钢铁行业

钢铁行业解决方案

　　我国钢铁行业工业控制系统PLC控制器、工控软件等重要设备与技术都还依赖于国外产品，关键数据、敏感信息泄漏风险巨大，在从传统封闭网络向开放网络过渡的过程中，将面临更多的安全攻击和威胁。钢铁行业一直是工业自动化和信息化的先行者，工业控制系统作为生产控制的“大脑”，是行业自动化水平不断提升的基础支撑。
　　

　　基于钢铁行业自动化控制系统网络特征和安全现状，本方案遵循“分层分区”的策略进行总体设计，工控网络安全按照基础自动化(L1)、过程自动化(L2)、制造执行系统(L3)进行纵向分层保护，同时按照高炉、炼钢、轧钢等工艺单元进行横向分区域保护。自动化控制系统安全设计要求按照L1、L2、L3、外部网络进行网络隔离划分，做好内部防护的同时，加强边界攻击防御。
　　L1 基础自动化安全防护
　　L1 主要通过部署工业防火墙、工业入侵检测系统硬件产品，以及杀毒软件、主机安全防护软件产品，实现安全管控。在PLC与各计算机系统之间部署工业防火墙，管控网络通信对象，降低计划外设备非法访问风险；在L1网络与上层网络、其他区域网络之间部署工业防火墙，实现分层分区安全隔离和管控；在核心交换机旁路部署工业入侵检测系统，通过捕获经过交换机的所有数据包，进行基于规则的解析检测，及时发现异常并报警；在计算机系统中部署主机安全防护软件和杀毒软件，杀毒软件可以发挥基本的病毒防护和清除功能。
　　L2 过程自动化安全防护
　　L2 主要通过部署通用防火墙、通用入侵检测系统硬件产品，以及杀毒软件、主机安全防护软件产品，实现安全管控。在L2网络与上层网络、其他区域网络之间部署通用防火墙，提升网络边界安全水平，实现分层分区安全隔离和管控；在核心交换机旁路部署通用入侵检测系统，通过捕获经过交换机的所有数据包，进行基于规则的解析检测，完成木马、蠕虫、缓冲区溢出攻击、扫描探测等通用入侵检测；在计算机系统中部署主机安全防护软件和杀毒软件，主机安全防护软件监控主机运行程序，并且管理和限制外设使用情况，降低安全风险。
　　L3 制造执行系统安全防护
　　L3 主要通过部署VPN网关、通用入侵检测系统、工控漏洞扫描系统、工控安全管理平台硬件产品，以及杀毒软件、主机安全防护软件产品，实现安全管控。在L3网络与外部网络、其他区域网络之间部署VPN网关，保障网络边界安全；在核心交换机旁路部署通用入侵检测系统，实现通用威胁入侵检测，及时发现异常并报警；部署工控漏洞扫描系统，负责计算机、服务器的系统漏洞扫描，及时发现漏洞并提供分析报告；部署工控安全管理平台，负责将所有网络交换机、防火墙、安全检测设备，以及计算机、服务器等硬件资源的运行信息进行统一收集和综合分析，形成工业控制系统统一信息安全管理系统，帮助管理和运维人员更加宏观、全面地了解设备运行情况、安全状态等信息，及时掌握、报告和发布安全态势；在计算机系统中部署主机安全防护软件和杀毒软件，主机安全防护软件监控主机运行程序，并且管理和限制外设使用情况，降低安全风险。
　　

　　以分层分区为原则进行工控安全设计，以主动防范、及时发现、快速处理为目标，来提升工控安全防御能力。
　　各层次、各区域之间有效隔离防护，系统安全漏洞扫描和修复，工控异常监测及网络流分析诊断，违规操作监测和预防。