钢铁企业工控安全分析及实践分享，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Python_0011/article/details/144781895

一、钢铁行业工控安全背景介绍

钢铁企业是典型的生产、资金、技术密集型企业，其生产连续性强，生产系统耦合性高，加之近年我国众多钢铁企业不断推进智能化建设，其主要应用的工业控制系统PCS、DCS、 PLC、SCADA等，越来越注重系统开放性设计，且多采用第三方集成，操作端PC化等。其结果是提高了生产管理运行效率、减少了人力投入及能源消耗，但与此同时，其面临的网络风险也越来越严峻。如何有效地防范来自内部或外部的攻击，做好工控系统网络安全的防护工作，确保生产系统的稳定可靠，是钢铁行业工控系统信息安全亟待解决的问题。

本文以钢铁行业安全现状为背景，结合某钢铁企业现存安全问题，制定了具备前瞻性、可落地性的工业网络安全防御解决方案。

二、钢铁企业工控网络架构

钢铁企业生产信息系统主要包括（如图1所示）：

L0(现场设备层)：包括现场采集设备、PLC、DCS、智能机器人等工业控制系统，工业控制系统涵盖了西门子、和利时等国际国内的知名品牌产品；

L1(现场控制层)：各生产单元生产过程控制系统、控制模型等；

L2(过程控制层)：主要包括过程控制服务器，用于对生产过程中的数据进行采集和监控；

L3(生产管理层)：负责生产计划编排、生产指令存储管理、质量控制计划管理等；

L4(企业资源层)：主要包括办公网络、ERP系统、对外发布业务系统等。

图1 钢铁企业网络架构图

L1及以下层级统称厂级工控系统，L2及以上层级称公司信息管理系统，承载工控系统的网络为各厂工控网络，实现信息系统交互的网络为公司信息主干网。各层级相互协调，完成从炼焦到轧制等一系列连续的生产控制任务，在生产过程中如果遭受恶意攻击、发生病毒感染和扩散，就会使整改生产流程中断，工控系统的控制组件被迫停止运转，造成严重的生产故障和巨大的经济损失。

三、钢铁企业工控网络现状以及

存在的问题

随着“智慧制造”的推进，要求生产业务相关网络之间实现互联互通，打破了原有相对封闭的工控网络管理模式，通过对近年发生的工控安全事件分析发现70%以上都是由于勒索病毒、漏洞利用或网络攻击导致，随着网络架构逐步向“高可用、扁平化”趋势发展，基于网络传播的各种安全威胁将带来重大安全隐患。

3.1

工控主机安全问题

PC与Windows的技术架构现已成为控制系统上位机的主流，上位机是实现与MES通信的主要网络结点，因此其操作系统的漏洞就成为了整个控制网络信息安全中的一个短板。如今很多工控组态软件仍在Windows XP系统运行，Windows XP有大量漏洞，典型的如IPC漏洞、RPC 漏洞、Unicode 漏洞、IDA&IDQ 缓冲区溢出漏洞、Printer 溢出漏洞、Cookie 漏洞等，恶意代码通过这些漏洞，可以获得Windows XP操作站的完全控制权，甚至可以为所欲为。而漏洞的修复需要升级操作系统版本，系统版本升级会导致主机运行速度降低，且漏洞修复后可能造成控制系统应用或通信异常。

一些安全厂家推出的杀毒软件基于黑名单方式，经过大量的实践证明，终端采用黑名单的防护方式并不适用工控网络，主要存在以下三点弊端：

一、需定期对病毒库进行更新，但频繁的网络外链会增加较多未知风险；

二、杀毒软件对无法识别的工控系统程序，存在误杀风险；

三、工控主机进行定期病毒查杀占用系统资源，影响工控主机的性能，导致生产作业线运行状态不稳定。

3.2

移动存储介质管控缺乏技术手段

目前工控系统终端USB端口的管控，主要通过修改系统注册表禁用空闲USB端口，主机的外设接口张贴密封条方式进行管控，但现场人员存在工控安全意识不强，仍使用未经过授权移动存储介质或其他USB设备进行报表下载、数据拷贝等情况。缺乏必要的技术手段控制外部存储介质的非授权接入，利用未授权的移动存储介质将恶意代码渗透进入工业控制系统的安全事件屡见不鲜。威努特一线人员在钢铁企业现场发现多数工控主机存在带毒运行的状态。

