包曉東

（成縣祁連山水泥有限公司，甘肅 隴南 742500）

0 引言

近年來，水泥企業(yè)信息化和智能化建設發(fā)展迅速，抓住了智能制造發(fā)展的制高點，信息化是水泥企業(yè)信息化建設的必由之路，對企業(yè)管理，企業(yè)生產和節(jié)能降耗都產生了很大的效果。但是對于網絡的運行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。為實現(xiàn)企業(yè)的轉型，我公司介紹了建設和網絡安全管理的方法和經驗。

1 運行控制與網絡安全建設背景

1.1 信息化建設

在信息化建設初期，我公司的網絡安全還不完善，在信息化和智能化建設方面，沒有考慮網絡管理和安全問題。但在施工過程中，網絡安全越來越重要，在實施過程中發(fā)現(xiàn)了以下問題：比如OPC 協(xié)議是目前以信息為基礎的通信方式，是實現(xiàn)建筑信息智能傳輸?shù)闹匾ㄐ欧绞?，當前正在解決信息隔離問題。公司能源管理系統(tǒng)數(shù)據和DCS 系統(tǒng)監(jiān)控數(shù)據應通過OPC 通信進行隔離和控制，方便員工使用。在出差過程中快速監(jiān)控直流生產和生產畫面，為了監(jiān)控數(shù)據和曲線，我公司采用智能集成工廠，并在手機上安裝移動工廠應用程序。在保證網絡安全的前提下，我們可以對公司生產的圖像進行監(jiān)控，但是如何管理數(shù)據通過網絡在手機上移動，基于前面應用實現(xiàn)的方便性，沒有必要的安全設施，生產系統(tǒng)的安全是否得到保證。目前，智能物流廣泛應用于水泥行業(yè)，銷售系統(tǒng)和生產統(tǒng)計等其他系統(tǒng)以及數(shù)據通信量最大的系統(tǒng)具有最高的安全性。生產原材料多個生產和辦公系統(tǒng)缺乏主機管理和控制軟件及防病毒，導致控制自動化系統(tǒng)各設備的USB 接口，缺乏有效的移動媒體控制狀態(tài)。系統(tǒng)維護工程師必須定期復制數(shù)據，操作人員也可以秘密使用USB接口，存在較大的網絡風險。因為發(fā)生網絡安全事件會導致整個工廠系統(tǒng)癱瘓、服務器崩潰和數(shù)據損失等嚴重后果。我公司從2020 年開始實施網絡升級改造，優(yōu)化和提高了管理網絡和生產網絡的安全性[1-3]。

1.2 信息安全保護發(fā)展

新的應用沒有等級保護標準，缺乏完整的風險評估和安全監(jiān)測系統(tǒng)，因此很難適應互聯(lián)網信息安全保護的要求，為了適應新技術和新的應用發(fā)展，滿足各種系統(tǒng)等級保護的需求威海工業(yè)控制領域的云計算，信息系統(tǒng)等方面提供了重要保證，以重要保證為基礎，目前工業(yè)控制系統(tǒng)網絡安全保護還不夠，工業(yè)控制系統(tǒng)網絡安全保護的必要性分析工業(yè)控制系統(tǒng)需要使用的許多控制系統(tǒng)，包括，產業(yè)生產中監(jiān)控系統(tǒng)，數(shù)據采集系統(tǒng)和分布式控制系統(tǒng)，如PLC 等應用廣泛，與人們的生產和生活密切相關，本文分析了他面臨的威脅。

1.3 工業(yè)控制系統(tǒng)網絡安全事件分析

2019 年出現(xiàn)的第一個控制系統(tǒng)，打破離心分離器運行的產業(yè)控制器，建立了一個全新的腳本技術和適應大規(guī)模應用的完美安全保護體系。祝賀很重要。2018 年，黑客利用工業(yè)惡性軟件攻擊烏克蘭的一個變電站，導致基輔等地區(qū)的供電中斷，使用軟件自動運行，導致機器控制系統(tǒng)無法正常運行因此，電力網和其他基礎設施的安全受到了嚴重的威脅。例如，2017 年有100 多個地區(qū)受到威脅軟件感染的影響，中國的石油和交通受到影響，造成嚴重后果。

