钢铁行业是我国的基础性产业，更是国民经济的支柱产业。但是目前，看似平稳运行的钢铁企业工业控制网络中仍存在着许多安全隐患待以解决。

一、行业背景分析

在冶炼工业自动化过程中，连铸机结晶器液面控制器、高炉控制系统、炼钢智能控制系统、轧薄带智能控制系统、高精度板厚控制器、SCADA系统以及DCS分散控制系统越来越广泛地应用在冶炼行业的生产控制过程中；同时MES、CIMS、ERP也被广泛应用于企业管理过程中，使企业的生产管理产生了革命化的转变。

二、钢铁行业风险分析

（1）钢铁企业工控系统MES与工控网络互联带来的安全风险：在钢铁实际应用环境中，控制网络都是“敞开的”，比如与MES、办公网的数据交互，且在各控制系统和区域边界缺乏有效的安全审计、入侵监控等技术和机制，无法实时发现和应对来自系统内部和外部的非法访问和恶意攻击，尤其是基于OPC、Modbus、WEB端访问等开放通信协议的工业控制网络，黑客一旦控制该系统中的某一网络节点，就可能导致生产运行的瘫痪。

（2）通信协议自身缺陷：钢铁生产高炉控制网（DCS）、工控系统组态软件、PLC嵌入式系统等在设计过程中主要考虑可用性、实时性，对安全性考

虑不足。

（3）操作系统漏洞：大部分生产高炉DCS、PLC控制系统的工程师站、操作员站及服务器在正常运行的系统中很难安装相关补丁，存在被攻击、被入侵的可能。

三、解决方案设计

1）数据采集+物理单向上传

在数据采集工作站到MES边界处，推荐部署安盟华御工业数采单向光闸，实现分层级的高安全隔离，抵御已知与未知威胁。工业数采单向光闸除能主动采集OPC Server数据外，并能把采集后的数据进行物理纯单向上传MES系统，做到数据零反馈，无任何数据返回工控网络中。另外，产品支持OPC、Modbus、DNP3、IEC104、IEC61850、MMS、S7 等。

2）工业控制网络边界防护

推荐部署安盟华御工业防火墙于数采工作站到工控网络边界处，通过基于工业协议的识别对访问行为进行访问控制；通过对访问内容识别与设定的基于寄存器的安全策略比对，确认对报文的通过或阻断，当发生异常报文（超过设定阈值）后进行报警处理。

3）网络安全审计

在安全管理中心部署安盟华御工业安全审计系统及入侵检测系统，快速识别出办公网与工控系统中非法操作、异常事件、外部攻击等，并实时报警。

4）主机安全防护

在工程师站、操作员站部署安盟华御工控主机卫士，防止用户的违规和误操作、阻止不明程序，授权移动存储介质访问权限等，有效提高工控主机的深度“免疫”能力。

5）安全运维

推荐部署安盟华御堡垒机，实现运维管理员和第三方服务人员的系统运维操作管理和审计。对运维人员的系统登录授权、操作指令限制、操作全程录屏审计等功能。

6）安全管理

在安全管理中心，推荐部署安盟华御安全管理平台，完成设备实时信息收集，实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析，强大的一体化安全管控功能界面，多视角、多层次的管理与态势感知视图。

典型用户（部分）

河钢集团宣化钢铁、陕西龙门钢铁集团、内蒙古包头市钢管厂、中石油宝世顺宝鸡钢管厂、中石油宝世顺辽宁钢管厂、中石油宝世顺资阳钢管厂、湖北省荆州市沙市钢管厂、中石油宝世威石油钢管制造有限公司

本文由站长之家用户投稿，未经站长之家同意，严禁转载。如广大用户朋友，发现稿件存在不实报道，欢迎读者反馈、纠正、举报问题（反馈入口）。

免责声明：本文为用户投稿的文章，站长之家发布此文仅为传递信息，不代表站长之家赞同其观点，不对对内容真实性负责，仅供用户参考之用，不构成任何投资、使用建议。请读者自行核实真实性，以及可能存在的风险，任何后果均由读者自行承担。