检测，提供动态保护。

在病毒对网络系统造成危害前，及时检测到危险源，并产生报警事件，攻击事件发生后，能够给用户提供详细的攻击信息，便于后期调查取证和溯源。

主机安全加固。

应在操作员站工程师站服务器等设备上安装白名单防护软件，通过白名单式管控技术，键固化系统当前运行环境，阻断震网沙虫已知和未知病毒木马攻击，细粒度管控外络间进行安全摆渡，切断了内外网络之间的直接连接，保证数据能够安全可靠稳定地交换。

当内网与外网之间无信息交换时，数据交换单元内网交换单元与外网处理单元，者之间不存在任何物理连接。

办公网若试图对生产网发起攻击时，可使攻击者对目标网络不可达，无法发现工控网资产。

边界访问控制。

按照工艺划分安全域，主要分为炼铁区域炼钢区域综合区域等可分别在各安全域网络边界位臵桥接部钢铁行业工业控制系统安全防护研究论文原稿。

很多规模较大的生产控制系统没有对整个企业工控网络安全进行顶层设计。

公司在技术层面上缺少对全网风险预警和对风险的实时感知能力，无法完成对攻击源的精准定位和研判，缺乏整体应急指挥能力决策能力和应急处臵能力。

安全防护设计本研究结合钢铁行业工控网络安全现状分析和等级保护要求，从管理中心区域边界通信网络计算环境层面，构建钢铁行业工控系统事前预警事中防御事后溯源的安全和相应硬件。

钢铁行业工业控制系统安全防护研究论文原稿。

安全管理威胁发现不及时。

目前主流的工业控制系统大多存在安全漏洞，如注入跨站脚本攻击网站挂马弱用户认证缓冲区溢出漏洞等，而且近年来公布的漏洞数量依然呈现增长趋势。

工业控制系统私有协议种类繁多系统软件升级难设备使用周期较长且考虑可用性无法打补丁等问题，导致威胁漏洞处理不及时，系统补丁升级系统等普遍应用在生产控制系统也被广泛应用于企业管理运营，使企业的生产管理产生了革命化的转变。

这些软件和硬件的接入会直接威胁到工业控制网络。

外设风险。

外设风险是目前工业控制网络系统中公认存在的最普遍最具威胁的风险。

如震网病毒事件就是典型的依靠盘将外界网络病毒携带进工业控制网络的典型案例。

综合区域烧结区域炼铁区域炼钢区域，钢铁工控系统网络架构钢铁行业企业信息化体系分为级架构级基础自动化系统，如些现场的数据采集仪表等设备级过程控制系统，包括各类相对独立的功能模块，如计量系统级扫描发货级设备管理级系统等级车间级制造执行系统，负责计划排产下达生产指令仓储管理质量管理物流管理等级企业资源计划系统级企业间管理决策系统。

钢铁企业内部主要以炼铁炼网络安全引言工业互联网中国制造等战略概念的提出，积极促进了我国生产制造模式的变革产业组织创新和升级，使得传统工业行业的信息基础设施能够进行远程智能化监控，深度融合及信息技术的制造业智能化也得以广泛应用，而工业控制系统设计之初是为了完成各种实时控制功能，并没有优先考虑安全性问题，而内外部网络的互联互通也带来不小的安全风险和隐患。

钢铁工业企业是典型的生产资金工业企业是典型的生产资金技术密集型企业，其生产连续性强，生产系统耦合性高。

对于钢铁行业工业控制系统而言，产生安全威胁的因素也是多方面的，例如系统终端防护漏洞系统配臵和软件缺陷协议漏洞隐藏后门非法外联违规操作弱密码等。

如何有效地防范内外部入侵攻击，做好工业控制系统网络安全的防护工作，确保生产系统的稳定运行，是钢铁行业信息安全所亟待解决的问题。

钢铁行业工业控制系时通讯，环网内数采机工作站等设备多使用以太网接口通讯，传输介质通常采用光纤或网线。

工业主机通过双网卡与上下级网络通讯。

在钢铁冶炼工业自动化过程中，高精度板厚控制器炼钢智能控制系统轧薄带智能系统高炉控制系统系统等普遍应用在生产控制系统也被广泛应用于企业管理运营，使企业的生产管理产生了革命化的转变。

关键词钢铁行业钢区域，包括碱洗退火工艺工控系统网络相关上位主机上存在使用盘的使用痕迹。

现场操作人员不规范使用盘，或者使用相关端口为手机充电等。

端口的管理需要使用技术手段进行管控，同时也要加强现场操作人员的安全管理意识。

钢铁工控系统网络架构钢铁行业企业信息化体系分为级架构级基础自动化系统，如些现场的数据采集仪表等设备级过程控制系统，包括各钢铁行业工业控制系统安全防护研究论文原稿技术密集型企业，其生产连续性强，生产系统耦合性高。

对于钢铁行业工业控制系统而言，产生安全威胁的因素也是多方面的，例如系统终端防护漏洞系统配臵和软件缺陷协议漏洞隐藏后门非法外联违规操作弱密码等。

如何有效地防范内外部入侵攻击，做好工业控制系统网络安全的防护工作，确保生产系统的稳定运行，是钢铁行业信息安全所亟待解决的问题。

钢铁行业工业控制系统安全防护研究论文原稿在于需要不定期更新病毒库，这点并不适用于工业场景，无法及时发现和查杀新型病毒或是在面对未知的程序文件产生误杀现象，导致每年都会爆发大规模的网络安全攻击事件。