1.4 工業(yè)控制系統(tǒng)網絡應用

目前這些系統(tǒng)由于需求不足，各種業(yè)務系統(tǒng)存在潛在的安全隱患，比如遠程訪問保護要求，大多數(shù)工業(yè)控制和生產網絡的遠程維護都是由供應商提供的。渠道使用存在入侵風險。還有網絡監(jiān)控和審核要求，目前行業(yè)使用的各種監(jiān)控軟件和審計軟件和基礎設施還不完善，難以對數(shù)據進行有效的控制其次是操作系統(tǒng)漏洞管理需求；工業(yè)生產控制系統(tǒng)對網絡的要求很高，這就給系統(tǒng)漏洞升級帶來了難題，一旦出現(xiàn)安全漏洞，就會威脅到系統(tǒng)運行的安全；惡意代碼風險防范要求，在工控系統(tǒng)應用中實際發(fā)生惡意代碼時，存在著安裝殺毒軟件和安全隱患等安全防護缺失等重大風險。在分析網絡安全需求的基礎上，分析了網絡安全對人身安全財產安全的影響，為保證網絡安全運行所采取相應的措施，建立工業(yè)控制系統(tǒng)的網絡安全保護策略，實施安全管理體系。根據安全防護工作要求設置專門的部門和人員，由安全管理人員和安全管理人員負責，組織網絡安全委員會或領導小組。掌握具體工作，要求做好網絡安全防護工作，并根據需要制定相應的管理制度和方法，實現(xiàn)崗位職責和資源的有效分工。配置足夠的人力資源，確保網絡安全工作的順利進行，加強與安全供應商和企業(yè)的溝通，確保安全，及時掌握事態(tài)發(fā)展，定期進行安全檢查。首先做好檢查記錄，編制安全檢查報告，確保各項工作順利完成，其次，建立安全管理機構，配備網絡安全管理人員；安全管理體系能否有效啟動，與組織機構組成、人員配置、工作要求、人力資源配置、協(xié)調指導密切相關。對實施網絡安全管理等任務，建立有效的安全防護組織體系。加強安全施工管理，在安全施工管理方面，以信息系統(tǒng)的整個生命周期為中心實施安全管理措施，系統(tǒng)審核和控制安全等級等關鍵環(huán)節(jié)，加強安全運輸和層次管理，結合網絡安全威脅和風險的原因和特點，實施安全評價和安全強化，對機艙環(huán)境、漏洞和網絡、實施設施安全運行維護管理等安全管理，有效變更備份及修復管理和各種安全事件。

1.5 安全技術系統(tǒng)建設

安全通信網絡設計技術體系和安全通信網絡設計的重點是網絡結構。利用關鍵網絡設備和電腦設備，以不必要的結構劃分安全區(qū)域，實現(xiàn)安全隔離。通信傳輸。使用密碼確保通信的完整性和機密性。可以信賴的驗證。對于產業(yè)控制和網絡安全建設的總體規(guī)劃，應該保護事務網絡和管理網絡的界限，并且在劃分網絡層次結構的同時，根據各信息系統(tǒng)的功能，將與管理系統(tǒng)有密切關系的系統(tǒng)劃分為控制層，將系統(tǒng)數(shù)據并連接外部網絡時系統(tǒng)分為電源管理系統(tǒng)等生產管理層，軟件系統(tǒng)與管理系統(tǒng)的數(shù)據交流較少，企業(yè)管理中其他企業(yè)管理軟件，如智能物流系統(tǒng)的數(shù)據交換較多的軟件系統(tǒng)，在網絡邊界處配置入侵防御和防火墻安全產品，實時分析鏈接的傳輸數(shù)據，阻斷鏈接隱藏的威脅。

1.6 邊界網絡屏障設置

警戒保護并在相關控制系統(tǒng)中讀取的所有數(shù)據通過網絡屏障確保系統(tǒng)的安全。我公司擁有兩個DCS 系統(tǒng)，一個是加工品水泥生產線的DCS 系統(tǒng)，另一個是起到外部控制作用的DCS 系統(tǒng)，公司的兩個工業(yè)控制系統(tǒng)的外部數(shù)據傳輸鏈接的出口端增加了產業(yè)防火墻。所有的管理系統(tǒng)都要通過防火墻來通訊外部數(shù)據。進行管理防止系統(tǒng)中未授權的程序和未知存儲介質的運行，白色命名單系統(tǒng)由非系統(tǒng)管理者隨意使用USB 接口或隨意復制或安裝各種軟件，對生產主機進行安全管理、提高設備運行能力，確保各生產業(yè)務系統(tǒng)的安全運行。對于安全區(qū)域邊界設計內容包括警戒保護和入侵預防等，惡意代碼和安全審計。對于正在運行的工業(yè)無線網絡，無線AP 或無線路由器由上述端口控制，例如在訪問防火墻端口時，以工業(yè)防火墻為邊界進行邏輯隔離，實現(xiàn)網絡區(qū)域的有效隔離。從實施網絡安全保護的角度分析了安全計算環(huán)境，安全計算環(huán)境的設計主要內容如下，首先是安全監(jiān)控，由于工業(yè)控制系統(tǒng)的運行環(huán)境越來越復雜，新技術和新設備的廣泛應用，對環(huán)境保護計算具有重要意義。利用數(shù)據庫協(xié)議的分析和控制技術，可以達到阻塞危險命令、控制訪問行為等目的。保護數(shù)據庫運行安全。由安全管理中心建立的安全管理中心具有以下功能，基于工控系統(tǒng)安全管理平臺，對登錄人員進行動態(tài)認證。并且組織安全管理人員和監(jiān)理人員的授權，實行統(tǒng)一調配管理，其次，還要進行安全監(jiān)督管理；確認相應人員的身份并監(jiān)督其工作，如工作日志和門禁等進行安全管理，最后通過集中管理和數(shù)據和信息的收集和分析，了解系統(tǒng)運行的安全狀態(tài)，并采取設施安全防護措施。

