不容乐观！全球钢铁行业面临攻击风险

钢铁行业作为国民经济的支柱性产业，一旦遭受攻击破坏影响范围不仅是单个企业，更可能影响整个产业链或生态，甚至关乎经济发展和社会稳定乃至国家安全。近年全球范围内，一系列安全事件均表明网络攻击非常普遍，而公开的事件仅是冰山一角，钢铁行业已成为信息安全乃至国家安全的新战场，工业安全保障体系建设的重要性越发凸显。

6月27日伊朗国有企业胡齐斯坦钢铁公司在遭受网络攻击后被迫停止生产，这是近年来针对该国战略工业部门的最大规模此类攻击之一。专家已确定由于在“网络攻击”后“存在技术问题”，该工厂必须停工直至接到进一步的通知，该公司的网站也在当天关闭，这一事件再次为全球钢铁行业敲醒了警钟！为了有效、高效地免受网络攻击，钢铁企业必须超越IT安全，结合行业场景特点，实现整个工业系统层面网络安全防护的提升，真正做到筑牢“钢铁防线”。

图1 某匿名黑客团伙发布的胡齐斯坦钢铁厂车间闭路电视画面

02

钢铁行业网络安全风险分析

从上述的安全事件我们得知，钢铁行业作为国家关键信息基础设施的重要组成部分，在获得巨大发展空间的同时,工控系统网络安全问题变得日益严峻。

钢铁企业是典型的生产、资金、技术密集型企业，其生产连续性强，生产系统耦合性高，如何有效的防范来自内部或外部攻击，做好工控系统网络安全的防护工作，确保生产系统的稳定可靠，是钢铁行业工控系统网络安全所亟待解决的问题。

图2 钢铁行业生产工艺流程示意图

从钢铁企业生产工艺流程示意图（图2）可以看出，钢铁冶炼是将铁矿石经过一系列工序冶炼成钢并轧制成钢材的过程，典型工艺流程一般分为选矿、烧结、高炉炼铁、电炉或转炉炼钢、连铸、轧钢等几个工艺，生产控制系统主要以PLC和DCS为主，工控主机操作系统以Windows系统居多。

在炼铁生产工艺过程中通过PLC控制器实现对喷煤、皮带传输、送风的控制；在炼钢生产工艺过程中通过PLC控制器实现对铁液预处理、转炉、电弧炉以及炉外精炼的控制；在连铸生产工艺过程中通过DCS、PLC控制系统实现对钢水预处理、液面控制、拉坯以及切割的控制；在轧钢生产工艺过程中通过PLC控制器实现板型控制、温度控制以及仪器仪表的控制；在上述各个工艺环节中PLC控制器等存在被非法操控的风险，导致停工、停产，更有甚者造成铁水、钢水等高温液体的外泄。

在伊朗胡齐斯坦钢铁厂的安全事件中，据流露出的视频分析显示（如下图3）钢坯生产线上的一台重型机械发生故障并引发大火，据行业内的专业人士分析，此事故可能是钢水包不受控制一直外溢，导致全部钢水流出。由此可见，针对钢铁企业的各流程工艺环境，一旦底层控制系统被非法攻击，可能会产生巨大的安全事故，甚至影响人身安全。

图3 伊朗胡齐斯坦钢铁厂安全事件流露视频画面

那对于钢铁行业工业控制系统来说，产生上述的安全风险因素是多方面的，如工控设备漏洞或后门、防护手段落后、工控系统自身脆弱性、缺少安全管理机制、安全意识薄弱等。结合我国钢铁企业工控网络的现状和形势，总结有以下六点比较突出的问题：

1.从威胁角度看

在两化融合和数字化转型背景下，越来越多的钢铁企业工控资产可能非计划性的暴露在互联网上，黑客或攻击者开始有组织、有目的地进行针对性的扫描探测和攻击，而且部分病毒、代码由专业人员编写，针对性强，几乎无法通过单一安全产品进行抵御。

2.从防护手段看

钢铁企业部分工业控制系统在防护、监测、审计等方面的相关防护措施不足（边界无防护，网络无监测审计，主机、服务器无防护等），而且钢铁企业厂区大，分布广，安全措施无法覆盖到所有区域，一旦某个生产区域感染病毒或者受到攻击后，很有可能蔓延至整个工控网络，造成严重的生产事故。

3.从系统软件看

钢铁行业大多数工业控制系统在设计之初，由于资源受限等原因普遍缺乏安全性设计，各类编程软件、组态软件以及工业协议等，缺少完整性、身份认证等安全措施，另外上位机多数采用通用的Windows操作系统，其自身存在很多安全漏洞，容易被攻击者利用，造成安全事故。