3.3

网络边界风险

随着两化融合的推进，各类自动化、智能化项目的实施，工控网、信息网之间的通讯越来越多，边界越来越模糊，为实现现场实时数据的高效采集，需要工控网与信息网、主干网建立广范的连接，部分工控设备甚至通过无线网卡接入互联网络，违规接入工控网情况屡见不鲜，例如表检仪、孔洞仪等测量系统、区域数据采集设备等，为实现不同网段间的数据共享及信息主干网的业务发布，配备有多块网卡和IP地址，接入工控网络未经过审核、评估，容易导致原有的网络边界防线失效，一旦某台服务器感染恶意代码或遭受黑客攻击，可能会导致扩散到其他工控主机被感染或被攻击。

3.4

漏洞利用问题难以根除

2023年在钢铁企业发生的勒索病毒事件，多数起因是远程调试设备导致，但由于生产或操作需要，共享服务无法弃用。如果工控主机的445、139端口被封锁，可能造成组态软件无法正常运行，系统运行终断，而Wannacry勒索病毒正是利用了微软 MS17-010 漏洞并通过445端口传播；现场技术人员为提高故障处理效率，“向日葵”等远程应用软件仍在工控系统中使用，未遵循“最小原则”，开启139、445、3389等端口、FTP、Telnet等非业务必须的服务及Windows远程桌面服务。

四、威努特钢铁企业工控安全

建设方案

图2 钢铁企业工控网络安全建设总设计图

4.1

工控系统边界安全

部署工业防火墙，通过工业防火墙的工控协议深度解析及“白名单”安全管理机制，充分保护重要工控设备的信息安全，提升整个工业控制系统的安全防护等级。确保过程控制系统与现场控制设备之间、HMI（人机交互）和现场控制设备之间通讯与控制的合法性，有效阻止利用工控协议进行漏洞攻击，并同步管控网络非法入侵、恶意访问的威胁。

图3 工业防火墙白名单三重固化

4.2

工控系统网络流量监控

在生产网的关键节点交换机端口旁路部署工控安全监测与审计系统，为控制系统网络提供事前监控、事中记录、事后审计。对各车间工控网络中的控制系统、主站系统等行为进行审计，以保证触发审计系统的事件存储在审计系统内，并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作，且能够在必要时从记录中抽取所需要的资料。

与防火墙相比，安全监测与审计主要侧重于事后分析，即当发生安全事故或者发生违反安全策略的行为之后，通过检查、分析、比较审计系统收集的数据，从中发现违反安全策略（恶意接入、流量监控等）的行为。

图4 监测与审计功能全景图

4.3

终端安全加固

由于传统杀毒软件的“黑名单”方式严重依赖病毒库，并不适用钢铁企业工控网络。应采用更适用于工业网络环境的工控主机卫士，其颠覆了传统杀毒软件的误杀、误报、误拦截，采用与其相反的轻量级“白名单”机制，可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散。

图5 主机卫士功能全景

4.4

移动介质管控

部署移动介质安监站设备，实现工控网络终端外设统一管理，并同步存储外设的接入控制与内容检查，存储外设扫描通过内置防病毒引擎及病毒特征库，实现对存储外设内的文件进行病毒特征扫描。存储外设杀毒，通过内置防病毒引擎对扫描出来的染毒文件进行清除。

图6 移动介质管控方案

4.5

APT防护

提高已知、未知威胁攻击防御能力，在生产控制层与生产管理层网络边界处部署高级威胁检测系统，高级威胁检测系统集威胁情报、下一代入侵检测、异常检测、病毒木马检测、恶意代码基因图谱检测、未知威胁沙箱行为检测、恶意流量人工智能检测等多种技术于一体，对网络中的南北流量/东西流量进行全面深度威胁检测与溯源分析。产品基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联，还原攻击事件，及时告警，溯源威胁，对检测及防御APT攻击起到关键作用。

图7 高级威胁检测系统

4.6

远程运维管控

“智慧制造”建设带来大量远程运维需求，其接入工控系统需要实现安全访问、权限管理及安全审计要求。运维人员通过VPN设备连接至主干网内，登录堡垒机进行认证授权，基于堡垒机操作录屏功能实现运程运维操作审计功能。通过堡垒机发布中心平台连接至厂部远程通信服务器，厂部设备管理员可以通过远程通信服务器完成远程接入人员的账户创建、删除、禁止以及用户授权等操作，并可记录和追溯设备与人员访问日志，支持多人同时访问多个设备，默认封闭远程通信服务器访问端口，网络管理员可按需进行配置管理，保障远程访问安全。