2 網絡運行控制及具體實施

根據上述總體安全策略的要求，我們的辦公網絡和管理網絡被劃分為VLAN，VLAN 將辦公網絡和管理網絡隔離開來，我們還建造了辦公室和機械宿舍，建筑細節(jié)如下，公司所使用的防火墻是可以將新的入侵防御系統(tǒng)與網絡病毒過濾和殺滅相結合。根據實際管理和控制原則，各子網在網絡區(qū)域內組織地址區(qū)域，避免廣播風造成公司網絡整體癱瘓，并確定網絡故障點。從網絡層面分為辦公網絡和工業(yè)控制網絡，在兩個網絡隔離邊界上設置網關，在網絡隔離的基礎上實現(xiàn)數(shù)據交換。公司從管理網讀取DCS 系統(tǒng)數(shù)據，并增加雙向控制體系。我們公司有兩套DCS 系統(tǒng)，一個是水泥生產線的DCS 系統(tǒng)，另一個是為了余熱發(fā)電的DCS 系統(tǒng)。在配套系統(tǒng)中增加Moxa 工業(yè)基地的交換機，對工業(yè)行為進行審查，通過鏡像流動對整個網絡進行流量審計和檢查，建立專用作業(yè)控制運輸管理區(qū)并通過產業(yè)防火墻隔離，設置主機白名單和漏洞掃描，確保網絡安全和安全，除上述建設內容外，我公司將根據融合管理體系建立公司的機械住宅和網絡布局完善是實現(xiàn)網絡化和工業(yè)控制的必要手段，具體情況如下：公司已經建立了標準控制網絡，并且要求機房獨立連接接地網，在靜電地板下用10 毫米寬的銅箔設置屏蔽網格，確保整個機房連接良好，設置傳感器系統(tǒng)，安裝恒溫系統(tǒng)和自動滅火系統(tǒng)，建立完整的同環(huán)檢測平臺，確保機房不斷供電和火災警報，公司的兩個機房采用遠程自動備份系統(tǒng)和自動備份服務器系統(tǒng)和軟件數(shù)據，并可在網絡空間發(fā)生災難后迅速恢復，設置網絡管理軟件。主要是網絡掃描，遠程監(jiān)控和警報管理。微信警告，支持網絡管理多個資產許可證，便于網絡管理，公司客房內多種通信專用線和聯(lián)合線的雙軌連接，確保公司網絡實時正常運行，防止專用線路故障導致整個公司網絡的癱瘓[4-5]。

3 結束語

近年來，水泥企業(yè)信息化和智能化建設發(fā)展迅速，各企業(yè)紛紛實施信息化建設競爭，抓住了智能制造發(fā)展的制高點，信息化是水泥企業(yè)信息化建設的必由之路，對企業(yè)管理，企業(yè)生產和節(jié)能降耗都產生了很大的效果。但是對于網絡的運行控制和安全保障已成為水泥廠發(fā)展中的智能制造問題。企業(yè)在改造后，公司網絡系統(tǒng)運行穩(wěn)定，網絡不會出現(xiàn)由于間斷而影響業(yè)務和生產，也不會發(fā)生系統(tǒng)或服務器中毒事件，各信息系統(tǒng)運行穩(wěn)定。防火墻和防火墻形成的保護體系運行穩(wěn)定，預防外部多次的網絡入侵攻擊和病毒。企業(yè)的網絡系統(tǒng)結構具有良好的擴展性和安全性，在企業(yè)實施不同的信息化項目時，可以更加便利鮮明地將新系統(tǒng)配置在網絡結構中，提高系統(tǒng)的線上效率和穩(wěn)定運行。