鋼鐵行業工業互聯網安全解決方案檢視原始碼討論檢視歷史

來自 搜狐網 的圖片

鋼鐵行業工業互聯網安全解決方案伴隨着互聯網信息技術、工業自動化技術的革命性突破和全球經濟一體化的發展，工業互聯網應運而生，並迅速成為熱門技術，已經成為鋼鐵行業不斷研究和持續探索的熱點課題。經過近幾年的發展，鋼鐵工業互聯網的推廣普及已經成為工業經濟發展提供了更多的內驅力。為更好地激發工業互聯網的技術潛能，引領工業互聯網技術實現技術應用開發。鋼鐵工業互聯網是滿足工業智能化發展需求，具有低時延、高可靠、廣覆蓋特點的關鍵網絡基礎設施，是新一代信息通信技術與先進制造業深度融合所形成的新興業態與應用模式。

網絡體系是實現連接鋼鐵行業工業系統、全價值鏈、全產業鏈的基礎，包括網絡互連、標識解析、應用支撐三大體系。數據包括「採集交換-集成處理-建模分析-決策與控制」，形成優化閉環，驅動工業智能化。安全是鋼鐵行業工業互聯網各個領域和環境的安全保障，包括設備安全、控制安全、網絡安全^[1] 、應用安全和數據安全等。為加速提升工業互聯網的應用質量與效果，為我國的經濟結構調整、動能轉換貢獻力量，全面推進 「中國製造2025」和「互聯網+」行動計劃，有必要圍繞國家網絡安全法和網絡安全等級保護制度加強對鋼鐵行業工業互聯網信息安全領域解決方案的研究。

適用範圍

鋼鐵行業工業互聯網。

在工業互聯網網絡體系架構中的位置

本解決方案在下圖中所處的位置為⑦。

需求分析

鋼鐵行業工業互聯網脆弱性分析

操作系統漏洞

PC 與 Windows 的技術架構現已成為控制系統上位機的主流。

而在控制網絡中，上位機是實現與 MES 通信的主要網絡結點，因此其操作系統的漏洞就成為了整個控制網絡信息安全中的一個短板。操作系統漏洞頻繁出現，安全事故時有發生。以 Windows XP 版本為例，就曾被發現了大量漏洞，典型的如輸入法漏洞、IPC$漏洞、RPC 漏洞、Unicode 漏洞、IDA&IDQ緩衝區溢出漏洞、Printer 溢出漏洞、Cookie 漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過這些漏洞，可以獲得 Windows XP 操作站的完全控制權，甚至為所欲為。

工業控制系統漏洞

由於早期的鋼鐵行業工業控制系統都是在相對獨立的網絡環境下運行，在產品設計和網絡部署時，只考慮了功能性和穩定性，對安全性考慮不足。隨着鋼鐵行業工業控制系統網絡之間互聯互通的不斷推進，以及工控系統和工業設備接入互聯網的數量越來越多，通過互聯網對工業控制系統實施攻擊的可能性越來越高，而每年新發現的 SCADA、DCS、PLC 漏洞數量也不斷增加，這些都為鋼鐵行業工業互聯網帶來巨大的安全隱患。

工業網絡漏洞

鋼鐵工業控制網絡的設備分布於廠區各處，由於網絡基礎設施的局限性，經常需要無線網絡、衛星^[2]、GPRS/CDMA等通用傳輸手段來實現與調度中心的連接和數據交換。這些傳輸手段沒有足夠的安全保護和加密措施，很容易出現網絡竊聽、數據劫持、第三人攻擊等安全問題，而且攻擊者還可以利用不安全傳輸方式作為攻擊工業控制網絡的入口，實現對於整個工業控制網絡的滲透和控制。

工業雲平台安全問題

在鋼鐵行業工業雲平台中，作為底層支撐技術的虛擬化技術在帶來效率提升和開銷降低的同時,也帶來了一系列由於物理的共享與邏輯隔離的衝突而導致的數據安全問題。在鋼鐵行業公有雲環境下，不同機構之間物理隔離的網絡被由網絡虛擬化技術構建的虛擬網絡取代。這種網絡資源復用模式雖然實現了網絡資源的高效利用、網絡流量的集中分發，但也帶來了諸多安全問題。

鋼鐵行業工業互聯網安全威脅分析

來自外部網絡的滲透

鋼鐵行業工業互聯網會有較多的開放服務，攻擊者可以通過掃描發現開放服務，並利用開放服務中的漏洞和缺陷登錄到網絡服務器獲取企業關鍵資料，同進還可以利用辦公網絡作為跳板，逐步滲透到控制網絡中。通過對於辦公網絡和控制網絡一系列的滲透和攻擊，最終獲取企業重要的生產資料、關鍵配方，嚴重的是隨意更改控制儀表的開關狀態，惡意修改其控制量，造成重大的生產事故。

帳號口令破解

由於企業有對外開放的應用系統（如郵件系統），在登錄開

放應用系統的時候需要進行身份認證，攻擊都通過弱口令掃描、

Sniffer密碼嗅探、暴力破解、信任人打探套取或社工比較合成口令等手段來獲取用戶的口令，這樣直接獲得系統或應用權限。獲取了用戶權限就可以調取相關資料，惡意更改相關控制設施。

利用移動介質攻擊

當帶有惡意程序的移動介質連接到工程師站或操作員站時，移動介質病毒會利用移動介質自運行功能，自動啟動對控制設備進行惡意攻擊或惡意指令下置。一方面造成網絡病毒在企業各個網絡層面自動傳播和感染，靠成業務系統和控制系統性能的下降，從而影響企業監測、統籌、決策能力。另一方面會針對特定控制系統或設備進行惡意更改其實際控制量，造成生成事故。

參考文獻