鋼鐵行業(yè)工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系建設(shè)方案

鄭江峰

摘要：2021年11月，工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟聯(lián)合中國鋼鐵工業(yè)協(xié)會(huì)、中國金屬學(xué)會(huì)研究編制了《工業(yè)互聯(lián)網(wǎng)與鋼鐵行業(yè)融合應(yīng)用參考指南（2021年）》，旨在為鋼鐵行業(yè)工業(yè)互聯(lián)網(wǎng)建設(shè)過程中的需求場景識(shí)別、應(yīng)用模式打造、關(guān)鍵系統(tǒng)構(gòu)建和組織實(shí)施路徑提供參考借鑒，加快工業(yè)互聯(lián)網(wǎng)與鋼鐵行業(yè)融合應(yīng)用，推動(dòng)鋼鐵行業(yè)轉(zhuǎn)型升級(jí)。

關(guān)鍵詞：鋼鐵行業(yè);互聯(lián)網(wǎng)安全;多層級(jí)安全;防護(hù)體系

引言：

工業(yè)互聯(lián)網(wǎng)已成為國家關(guān)鍵信息基礎(chǔ)設(shè)施的重要組成部分，自身安全可控是確保其在各生產(chǎn)領(lǐng)域能夠落地實(shí)施的前提，更是產(chǎn)業(yè)安全和國家安全的重要基礎(chǔ)和保障。本方案能夠有效驗(yàn)證工業(yè)互聯(lián)網(wǎng)安全技術(shù)及產(chǎn)品的有效性，有助于化解當(dāng)前工業(yè)互聯(lián)網(wǎng)安全防護(hù)產(chǎn)品和能力供給不足等難題，建立健全典型行業(yè)工業(yè)互聯(lián)網(wǎng)保障體系，為保障國家網(wǎng)絡(luò)安全、建設(shè)網(wǎng)絡(luò)強(qiáng)國夯實(shí)產(chǎn)業(yè)基礎(chǔ)。

1.鋼鐵行業(yè)工業(yè)互聯(lián)網(wǎng)的安全問題

一系列的安全事故顯示，鋼鐵工業(yè)已經(jīng)成為了一個(gè)新的信息安全領(lǐng)域，甚至是國家安全。隨著我國鋼鐵企業(yè)受到的網(wǎng)絡(luò)攻擊事件不斷增加，我國企業(yè)的安全防范系統(tǒng)建設(shè)顯得尤為重要。目前，工業(yè)互聯(lián)網(wǎng)的發(fā)展已成為各國政府關(guān)注的焦點(diǎn)，紛紛出臺(tái)了一系列的技術(shù)指引和標(biāo)準(zhǔn)，為行業(yè)企業(yè)的安全保護(hù)工作提供了可參考的范例，從某種意義上保證了工業(yè)互聯(lián)網(wǎng)的健康有序發(fā)展，但隨著工業(yè)互聯(lián)網(wǎng)安全攻擊日益呈現(xiàn)出的新型化、多樣化、復(fù)雜化，現(xiàn)有的工業(yè)互聯(lián)網(wǎng)安全保障體系還不健全，暴露出許多問題。

1.1安全漏洞日益增多

中國國家信息安全漏洞共享平臺(tái)的最新數(shù)據(jù)表明，從2000年到2009年，中國計(jì)算機(jī)協(xié)會(huì)所記錄的工業(yè)控制系統(tǒng)的漏洞數(shù)從2000年到2009年都是個(gè)位數(shù)。但是在2010年，這個(gè)數(shù)字猛增到32個(gè)，第二年就達(dá)到190個(gè)。這一現(xiàn)象與 Stuxnet蠕蟲病毒（Stuxnet）在2010年被發(fā)現(xiàn)有直接聯(lián)系。Stuxnet病毒是全球首款針對工業(yè)控制系統(tǒng)的毀滅性病毒，從此，工業(yè)控制系統(tǒng)安全受到了廣泛的重視。

以某鋼鐵企業(yè)實(shí)際場景為例，常見工控系統(tǒng)的漏洞包括：操作系統(tǒng)層面的漏洞，例如過時(shí)XP系統(tǒng)存在大量系統(tǒng)漏洞;工控協(xié)議的漏洞，例如IEC 104、MBE、ABR、S7A等第三方工控驅(qū)動(dòng)存在的通訊漏洞;工控網(wǎng)絡(luò)架構(gòu)上的漏洞，例如未采用有效隔離手段，造成網(wǎng)絡(luò)混亂問題;工業(yè)互聯(lián)網(wǎng)管理措施上的漏洞，例如對工控安全重視不夠，整改措施落實(shí)不到位等。

1.2網(wǎng)絡(luò)安全防護(hù)體系不完整

安全防護(hù)手段單一，僅部署了邊界訪問控制措施、殺毒軟件等，缺乏入侵檢測、安全審計(jì)等安全手段，難以形成全局的安全風(fēng)險(xiǎn)監(jiān)控，安全策略和配置難以統(tǒng)一協(xié)調(diào)。難以有效抵擋零日攻擊。現(xiàn)有安全防護(hù)手段能夠有效防范已知特征的攻擊行為，但對于目前越來越多的零日攻擊，缺乏有效的防護(hù)手段。與安全相關(guān)的數(shù)據(jù)量越來越大，難以對海量存儲(chǔ)的數(shù)據(jù)形成有效挖掘，以輔助安全人員從大量、孤立的事件中判斷未知的攻擊行為。

2. 互聯(lián)網(wǎng)安全防護(hù)方案

2.1數(shù)據(jù)全生命周期的安全防護(hù)