图8 安全运维管理系统

4.7

安全管理中心建设

部署工业安全态势感知平台产品，对所有工控系统网络安全状态进行监测并通过可视化展示，综合安全态势、资产态势、脆弱性态势、网络攻击态势、运行态势、安全事件态势等，实现安全风险可视化，形成一体化工业安全运营分析中心。

图9 态势感知可视化界面

五、最佳实践和方案收益

图10 国内某钢铁企业建设方案

国内某生产规模近6000万吨的大型企业集团，因网络安全设备无法解析S7协议，多次出现控制器被蓄意破坏、工控系统非法停机等安全问题，客户急需构建整体工业控制网络安全防护体系，以确保工业控制业务系统的安全稳定运行。

了解到客户的需求之后，威努特凭借专业的方案设计和丰富的现场经验，通过多轮的技术交流及材料输出，成功在多家友商中脱颖而出。在炼钢厂、炼铁厂、轧钢高产厂、棒线厂、焦化厂等部署工业防火墙系统，工控安全监测与审计系统等设备，通过100+以上的工业协议检出能力、1000+以上的工业协议功能码识别能力，实现指令级的超精细管控。解决现有安全设备因无法解析、管控S7协议，从而导致的控制器被蓄意破坏、系统非法停机等安全问题；部署主机卫士实现对黑客、病毒、恶意代码等高风险抵御，阻止内部/外部人员的非法访问等安全威胁；在生产管理层部署统一安全管理平台，实现对部署在各厂区工业防火墙的集中管控及维护，解决因厂区过大、往返设备现场运维不便的问题，极大降低了运维成本，提升了运维效率。

计算机热门就业方向

从目前市场情况来讲，网络安全的就业前景是非常不错的，2022年的统计数据，网络安全专业的缺口已经增长到140万人。

1、就业岗位多，发展方向广

①就业环境：网络安全可以在计算机科学与技术、信息通信、电子商务、互联网金融、电子政务等领域从事相关工作，还可以在政府机关事业单位、银行、保险、证券等金融机构，电信、传媒等行业从事相关工作。

②就业岗位：网络安全工程师、渗透测试工程师、代码审计工程师、等级保护工程师、安全运维工程师、安全运营工程师、安全服务工程师等。

2、薪资待遇可观，提升较快

作为一个新兴行业，网络安全人才的市场需求远远大于供给，企业想真正招到人才，就必须在薪酬福利上有足够的竞争优势。因此，网络安全领域的薪资近年来也呈现稳步增长的态势。

根据工信部发布的《网络安全产业人才发展报告》显示，网络安全人才平均年薪为21.28万元，整体薪资水平较高。数据显示，网络安全人才年薪主要集中在10-20万元，占比40.62%，与往年持平；其次是20-30万元，占比为38.43%，较2020年占比19.48%有显著提高；而年薪在10万以下人才占比由2020年的19.74%下降至2022年的9.08%。由此可见，网络安全行业作为新兴赛道，尚在快速发展阶段，从业人员薪资水平提升较快，也显示出网络安全行业相对更重视人才留存。

3、职业发展空间大

从网络安全专业学习的主要内容来看，包括linux运维、Python开发、渗透测试、代码审计、等级保护、应急响应、风险评估等。可见该网络安全专业的技术性很强，具有鲜明的专业特点，是一门能够学到真正技术的工科类专业之一。

因此，在职业发展上，网络安全专业除了就业岗位众多之外，由于专业技术性较强，在工作单位将处于技术核心骨干地位，职业发展空间很大。

盘点网络安全的岗位汇总

0****1

岗位一：渗透测试工程师

**岗位释义：**模拟黑客攻击，利用黑客技术，挖掘漏洞，提出修复建议。有些大厂，例如奇安信，甚至会将渗透岗位分为红蓝两方，对候选人的技术要求比较高，大部分刚入行的新人，也将渗透岗位作为后期的发展目标。

岗位职责：

负责对客户网络、系统、应用进行渗透测试、安全评估和安全加固
在出现网络攻击或安全事件时，提供应急响应服务，帮助用户恢复系统及调查取证
针对客户网络架构，建议合理的网络安全解决方案

