此篇文章发布距今已超过58天,您需要注意文章的内容或图片是否可用!
钢铁企业是典型的生产、资金、技术密集型企业,自动化程度极高,其生产连续性强,生产系统耦合性高,如何有效的防范来自内部或外部攻击,做好工控系统网络安全的防护工作,确保生产系统的稳定可靠,是钢铁行业工控系统信息安全所亟待解决的问题。本文就钢铁企业的工控系统基础网络和工控网络安全进行详细介绍,旨在全面提升钢铁企业数字化建设过程中配套工业网络的安全可靠性,满足国家等级保护的要求。钢铁冶炼是将铁矿石经过一系列工序冶炼成钢并轧制成钢材的过程,典型工艺流程一般分为选矿、烧结、高炉炼铁、电炉或转炉炼钢、连铸、轧钢等几个工艺,生产控制系统主要以PLC和DCS为主。具体业务流程如下:在炼铁生产工艺过程中通过PLC控制器实现对喷煤、皮带传输、送风的控制;在炼钢生产工艺过程中通过PLC控制器实现对铁液预处理、转炉、电弧炉以及炉外精炼的控制;在连铸生产工艺过程中通过DCS、PLC控制系统实现对钢水预处理、液面控制、拉坯以及切割的控制;在轧钢生产工艺过程中通过PLC控制器实现板型控制、温度控制以及仪器仪表的控制。此外,为了支撑这一过程,钢厂的工业生产流程还包括了石灰白灰制造,发电,煤的焦化提纯,空气压缩,制氧等一系列能源、辅料以及高价值副产品的生产。钢铁厂基本上每个工业流程均是由以PLC+工业PC+工业通讯网络构成的自动化控制系统。其中PLC与上位机通过工业交换机进行数据交换,PLC设备通过环网交换机互联到接入交换机,操作员站和工程师站与接入交换机互联;PLC设备采集的数据通过汇聚交换机传送到数采通讯服务器,数采通讯服务器与MES生产执行系统或者数据采集服务器系统互通。生产自动化在钢铁企业得到普遍应用,炼铁炼钢工序单机单炉管理系统不断优化升级,连铸连轧工序轧制速度和精准度得到明显提升。大型企业信息化水平快速提升,MES生产制造执行系统、ERP经营管理系统以及能源管控中心、环保排放控制一体化系统、OA协同管理系统以及质量跟踪管理系统、电子交易中心、客商平台管理系统等信息化构架初步确立,两化融合深入推进。重点企业数字化建设加速推进,数字传感设备在测温取样等工序布设,数字化车间建设取得一定进展,部分搬迁企业着手规划建设一流数字化典范工厂,头部企业如宝武、河钢、首钢积极开展智能车间、智能工厂试点示范初显成效。虽然钢铁行业在基础自动化、过程自动化、经营管理信息化等方面取得了显著进展,为钢铁行业数字化、智能化奠定了较好基础,但也存在诸多困难和问题。问题主要如下:1) 设备自动化协同性不足。设备自动化设计主要考虑设备内部需求,对外相对封闭,特别是部分高端设备由国外供应商提供,存在核心技术保护和扩展性、兼容性受限等制约因素,整个生产过程存在许多“信息孤岛”。2) 企业信息化集成性不足。企业信息化建设和应用水平参差不齐,部分企业虽然在采购、生产、销售、研发等过程中普遍采用信息化技术,但各个环节信息资源难以实现纵向集成,导致企业整体管理水平难以提升。3) 智能化应用处在初级阶段。钢铁工作总体处于“工业3.0”普及阶段,对以数字化智能化为主体的“工业4.0”系统性复杂性认识不足,片面把高端数控设备自动化理解为智能化,相应配套软件系统开发利用滞后。4) 数字化转型存在诸多制约因素。产业数字化起步较晚,缺乏权威的数据标准,数据格式差异大,兼容性不足。数据安全保障能力不足,企业存有较大顾虑。创新能力较低,信息基础设施和制造业数字化转型的基础相对薄弱。钢铁行业数字化转型在面临诸多机遇的同时,也存在巨大挑战,既要克服钢铁行业制造过程流程长、工序多、装备体量大等困难,又要突破关键核心技术的瓶颈制约,特别是要打破跨国公司在高端智能化方面的技术垄断,时间紧迫、任务繁重,需要统筹规划,强力推进。1) 钢铁去产能任务接近完成,钢铁行业逐步由规模性调整进入质量效益性调整的新阶段。