4.从运维角度看

钢铁行业工业控制系统技术运维人员在日常维护过程中，缺乏足够的安全意识和安全操作规程，而且存在第三方远程运维场景（部分生产工艺过程中需要自动化系统厂商对系统进行远程调试）、移动存储介质滥用、电脑直接接入生产网络进行调试等的问题，很可能因违规运维行为造成工业控制系统停机事故。

5.从底层设备看

钢铁企业现场的PLC、DCS等设备、控制系统和工业交换机都会存在安全隐患，自身安全防护能力不足，而且控制系统、设备种类繁多（如西门子S7系列PLC、施耐德DCS系统、ABB DCS系统等）、设备使用周期长以及系统补丁兼容性差等现实问题，难以及时处理和解决，直接影响工业控制系统安全性。

6.从预警角度看

钢铁企业缺乏对工业控制系统资产安全状态全面监控的能力，对安全威胁无法及时预警，部署在工业网络环境中的各类设备主要是以单一产品进行防护的形式，无法做到有机的整合和关联，导致出现安全问题后无法快速响应。

03

威努特钢铁行业工控网络安全防护

最佳实践

随着外部网络安全形势愈发严峻，同时国内工控安全防护标准体系日趋完善，威努特联合某全国大型的螺纹钢生产基地企业对工控系统进行深入的调研和风险分析，结合该企业工控系统网络安全的现状，通过对工控网络流量、工控主机状态等进行监测，收集并分析工控网络数据及软件运行状态，建立工控系统安全基线和模型，构筑该企业集控中心工控系统的整体安全防护体系。

1.解决方案

某集团集控中心整体工业控制系统网络安全建设拓扑示意如下图：

图4 某集团集控中心工业控制系统网络安全建设示意图

• 
  

• 在集控中心机房工控网、调度网、信息网网络边界处，烧结、高炉、球团等不同厂区的工控网络边界处利用工业互联防火墙开启访问控制、入侵防御和对OPC、S7、Modbus等工控协议的深度解析策略，解决来自外部网络非授权访问的问题，强化边界访问控制的能力，同时提高该单位工控系统在应对攻击、威胁、安全事件等方面的能力；

• 在工控网核心交换区旁利用入侵检测系统对来自网络内外的蠕虫、木马、后门、间谍软件、Web攻击等进行实时检测和审计预警，提升网络的威胁检测能力，补足工控网络无监测审计措施的短板；

• 在工程师站、操作员站、服务器上利用工控主机卫士的文件白名单、安全基线和外设管控的能力，实现对恶意代码的有效防范，降低各类编程软件、组态软件等带来的安全隐患，提升工控主机的安全防护等级；

• 建立安全管理中心，利用统一安全管理平台、日志审计和安全运维管理系统等提供网络安全管理的统一入口，实现工控资产全面监控、安全威胁及时预警、安全设备集中管控、安全事件集中采集和关联分析，将工控资产家底进行整合和关联，及时发现安全问题并进行快速响应，提高该单位工控系统整体安全运营能力。

• 
  

2.用户价值

• 提升工业控制系统在防护、监测、审计等方面的防护能力，阻止勒索、蠕虫等病毒、木马、恶意程序在生产区域之间的传播和扩散，防范工作站、服务器对生产控制系统恶意操作、违规指令的下发，防止工控安全事件的发生，确保工控系统、网络、设备的安全性、稳定性和可靠性；

• 弥补工业控制系统在设计之初缺乏安全性以及各类编程软件、组态软件等缺少安全措施的短板，及时发现工控网络中的漏洞并进行主动防御，管理操作人员、运维人员对工控设备的各类行为，避免越权操作和误操作造成生产事故；

• 建立安全管理中心，理清工业资产家底，集中管控安全策略，监测网络运行态势，将工控网络中的各类设备进行有机的整合和关联，对安全威胁做到及时预警，对安全事件做到快速响应，提高安全运营能力。

• 04

   结束语

在“两化融合”的行业发展背景下，为提高生产管理运行效率、减少人力投入及能源消耗，国内众多钢铁企业不断推进智能化建设，尤其是在工业控制系统方面，更是大量投入资金人力，以实现企业的智能化升级转型。从近期国内外的安全形势上看，目前针对工业企业的网络安全建设工作仍需加强，威努特一直遵循捍卫工控网络安全的使命，目前基于白环境纵深安全防护技术体系已成功为近30家钢铁生产企业提供安全建设服务，避免出现类似于胡齐斯坦钢铁公司所遭受的网络攻击事件，助力钢铁制造企业顺利完成数字化转型的目标。