工控现场的主机开放等业务必要使用的端口。

攻击者可利用操作系统漏洞轻松地控制上位机，给生产安全带来巨大风险，如年勒索病毒事件利用的就是主机开放的端口。

关键词钢铁行业工业控制系统风险分析下的安全需求，提出了系列有针对性的安全防护策略。

关键技术可广泛应用于钢铁行业含有工业控制系统的企业或集团，有助于提高钢铁行业整体的网络安全技术水平。

最终达到威胁攻击可防御安全配臵可查询网络通信行为可管理风险隐患可控制系统运行安全可信任。

作者刘虹炎于方元曹磊单位江阴兴澄特种钢铁有限公司上海金自天正信息技术有限公司北京珞安科技有限责任公司。

外来设备维护设备风险。

统安全防护研究论文原稿。

操作主机操作系统漏洞风险。

出于对程序运行的兼容性和稳定性等因素的考虑，现场有很多工业主机采用操作系统，厂商在系统稳定运行之后不会去更新补丁，并处于裸机运行的状态，也因此留下安全隐患，容易受到恶意代码蠕虫病毒的攻击。

防病毒软件风险。

为提高主机安全防护能力，些用户仅仅是在主机上安装黑名单杀毒软件，但是存在较大的缺陷，原因工业控制系统风险分析网络安全引言工业互联网中国制造等战略概念的提出，积极促进了我国生产制造模式的变革产业组织创新和升级，使得传统工业行业的信息基础设施能够进行远程智能化监控，深度融合及信息技术的制造业智能化也得以广泛应用，而工业控制系统设计之初是为了完成各种实时控制功能，并没有优先考虑安全性问题，而内外部网络的互联互通也带来不小的安全风险和隐患。

钢类相对独立的功能模块，如计量系统级扫描发货级设备管理级系统等级车间级制造执行系统，负责计划排产下达生产指令仓储管理质量管理物流管理等级企业资源计划系统级企业间管理决策系统。

钢铁企业内部主要以炼铁炼钢热轧冷轧等大工序为区域划分，或者以公辅类处理为综合区域的车间。

组网方式般采用星型或环网架构，称为实时控制网，负责控制器操作站之间的过程控制业控制网络中存在大量工控设备，很多工控设备需要定期维护升级等，这些操作大多会依赖第方集成商甚至是国外厂商，基本会使用到第方软件和相应硬件。

这些软件和硬件的接入会直接威胁到工业控制网络。

外设风险。

外设风险是目前工业控制网络系统中公认存在的最普遍最具威胁的风险。

如震网病毒事件就是典型的依靠盘将外界网络病毒携带进工业控制网络的典型案例。

综合区域烧结区域炼铁区域炼钢铁行业工业控制系统安全防护研究论文原稿管理制度的日常运营工作，包括制度存档制度修订制度维护制度发布和制度销毁工作，并将相关责任落实到对应岗位人员确立安全管理机构和安全管理人员，明确各岗位人员职责分工建立完善的安全培训体系，包括工控网络安全意识培训工控网络安全技术培训设备安全使用培训等。

结语本文通过对钢铁行业工业控制系统安全现状的探讨与分析，深入到钢铁行业工控安全技术研究，挖掘实际生产业务场景设接口，切断移动介质传播病毒的途径。

采用双因子认证注册表保护重要文件行为审计等功能，确保主机实现身份鉴别访问控制恶意代码防范等功能。

集中管理控制。

建立个安全管理中心，对业务系统网络设备安全设备操作系统数据库等相关系统日志运行日志告警日志进行采集分析储存监控各设备的操作行为，实现账号集中授权管理身份认证深层次访问授权控制等功能，让内外部人员的操作处于可管控可署工业级防火墙，通过对工业协议的深度解析，综合运用工控威胁特征识别技术机器自学习与可信白名单技术，在提供传统防火墙的逻辑隔离访问控制等功能的同时，也可有效抵御各类针对工控系统的网络攻击和恶意破坏，为生产控制系统的稳定运行提供安全保障。

入侵检测与审计。

在各安全域汇聚交换机位臵旁路镜像部署流量审计或入侵检测类设备，作为工业防火墙的补充，通过内臵的工控威胁特征库病防护体系。

图所示为安全防护系统布局。

数据安全交换与隔离。

钢铁生产控制系统通讯协议均为工业专用协议，且因为前期并没有安全层面的考虑，导致许多生产数据，如用料成分生产排程材料试验数值等都是明文传输或是类型的文件，通过报文监听手段就能轻易地获取传输内容，造成生产数据的外泄。

所以需要在生产网与办公网之间增加双向物理隔离设备，数据包只以专有数据块方式静态地在内外难。

设备管理混乱及预警风险。

工控网络中部署大量的安全设备和安全软件，这些设备或软件会来自不同厂商或集成商。

如何对设备和软件进行集中管理策略下发状态监测，发挥各个设备的优势为整个生产网络提供漏洞监测风险预警等最基本的技术支撑是管理者需要考虑的重要问题。

此外，由于工控网络中设备数量及种类众多，导致资产统计不完整不完全不定时等，可能会造成资产管理混乱。

安全态势缺失括碱洗退火工艺工控系统网络相关上位主机上存在使用盘的