**工作难度：**5颗星

薪资现状：

0****2

岗位二：安全运维工程师

**岗位释义：**维护网络系统的正常、安全运行，如果受到黑客攻击，则需要进行应急响应和入侵排查安全加固。很多刚毕业入行的新人，基本都从运维做起。

岗位职责：

日常终端维护，操作系统安装加固
完成网络安全设备故障排查、处置
完成相关管理制度文档的编写和提交

**工作难度：**3颗星

薪资现状：

0****3

岗位三：安全运营工程师

**岗位释义：**在运维的基础上，高效可持续地不断提升企业的安全防御能力。

岗位职责：

负责监控、扫描等各类安全策略的制定和优化
负责信息安全事件的应急响应
参与网络安全评估工作、安全加固工作和监控等等

**工作难度：**3颗星

薪资现状：

0****4

岗位四：安全开发工程师

**岗位释义：**顾名思义，对安全产品及平台、策略等进行开发工作。

岗位职责：

负责网络安全产品的系统技术设计、代码开发与实现、单元测试、静态检查、本地构建等工作；
参与公司其他产品的系统技术设计以及研发工作。

**工作难度：**5颗星

薪资现状：

0****5

岗位五：等保测评工程师

**岗位释义：**等保测评也叫等级保护测评，主要负责开展信息安全等级保护测评、信息安全风险评估、应急响应、信息安全咨询等工作。

岗位职责：

网络安全等级保护测评项目实施；
Web渗透测试、操作系统安全加固等安全项目实施配合

**工作难度：**3颗星

薪资现状：

0****6

岗位六：安全研究工程师

**岗位释义：**网络安全领域的研究人才。

岗位职责：

跟踪和分析国内外安全事件、发展趋势和解决方案
承担或参与创新型课题研究
参与项目方案设计，组织推动项目落实，完成研究内容、
负责网络安全关键技术攻关和安全工具研发

**工作难度：**5颗星

薪资现状：

0****7

岗位七：漏洞挖掘工程师

**岗位释义：**主要从事逆向、软件分析、漏洞挖掘工作

岗位职责：

通过模拟实施特定方法所获得的结果，评估计算机网络系统安全状况；
通过特定技术的实施，寻找网络安全漏洞，发现但不利用漏洞。

**工作难度：**5颗星

薪资现状：

0****8

岗位八：安全管理工程师

**岗位释义：**负责信息安全相关流程、规范、标准的制定和评审，负责公司整体安全体系建设。

岗位职责：

全业务系统网络安全技术体系的规划和建设，优化网络安全架构；
负责网络安全相关流程、规范、标准的指定和评审，高效处置突发事件；
负责网络安全防护系统的建设，提升网络安全保障水平；

**工作难度：**4颗星

0****9

岗位九：应急响应工程师

**岗位释义：**主要负责信息安全事件应急响应、攻击溯源、取证分析工作，参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。

岗位职责：

负责信息安全事件应急响应、攻击溯源、取证分析工作；
对安全事件的应急处置进行经验总结，开展应急响应培训；
负责各业务系统的上线前安全测试（黑盒白盒）及渗透测试工作；
参与应急响应、攻击溯源、取证分析技术的研究，提升整体重大信息安全事件应急处置能力。
跟踪国内外安全热点事件、主流安全漏洞、威胁情报、黑灰产动态并进行分析研究，形成应对方案；

**工作难度：**4颗星

薪酬现状：

岗位十：数据安全工程师

**岗位释义：**主要对公司的数据安全的日常维护和管理工作，确保公司数据安全。

岗位职责：

负责数据安全日常维护和管理工作，包括数据安全审核、数据安全事件的监控与响应、安全合规的审计与调查等；
负责数据安全标准规范的制定和管理，包括数据安全需求识别、风险分析、数据分级分类、数据脱敏、数据流转、泄露防护、权限管控等；推进相关安全管控策略在平台落地、执行。
负责开展与数据全生命周期管理有关的各项数据安全工作;
负责跨平台、跨地域数据传输、交互等数据安全方案制定与落地
定期组织开展数据安全自评工作，发现潜在数据安全风险，制定相应的管控措施，并推进落实整改。

**工作难度：**4颗星

薪酬现状：