水泥廠工控及網絡安全防護建設探討

包曉東

（成縣祁連山水泥有限公司，甘肅 隴南 742500）

0 引言

近年來，水泥企業信息化和智能化建設發展迅速，抓住了智能制造發展的制高點，信息化是水泥企業信息化建設的必由之路，對企業管理，企業生產和節能降耗都產生了很大的效果。但是對于網絡的運行控制和安全保障已成為水泥廠發展中的智能制造問題。為實現企業的轉型，我公司介紹了建設和網絡安全管理的方法和經驗。

1 運行控制與網絡安全建設背景

1.1 信息化建設

在信息化建設初期，我公司的網絡安全還不完善，在信息化和智能化建設方面，沒有考慮網絡管理和安全問題。但在施工過程中，網絡安全越來越重要，在實施過程中發現了以下問題：比如OPC 協議是目前以信息為基礎的通信方式，是實現建筑信息智能傳輸的重要通信方式，當前正在解決信息隔離問題。公司能源管理系統數據和DCS 系統監控數據應通過OPC 通信進行隔離和控制，方便員工使用。在出差過程中快速監控直流生產和生產畫面，為了監控數據和曲線，我公司采用智能集成工廠，并在手機上安裝移動工廠應用程序。在保證網絡安全的前提下，我們可以對公司生產的圖像進行監控，但是如何管理數據通過網絡在手機上移動，基于前面應用實現的方便性，沒有必要的安全設施，生產系統的安全是否得到保證。目前，智能物流廣泛應用于水泥行業，銷售系統和生產統計等其他系統以及數據通信量最大的系統具有最高的安全性。生產原材料多個生產和辦公系統缺乏主機管理和控制軟件及防病毒，導致控制自動化系統各設備的USB 接口，缺乏有效的移動媒體控制狀態。系統維護工程師必須定期復制數據，操作人員也可以秘密使用USB接口，存在較大的網絡風險。因為發生網絡安全事件會導致整個工廠系統癱瘓、服務器崩潰和數據損失等嚴重后果。我公司從2020 年開始實施網絡升級改造，優化和提高了管理網絡和生產網絡的安全性[1-3]。

1.2 信息安全保護發展

新的應用沒有等級保護標準，缺乏完整的風險評估和安全監測系統，因此很難適應互聯網信息安全保護的要求，為了適應新技術和新的應用發展，滿足各種系統等級保護的需求威海工業控制領域的云計算，信息系統等方面提供了重要保證，以重要保證為基礎，目前工業控制系統網絡安全保護還不夠，工業控制系統網絡安全保護的必要性分析工業控制系統需要使用的許多控制系統，包括，產業生產中監控系統，數據采集系統和分布式控制系統，如PLC 等應用廣泛，與人們的生產和生活密切相關，本文分析了他面臨的威脅。

1.3 工業控制系統網絡安全事件分析

2019 年出現的第一個控制系統，打破離心分離器運行的產業控制器，建立了一個全新的腳本技術和適應大規模應用的完美安全保護體系。祝賀很重要。2018 年，黑客利用工業惡性軟件攻擊烏克蘭的一個變電站，導致基輔等地區的供電中斷，使用軟件自動運行，導致機器控制系統無法正常運行因此，電力網和其他基礎設施的安全受到了嚴重的威脅。例如，2017 年有100 多個地區受到威脅軟件感染的影響，中國的石油和交通受到影響，造成嚴重后果。

1.4 工業控制系統網絡應用

目前這些系統由于需求不足，各種業務系統存在潛在的安全隱患，比如遠程訪問保護要求，大多數工業控制和生產網絡的遠程維護都是由供應商提供的。渠道使用存在入侵風險。還有網絡監控和審核要求，目前行業使用的各種監控軟件和審計軟件和基礎設施還不完善，難以對數據進行有效的控制其次是操作系統漏洞管理需求；工業生產控制系統對網絡的要求很高，這就給系統漏洞升級帶來了難題，一旦出現安全漏洞，就會威脅到系統運行的安全；惡意代碼風險防范要求，在工控系統應用中實際發生惡意代碼時，存在著安裝殺毒軟件和安全隱患等安全防護缺失等重大風險。在分析網絡安全需求的基礎上，分析了網絡安全對人身安全財產安全的影響，為保證網絡安全運行所采取相應的措施，建立工業控制系統的網絡安全保護策略，實施安全管理體系。根據安全防護工作要求設置專門的部門和人員，由安全管理人員和安全管理人員負責，組織網絡安全委員會或領導小組。掌握具體工作，要求做好網絡安全防護工作，并根據需要制定相應的管理制度和方法，實現崗位職責和資源的有效分工。配置足夠的人力資源，確保網絡安全工作的順利進行，加強與安全供應商和企業的溝通，確保安全，及時掌握事態發展，定期進行安全檢查。首先做好檢查記錄，編制安全檢查報告，確保各項工作順利完成，其次，建立安全管理機構，配備網絡安全管理人員；安全管理體系能否有效啟動，與組織機構組成、人員配置、工作要求、人力資源配置、協調指導密切相關。對實施網絡安全管理等任務，建立有效的安全防護組織體系。加強安全施工管理，在安全施工管理方面，以信息系統的整個生命周期為中心實施安全管理措施，系統審核和控制安全等級等關鍵環節，加強安全運輸和層次管理，結合網絡安全威脅和風險的原因和特點，實施安全評價和安全強化，對機艙環境、漏洞和網絡、實施設施安全運行維護管理等安全管理，有效變更備份及修復管理和各種安全事件。