钢铁企业间的竞争不再单纯是成本和价格的竞争,更是效率、质量和服务的竞争,特别是受新冠疫情影响,电商网购、在线服务等新业态加快发展,钢铁行业数字化转型迎来新机遇。2) 国家和省份出台系列支持数字经济发展政策和措施,有利于钢铁行业推动数字化转型的进程。3) 钢铁行业退城搬迁、转型升级等重大项目的实施,便于生产设备、工艺流程数字化再造,为构建世界一流的信息化、数字化、智能化应用平台提供了新契机。4) 用户个性化需求日益增长,钢铁行业“大规模、标准化”固有本质向“小批量、多品种”新需求转变,数字化转型将成为重要的途径依赖。5) 新基建启动实施,信息智能设施加快建设,5G、AI、云计算等信息智能技术对传统钢铁行业的数字化转型升级提供了新的技术支撑。新数字经济下的钢铁行业要求加快数字化转型进程,数据资源得到广泛采集、数据应用得以示范推广、数据安全保障能力明显提升,要基本形成以大数据、数字化车间、全流程智能制造、行业云平台为支撑的钢铁数字化发展新格局,提供劳动生产率。一是建立和完善标准体系,加快企业生产工序数字化改造,主体装备同步配备数据采集、存储、分析系统,头部企业建立数据中心,推动数字化集成性应用在特定场景得以实现。二是MES、ERP系统得到广泛应用,行业两化融合指数得到明显提升。三是高速宽带、无缝链接等新一代信息网络实现钢铁企业全覆盖,数据安全保障能力明显提升,优化钢铁企业数据交易、结算、交付、安全保障环境。基于钢铁厂工控系统对工业网络的低时延和高可靠要求,结合钢铁厂内部的物理环境现状,威努特通过创新的网络通信技术,为钢铁企业提供智能化、高效率的解决方案,确保钢铁厂区生产网络的安全与畅通。
钢铁厂工业网络通常由核心、汇聚和接入层三层构成。不同的车间依据各自业务特点,终端数量等实际需求进行设计。以烧结、轧钢和EMS能源管理网络为例简要介绍典型组网方案。核心层是网络架构的中心,负责高速数据传输和关键业务的路由,核心交换机推荐采用威努特WIS6300-H系列交换机。以WIS6300-H-4X8GS4C20G核心交换机为例,该系列交换机具有20个千兆自适应PoE电口+4个千兆Combo接口+8个千兆/百兆自适应光口+4个万兆/千兆/百兆自适应光口,接口类型较为丰富,可满足钢铁厂网络多样化接入需求,产品采用无风扇和内置双110-240V工业级电源的设计,支持40℃~+85℃工作温度,能够应用于恶劣环境下的工业网络,同时拥有高性能处理器和大容量缓存,确保数据传输的稳定性和可靠性。核心交换机推荐采用双机热备部署。汇聚层负责数据的集中处理和分发。汇聚交换机推荐采用WIS6300系列交换机。以威努特WIS6300-4GS4C20G为例,该交换机具有20个千兆电口+4个千兆百兆自适应Combo口+4个2.5G/1.0G/100M自适应光口,它具备强大的数据处理能力和丰富的端口配置,以满足不同规模车间的需求,汇聚交换机推荐采用双机热备部署。接入层主要负责各类终端设备的接入。分别在接入层的烧结、配料、除尘等工艺段分别部署工业接入交换机,推荐采用威努特WIS3200系列交换机。WIS3200系列工业交换机采用工业级硬件设计,能够应对钢铁厂生产侧的物理环境,且都具有简易管理功能,便于快速部署和维护。通过接入交换机,直接连接到生产车间的服务器、应用系统等,负责收集和上传数据。钢铁冶金-烧结工业环网设计图
钢铁冶金-轧钢工业环网设计图
钢铁冶金-能源管理工业环网设计图
钢铁企业整体安全防护拓扑图
