護手段及現有的工控網絡防護手段，在APT2.0時代的攻擊面前已經成為“皇帝的新衣”。面對APT2.0時代的威脅，打造針對于工控網絡的新一代防御體系已勢在必行。很多人對2014年黑客APT攻擊德國鋼廠事件仍然記憶猶新：黑客通過魚叉式網絡釣魚和精心安排的社會工程學攻擊手段獲取鋼廠辦公網絡訪問權，成功進入生產網絡并攻擊，導致工控系統的控制組件和整個生產線被迫停止運轉，非正常關閉煉鋼爐令鋼廠損失慘重。

    目前，我國鋼企在原料場、焦化、燒結、煉鐵、煉鋼、軋鋼等主要工藝階段已實現全流程自動化控制，隨著兩化融合、能源管理系統的建設，工業控制系統的信息安全問題日益凸顯，鋼企系統架構中存在著的信息安全隱患令人擔憂。
 

    2015年6月24日，在通化市舉行的第37屆全國冶金企業自動化、信息化技術論壇上，北京匡恩網絡科技有限責任公司的解決方案總監井柯，為參會代表帶來了一場題為“一場沒有硝煙的戰爭，由德國鋼廠遭黑客攻擊引發的思考”的精彩報告，以德國鋼廠遭攻擊透視中國冶金行業控制系統網絡安全存在的潛在威脅，并為參會代表奉上匡恩網絡的獨家解決方案。

    潛在的威脅

    目前，鋼鐵廠控制網絡按控制功能和邏輯分為1-4級網絡（如下圖）：
 

    • L4(企業資源計劃級ERP)；

    • L3(生產管理級MES)；

    • L2(過程控制級PCS)：過程控制網和實時數據庫采集網；

    • L1(基礎自動化級BAS)：由PLC組成的控制層和SCADA形成的監控層構成。

    大部分鋼廠中的自動控制系統已經和信息系統連成一體，L2與L3之間由防火墻和數據交換平臺進行隔離(邏輯隔離)，在L2以下沒有防火墻，OA與ERP和MES服務器之間沒有隔離，現有的安全措施并不足以保證控制系統的安全，攻擊者可能會利用ICS的安全漏洞獲取諸如煤氣柜、大型鍋爐等大型設備的控制權。
 

    存在的漏洞

    通信協議漏洞

    • L1級一般采用modbus等通信協議，存在授權、加密等安全問題。

    • L1級與L2級過程控制系統和實時數據庫系統之間是采用OPC協議，極易受到攻擊。同時OPC通信采用動態端口，不能有效使用傳統的IT防火墻。

    操作系統漏洞

    • ICS的工程師站/操作站/過程級HMI都是通用的Windows操作系統，很少裝補丁，或裝補丁后不能正常運行，從而埋下安全隱患。

    安全策略和管理流程漏洞

    • 缺乏完整有效的安全策略與管理流程，人員信息安全意識缺乏，如調試用筆記本電腦、U盤等設備的使用及不嚴格的訪問控制策略，為有目的的攻擊創造機會。

    匡恩網絡的解決方案

    在匡恩網絡提供的解決方案中，建立安全區域，確定區域邊界并對其安全防護，通過安全防護產品達到以下目標：

    1. 防止任何未定義流量經過區域邊界。

    2. 防止所有含有惡意軟件或代碼的已定義流量通過區域邊界。

    3. 檢測并記錄可疑或異常活動。

    4. 在區域內容記錄正常或者合法的活動，可用于合規性報告。

    匡恩網絡通過全網監測審計平臺對控制系統操作行為進行審核，詳細記錄調度系統對過程控制系統的所有操作行為，實現對關鍵參數配置實時監測與安全審計并進行及時的預警響應；在L3與L2之間、L2和L1之間部署智能保護產品，通過工業協議的深度解析確保上位機監控系統與現場控制設備之間通訊與控制的合法性；在OPC服務器端采用數據采集隔離終端 進行數據傳輸防護；建立攻防模擬驗證系統，模擬鋼鐵自動化系統應用，通過不斷的在系統上進行深入的漏洞挖掘、攻擊研究，完成攻擊效果展示及安全防護方案驗證。

    隨著“中國制造2025”進程的加深，冶金行業自動化信息完全建設將迎來高速發展時代，但同時所面臨工業控制信息安全問題也日益嚴峻。如井柯引用狄更斯《雙城記》中的那句話，“這是一個最好的時代，也是一個最壞的時代”，工業控制網絡安全之路任重道遠，匡恩網絡作為工業4.0時代的網絡安全專家，專注于解決工業控制系統的網絡安全問題，為“中國制造2025”保駕護航。