1.5 安全技術系統建設

安全通信網絡設計技術體系和安全通信網絡設計的重點是網絡結構。利用關鍵網絡設備和電腦設備，以不必要的結構劃分安全區域，實現安全隔離。通信傳輸。使用密碼確保通信的完整性和機密性。可以信賴的驗證。對于產業控制和網絡安全建設的總體規劃，應該保護事務網絡和管理網絡的界限，并且在劃分網絡層次結構的同時，根據各信息系統的功能，將與管理系統有密切關系的系統劃分為控制層，將系統數據并連接外部網絡時系統分為電源管理系統等生產管理層，軟件系統與管理系統的數據交流較少，企業管理中其他企業管理軟件，如智能物流系統的數據交換較多的軟件系統，在網絡邊界處配置入侵防御和防火墻安全產品，實時分析鏈接的傳輸數據，阻斷鏈接隱藏的威脅。

1.6 邊界網絡屏障設置

警戒保護并在相關控制系統中讀取的所有數據通過網絡屏障確保系統的安全。我公司擁有兩個DCS 系統，一個是加工品水泥生產線的DCS 系統，另一個是起到外部控制作用的DCS 系統，公司的兩個工業控制系統的外部數據傳輸鏈接的出口端增加了產業防火墻。所有的管理系統都要通過防火墻來通訊外部數據。進行管理防止系統中未授權的程序和未知存儲介質的運行，白色命名單系統由非系統管理者隨意使用USB 接口或隨意復制或安裝各種軟件，對生產主機進行安全管理、提高設備運行能力，確保各生產業務系統的安全運行。對于安全區域邊界設計內容包括警戒保護和入侵預防等，惡意代碼和安全審計。對于正在運行的工業無線網絡，無線AP 或無線路由器由上述端口控制，例如在訪問防火墻端口時，以工業防火墻為邊界進行邏輯隔離，實現網絡區域的有效隔離。從實施網絡安全保護的角度分析了安全計算環境，安全計算環境的設計主要內容如下，首先是安全監控，由于工業控制系統的運行環境越來越復雜，新技術和新設備的廣泛應用，對環境保護計算具有重要意義。利用數據庫協議的分析和控制技術，可以達到阻塞危險命令、控制訪問行為等目的。保護數據庫運行安全。由安全管理中心建立的安全管理中心具有以下功能，基于工控系統安全管理平臺，對登錄人員進行動態認證。并且組織安全管理人員和監理人員的授權，實行統一調配管理，其次，還要進行安全監督管理；確認相應人員的身份并監督其工作，如工作日志和門禁等進行安全管理，最后通過集中管理和數據和信息的收集和分析，了解系統運行的安全狀態，并采取設施安全防護措施。

2 網絡運行控制及具體實施

根據上述總體安全策略的要求，我們的辦公網絡和管理網絡被劃分為VLAN，VLAN 將辦公網絡和管理網絡隔離開來，我們還建造了辦公室和機械宿舍，建筑細節如下，公司所使用的防火墻是可以將新的入侵防御系統與網絡病毒過濾和殺滅相結合。根據實際管理和控制原則，各子網在網絡區域內組織地址區域，避免廣播風造成公司網絡整體癱瘓，并確定網絡故障點。從網絡層面分為辦公網絡和工業控制網絡，在兩個網絡隔離邊界上設置網關，在網絡隔離的基礎上實現數據交換。公司從管理網讀取DCS 系統數據，并增加雙向控制體系。我們公司有兩套DCS 系統，一個是水泥生產線的DCS 系統，另一個是為了余熱發電的DCS 系統。在配套系統中增加Moxa 工業基地的交換機，對工業行為進行審查，通過鏡像流動對整個網絡進行流量審計和檢查，建立專用作業控制運輸管理區并通過產業防火墻隔離，設置主機白名單和漏洞掃描，確保網絡安全和安全，除上述建設內容外，我公司將根據融合管理體系建立公司的機械住宅和網絡布局完善是實現網絡化和工業控制的必要手段，具體情況如下：公司已經建立了標準控制網絡，并且要求機房獨立連接接地網，在靜電地板下用10 毫米寬的銅箔設置屏蔽網格，確保整個機房連接良好，設置傳感器系統，安裝恒溫系統和自動滅火系統，建立完整的同環檢測平臺，確保機房不斷供電和火災警報，公司的兩個機房采用遠程自動備份系統和自動備份服務器系統和軟件數據，并可在網絡空間發生災難后迅速恢復，設置網絡管理軟件。主要是網絡掃描，遠程監控和警報管理。微信警告，支持網絡管理多個資產許可證，便于網絡管理，公司客房內多種通信專用線和聯合線的雙軌連接，確保公司網絡實時正常運行，防止專用線路故障導致整個公司網絡的癱瘓[4-5]。

3 結束語

近年來，水泥企業信息化和智能化建設發展迅速，各企業紛紛實施信息化建設競爭，抓住了智能制造發展的制高點，信息化是水泥企業信息化建設的必由之路，對企業管理，企業生產和節能降耗都產生了很大的效果。但是對于網絡的運行控制和安全保障已成為水泥廠發展中的智能制造問題。企業在改造后，公司網絡系統運行穩定，網絡不會出現由于間斷而影響業務和生產，也不會發生系統或服務器中毒事件，各信息系統運行穩定。防火墻和防火墻形成的保護體系運行穩定，預防外部多次的網絡入侵攻擊和病毒。企業的網絡系統結構具有良好的擴展性和安全性，在企業實施不同的信息化項目時，可以更加便利鮮明地將新系統配置在網絡結構中，提高系統的線上效率和穩定運行。