(1)边界防护,区域隔离,数据单向传输。在工控系统网络与企业网络边界部署工控防火墙类安全设备,阻止从工控系统外部发起的网络攻击行为。在各一二级区域间部署工业互联防火墙、网闸类安全设备,禁止未经授权通讯传入或传出工控系统从而实现对IP、端口、访问、流量等内容的实时控制。(2)对主机系统进行主机加固,对操作站、工程师站以及其他工控类计算机部署基于白名单的安全加固软件,实现移动存储介质使用的管理、软件黑白名单管理,起到防病毒和恶意代码的作用。(3)对关键主机设备、网络设备、控制组件等进行冗余配置,冷、热备机,异地灾备。(4)工业控制系统网络准入机制。防火墙遵循安全最大化的原则,所有与工业控制网络有接入的网络必须进行配置后方可接入,必须是其所隔离的网络之间的唯一信息通道,在进行远程访问时,需指定访问对象,对通讯流量进行审计,记录并保存访问日志,并定期进行备份、审计、追踪非授权访问行为。(5)纵深防御。严格遵循IEC-63443等标准的区域级防护,将网络划分为不同的安全区,在安全区之间按照一定规则安装防火墙或可信网关。这样即使在某一点发生网络安全事故,也能保证其他区域的正常安全稳定运行。(6)搭建工业控制系统在线监测平台,对包括MES、PCS、DCS、HMI、PLC、SCADA等工控系统,以及服务器、数据库、工程师站、操作站、智能仪器仪表、嵌入式设备、视频监控设备、路由器、工业防火墙、工业网关等进行监控预警。在工控系统网络交换机上部署流量审计设备,重点监测工控网络内部异常的流量、访问、操作以及非法入侵等行为。(7)搭建工业安全态势感知平台,集中收集展示各生产厂区的安全事件和日志告警趋势,同时结合流量探针和漏洞扫描探针提供的数据,利用大数据模型分析,提供安全攻击、漏洞趋势、资产情况、攻击趋势等安全态势的关联分析成果,为企业高层决策起到重要支撑作用。1)在进行停机检修或系统上线、维护时进行漏洞扫描,并对漏洞修复及补丁进行评审后再进行修补。2)对钢铁企业工控系统信息安全现状进行周期性风险评估,通过风险评估,确定风险管理计划、需要采取的控制措施以及企业信息安全管理的现状。检查内容包括系统配置检查、病毒检查、系统日志检查等,尤其是对一些开发放行服务协议、账号密码策略、加密方式等问题进行重点关注,并对存在的风险进行持续性改进。威努特工业交换机是高可靠性的工业级网络设备。采用工业级的设计理念:首先,在设计时,尽量降低它的功耗。这种低功耗的设计理念,会使交换机在工作时尽可能的减少热量的产生,因为高温会对芯片等电子元件产生致命的影响,会极大的降低其使用寿命。其次,在设计和生产过程中都采用工业级的芯片,这不仅保证的交换机的传输性能还增加了其运行的稳定性。第三,工业以太网交换机是为工业环境设计使用的,它对环境有着极强的适应能力,工作温度(-40℃~85℃)、存储温度(-40℃~85℃)、相对湿度(5%~95%无凝结),在严酷的环境中,交换机依然能稳定的工作。因为上述这些因素,使其拥有极长的平均无故障工作时间(MTBF)。这种高可靠性的网络设备保证了整个系统的可靠性。为了保证整个网络的可靠性,仅仅依靠设备的可靠性是不能完全满足需求的,还要为网络提供充足的设备和链路的冗余。因此,为保证数据传输的可靠性,威努特管理型工业交换机均支持通用的STP/RSTP/ERPS等冗余协议,确保网络组网设计的高可靠性。同时威努特管理型工业交换机还支持基于IEC 62439-2的高可靠性冗余协议,充分保障网络搭建的可靠性。威努特管理型工业交换机均支持SNMP协议,可方便地通过串口、telnet、网络管理软件进行管理;同时还支持威努特WNT-NSMS网络管理软件进行统一管理。通过自主知识产权的安全防护产品配合“白环境”的工控安全解决方案,可以帮助用户解决工业控制系统网络安全防护工作。覆盖工业网络边界、主机、PLC及DCS工控设备、工控组态软件等全方位安全的纵深防护体系,覆盖检测、防护、响应、审计的全过程,不留安全死角。方案实施无需改造现有工业网络和频繁升级工控系统,无需频繁升级安全特征库,安全设备符合工控环境标准,可靠实用,深度理解工控协议和操作行为,技术先进可靠。推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com
还没有评论,来说两句吧...