黃亮

隨著信息技術(shù)的發(fā)展和各生產(chǎn)應(yīng)用系統(tǒng)的廣泛應(yīng)用，烏石化公司對信息網(wǎng)絡(luò)系統(tǒng)的需求和依賴程度日益增加。如公司MES生產(chǎn)運行系統(tǒng)、汽車裝油臺項目的投用及運行，為公司生產(chǎn)調(diào)度、數(shù)據(jù)采集、過程控制、油品銷售搭建了“管控一體化”的生產(chǎn)運行平臺。生產(chǎn)網(wǎng)絡(luò)同辦公網(wǎng)絡(luò)的關(guān)系也變得尤為緊密、不可分割，然而與此同時來自辦公網(wǎng)及英特網(wǎng)對生產(chǎn)網(wǎng)的安全威脅也變得越來越嚴(yán)重緊迫。分析影響網(wǎng)絡(luò)安全的威脅因素，提出保障生產(chǎn)、辦公網(wǎng)絡(luò)安全的對策迫在眉睫。在實際網(wǎng)絡(luò)規(guī)劃應(yīng)用過程中，結(jié)合具體網(wǎng)絡(luò)環(huán)境，采用多種手段，綜合考慮、制定公司生產(chǎn)網(wǎng)與辦公網(wǎng)的網(wǎng)絡(luò)安全策略規(guī)劃及實施。

一、網(wǎng)絡(luò)安全策略整體規(guī)劃

（一）對生產(chǎn)網(wǎng)和辦公網(wǎng)的網(wǎng)絡(luò)架構(gòu)進行規(guī)劃設(shè)計

在進行公司生產(chǎn)網(wǎng)與辦公網(wǎng)的網(wǎng)絡(luò)安全策略規(guī)劃及實施之時，梳理兩個網(wǎng)絡(luò)的訪問需求，主要為以下幾個方面：

1.公司辦公網(wǎng)絡(luò)從邏輯上包含了核心區(qū)、辦公區(qū)以及服務(wù)器區(qū)。

2.公司生產(chǎn)網(wǎng)絡(luò)主要包括MES生產(chǎn)運行系統(tǒng)和汽車裝油臺應(yīng)用系統(tǒng)及其附屬的工控及儀表終端，需要訪問辦公網(wǎng)內(nèi)服務(wù)器區(qū)相應(yīng)的服務(wù)器。

3.公司辦公網(wǎng)側(cè)終端需訪問MES生產(chǎn)運行系統(tǒng)和汽車裝油臺應(yīng)用系統(tǒng)。

4.生產(chǎn)網(wǎng)汽車裝油臺系統(tǒng)內(nèi)的PLC上位機（工業(yè)控制計算機），訪問辦公網(wǎng)的裝車臺服務(wù)器的同時需要與現(xiàn)場儀表控制系統(tǒng)。

在公司龐大且相互交織的網(wǎng)絡(luò)中，如果沒有統(tǒng)籌的網(wǎng)絡(luò)安全策略部署，必然會帶來諸多負面、惡劣的后果，運維管理難度大，網(wǎng)絡(luò)安全性無法保證造成網(wǎng)絡(luò)攻擊、信息泄露甚至裝置停車、生產(chǎn)事故。根據(jù)辦公網(wǎng)與生產(chǎn)網(wǎng)的網(wǎng)絡(luò)特點及訪問需求，烏石化辦公網(wǎng)整體架構(gòu)設(shè)計如圖1所示，公司核心交換機分別連接辦公網(wǎng)、生產(chǎn)網(wǎng)、視頻監(jiān)控網(wǎng)、各類應(yīng)用服務(wù)器，同時通過核心路由器連接至集團公司廣域網(wǎng)。生產(chǎn)網(wǎng)通過防火墻連接辦公網(wǎng)和服務(wù)器區(qū)。

（二）生產(chǎn)網(wǎng)絡(luò)和辦公網(wǎng)的防火墻安全接入規(guī)劃

生產(chǎn)網(wǎng)絡(luò)作為相對獨立封閉的網(wǎng)絡(luò)，為防護外界信息網(wǎng)絡(luò)對內(nèi)部的安全入侵，可通過物理安全設(shè)備分置，使生產(chǎn)網(wǎng)絡(luò)與辦公網(wǎng)在邏輯上得以分割?；诜阑饓Φ慕鉀Q方案，適用對于辦公網(wǎng)和控制網(wǎng)的隔離。辦公網(wǎng)中存在對數(shù)據(jù)應(yīng)用需求，防火墻需要授權(quán)這部分數(shù)據(jù)與控制網(wǎng)絡(luò)中的控制設(shè)備通信，則惡意不正確配置的主機發(fā)送的數(shù)據(jù)包將會被轉(zhuǎn)發(fā)到各別數(shù)據(jù)控制終端上。為了構(gòu)建隔離區(qū)，防火墻至少需要提供2個接口。一個接口連接辦公網(wǎng)，一個接口連接生產(chǎn)網(wǎng)。（如圖1）由于辦公網(wǎng)和生產(chǎn)網(wǎng)之間不再直接通信，并規(guī)定各區(qū)之間通信的規(guī)則。通過制定良好的規(guī)則，在控制網(wǎng)絡(luò)與其他網(wǎng)絡(luò)間明確細分的措施，確保了辦公網(wǎng)和生產(chǎn)網(wǎng)絡(luò)間沒用直接的通信，保證了工控生產(chǎn)網(wǎng)的網(wǎng)絡(luò)安全。

二、安全策略實施

在目前的技術(shù)條件下，以物理隔離為核心構(gòu)建邊界隔離是一種安全可靠的解決方案，結(jié)合高強度的網(wǎng)絡(luò)協(xié)議分析和安全防護策略的控制下，共同構(gòu)建一個在網(wǎng)絡(luò)邊界處隔離網(wǎng)絡(luò)已知和未知攻擊行為的高網(wǎng)絡(luò)安全設(shè)備。由此在生產(chǎn)網(wǎng)和辦公網(wǎng)絡(luò)間設(shè)置防火墻，進行雙網(wǎng)間的隔離，安全策略的配置防護，實現(xiàn)目標(biāo)地址相互訪問，從而滿足辦公網(wǎng)、生產(chǎn)網(wǎng)整體安全需求。

（一）對生產(chǎn)網(wǎng)和辦公網(wǎng)的匯聚交換機、接入交換機、終端等進行業(yè)務(wù)應(yīng)用配置

1.首先對生產(chǎn)網(wǎng)和辦公網(wǎng)匯聚交換機、接入交換機、終端的IP地址段進行分配。

2.確定生產(chǎn)網(wǎng)和辦公網(wǎng)匯聚交換機、接入交換機所使用的vlan，、IP地址、子網(wǎng)掩碼、網(wǎng)關(guān)。

3.確定生產(chǎn)網(wǎng)和辦公網(wǎng)匯聚交換機、接入交換機、終端之間的連接方式。生產(chǎn)網(wǎng)與辦公網(wǎng)匯聚交換機分別與辦公網(wǎng)核心交換機與生產(chǎn)網(wǎng)核心交換機進行連接，通過OSPF動態(tài)路由協(xié)議進行三層架構(gòu)連接。辦公網(wǎng)匯聚交換機與接入層交換機采取二層連接，對應(yīng)接口采用trunk連接模式。最終實現(xiàn)生產(chǎn)網(wǎng)、辦公網(wǎng)整體互聯(lián)。

（二）對防火墻進行安全策略的配置

僅有硬件是無法動態(tài)進行雙網(wǎng)的安全防護的，那么防火墻策略配置則是實現(xiàn)安全功能的重要環(huán)節(jié)。當(dāng)數(shù)據(jù)在兩個安全區(qū)域之間流動時，域間防火墻策略實現(xiàn)對IP報文的過濾（如圖2）。對于需要轉(zhuǎn)發(fā)的報文，USG5300先獲取報文頭信息，包括IP層所承載的上層協(xié)議的協(xié)議號、報文的源地址、目的地址、源端口號和目的端口號等，然后和設(shè)定的域間防火墻策略進行匹配，根據(jù)設(shè)定的動作允許或拒絕對報文的轉(zhuǎn)發(fā)。

我們在生產(chǎn)網(wǎng)和辦公網(wǎng)的實際安全訪問策略實施前，梳理了雙網(wǎng)間的訪問需求。地址規(guī)劃、接口分配以及身份認證是防火墻最為基本的安全需求。經(jīng)常采用的用戶名/口令方式已經(jīng)被證明為弱認證方式，存在明顯的安全隱患，非法分子可利用簡單的黑客工具竊取登錄者的用戶名和口令，假冒合法身份進入系統(tǒng)。因此防火墻也需要完善的身份認證體系，實現(xiàn)強身份認證機制，保障系統(tǒng)安全可靠，配置實施內(nèi)容如下：

1.定義信任區(qū)域和非信任區(qū)域的接口和管理接口

對防火墻的接口地址和互聯(lián)地址進行定義，規(guī)劃防火墻的管理接口，配置管理地址；定義接辦公網(wǎng)核心交換接口和生產(chǎn)網(wǎng)核心交換機接口（如圖3）。

2.創(chuàng)建生產(chǎn)網(wǎng)和辦公網(wǎng)的地址集

在防火墻的安全策略中引用生產(chǎn)網(wǎng)及辦公網(wǎng)各自的IP地址集，可將該防火墻策略應(yīng)用于匹配生產(chǎn)網(wǎng)及辦公網(wǎng)特定源、目的IP地址的報文。

3.配置策略會話流量統(tǒng)計

在防火墻策略上開啟策略會話流量統(tǒng)計，將對匹配該防火墻策略的會話信息進行統(tǒng)計，如入安全區(qū)域和出安全區(qū)域、會話所匹配的策略ID、會話的源/目的IP地址，限定了生產(chǎn)網(wǎng)與辦公網(wǎng)間特定的IP地址段訪問策略。

4.安全遠程控制路由

在配置以下兩條靜態(tài)路由條目情況下，僅辦公網(wǎng)內(nèi)信息管理部IP地址終端可以獲取到去往防火墻的直連路由，除了該兩個網(wǎng)段以外的所有地址段均無法登陸防火墻，從技術(shù)層面保障了防火墻的安全登陸。

5.配置用戶3A安全認證模式

通過對防火墻3A視圖下的用戶登錄密碼、權(quán)限級別、服務(wù)類型、密碼顯示模式的配置，加固了訪問防火墻的安全等級。針對VTY端口設(shè)置相應(yīng)的訪問控制列表來限制通過VTY端口對路由器的訪問。訪問控制列表通過區(qū)分不同用戶的網(wǎng)段來進行過濾，用戶進行用戶名及密碼的驗證成功后，才能進入防火墻進行操作，安全訪問等級提升。

三、實施效果

自項目實施以來，烏石化公司MES生產(chǎn)運行系統(tǒng)和汽車裝車臺管控一體化項目安全、穩(wěn)定運行，通過對生產(chǎn)網(wǎng)和辦公網(wǎng)的統(tǒng)籌合理規(guī)劃，確保路由的連通性的同時也保證了鏈路的冗余和高效性，極大程度提升了網(wǎng)絡(luò)的抗風(fēng)險能力。通過架設(shè)防火墻設(shè)備在生產(chǎn)網(wǎng)和公司辦公網(wǎng)之間架設(shè)了一條安全的網(wǎng)絡(luò)訪問通道，對網(wǎng)內(nèi)不安全因素進行過濾，自汽車裝油臺項目啟動運行至今，防火墻已攔截非法訪問及攻擊1557357次，極大程度保護了公司MES生產(chǎn)運行系統(tǒng)和汽車裝油臺生產(chǎn)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全，為現(xiàn)場各業(yè)務(wù)流程的正常進行提供可靠的網(wǎng)絡(luò)環(huán)境。實現(xiàn)對儀表設(shè)備的控制，實現(xiàn)流程自動化。

四、結(jié)論

通過對生產(chǎn)網(wǎng)與辦公網(wǎng)的網(wǎng)絡(luò)安全策略規(guī)劃及部署實施，以生產(chǎn)網(wǎng)現(xiàn)場情況和業(yè)務(wù)需求為技術(shù)攻關(guān)的目標(biāo)方向，在技術(shù)層面實現(xiàn)了多層級安全策略重疊的安全機制。自2016年至今公司MES生產(chǎn)運行系統(tǒng)和汽車裝油系統(tǒng)網(wǎng)絡(luò)運行正常，沒有因為網(wǎng)絡(luò)因素導(dǎo)致生產(chǎn)系統(tǒng)故障的發(fā)生，達到了網(wǎng)絡(luò)安全策略部署的預(yù)期目的，確保了生產(chǎn)網(wǎng)和辦公網(wǎng)的網(wǎng)絡(luò)安全使用、生產(chǎn)指令的順利下達以及公司油品銷售各環(huán)節(jié)的安全穩(wěn)定運行。