根據(jù)其性質(zhì)和特點(diǎn)，可以將其劃分為設(shè)備數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、知識(shí)庫數(shù)據(jù)、用戶個(gè)人數(shù)據(jù)四大類。數(shù)據(jù)的敏感性可以分為一般數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)。工業(yè)網(wǎng)絡(luò)數(shù)據(jù)涉及到數(shù)據(jù)的采集、傳輸、存儲(chǔ)和處理等各個(gè)方面。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)從少量、單一、單向向大量、多維、雙向轉(zhuǎn)化，數(shù)據(jù)量不斷增加、種類越來越多、結(jié)構(gòu)越來越復(fù)雜，同時(shí)還產(chǎn)生了企業(yè)內(nèi)外數(shù)據(jù)雙向流通和共享的現(xiàn)象。在鋼鐵企業(yè)的工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)保護(hù)中，必須采用數(shù)據(jù)加密傳輸、數(shù)據(jù)加密存儲(chǔ)和數(shù)據(jù)脫敏處理等方法。

2.2設(shè)備安全防護(hù)

設(shè)備安全防護(hù)系統(tǒng)從鋼鐵企業(yè)煉鐵、煉鋼、軋鋼等工藝使用的PLC、儀表、自控等設(shè)備的硬件安全和軟件安全兩方面出發(fā)，通過解析各個(gè)工藝流程控制指令要求，發(fā)現(xiàn)PLC等設(shè)備存在的安全漏洞，避免設(shè)備指令被非法篡改，采用的安全機(jī)制包括漏洞發(fā)現(xiàn)與修復(fù)、補(bǔ)丁升級(jí)管理、設(shè)備接入認(rèn)證、運(yùn)維管控等控設(shè)備的安全運(yùn)維。

2.3控制安全防護(hù)

鋼鐵行業(yè)工業(yè)控制網(wǎng)絡(luò)目前已由分層、封閉逐步向扁平、開放、全局方向發(fā)展。其中在控制環(huán)境方面表現(xiàn)為信息技術(shù)（IT）與操作技術(shù)（OT）融合，控制網(wǎng)絡(luò)由封閉走向開放;在控制布局方面表現(xiàn)為控制范圍從局部擴(kuò)展至全局，并伴隨著控制監(jiān)測上移與實(shí)時(shí)控制下移。對于鋼鐵行業(yè)控制安全防護(hù)，主要從工廠OT層控制協(xié)議安全、控制軟件安全兩方面考慮。

（1）控制協(xié)議安全包括訪問控制、安全審計(jì)、威脅誘捕等方式保障控制協(xié)議的安全。

（2）控制軟件安全鋼鐵企業(yè)工業(yè)控制網(wǎng)絡(luò)中的控制軟件可歸納為數(shù)據(jù)采集軟件、組態(tài)軟件、過程監(jiān)督與控制軟件、單元監(jiān)控軟件、過程仿真軟件、過程優(yōu)化軟件、專家系統(tǒng)、人工智能軟件等類型。通過惡意代碼檢測、工控主機(jī)防護(hù)、基線核查等方式保障控制軟件的安全。

2.4網(wǎng)絡(luò)安全防護(hù)

鋼鐵行業(yè)工業(yè)控制網(wǎng)絡(luò)目前已呈現(xiàn)出IP化、無線化、組網(wǎng)方式靈活化與全局化的特點(diǎn)，企業(yè)專網(wǎng)與互聯(lián)網(wǎng)逐漸融合、產(chǎn)品服務(wù)日益互聯(lián)網(wǎng)化使鋼鐵行業(yè)從傳統(tǒng)生產(chǎn)向智能化生產(chǎn)轉(zhuǎn)型，企業(yè)工業(yè)控制網(wǎng)絡(luò)的安全服務(wù)鋼鐵智能化生產(chǎn)，主要采取的安全措施包括網(wǎng)絡(luò)邊界安全、網(wǎng)絡(luò)接入認(rèn)證、通信和傳輸保護(hù)、安全監(jiān)測審計(jì)。

結(jié)束語：

工業(yè)互聯(lián)網(wǎng)是新一代信息技術(shù)和生產(chǎn)技術(shù)的結(jié)合，正在逐步成為產(chǎn)業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化發(fā)展的重要支撐力量。在鋼鐵行業(yè)的發(fā)展中，率先進(jìn)行了產(chǎn)業(yè)互聯(lián)網(wǎng)的開發(fā)，能夠促進(jìn)整個(gè)產(chǎn)業(yè)的生產(chǎn)、流通效率的提升，加快產(chǎn)業(yè)的轉(zhuǎn)型和升級(jí)。但是，在工業(yè)生產(chǎn)中，隨著科技的發(fā)展和進(jìn)步，風(fēng)險(xiǎn)也會(huì)隨之產(chǎn)生。隨著工業(yè)互聯(lián)網(wǎng)的迅速發(fā)展，工業(yè)控制系統(tǒng)由封閉向開放、信息孤島向互聯(lián)互通轉(zhuǎn)變，由傳統(tǒng)的網(wǎng)絡(luò)安全威脅逐漸向工業(yè)控制系統(tǒng)滲透、擴(kuò)散。鋼鐵工業(yè)是國民經(jīng)濟(jì)的支柱產(chǎn)業(yè)，如果受到了嚴(yán)重的打擊，那么它的危害將會(huì)波及到整個(gè)產(chǎn)業(yè)鏈、生態(tài)、經(jīng)濟(jì)、社會(huì)的穩(wěn)定、國家的安全。

參考文獻(xiàn)

[1] 劉仁輝，張尼，吳云峰. 構(gòu)筑工業(yè)互聯(lián)網(wǎng)安全防護(hù)體系 為推動(dòng)先進(jìn)制造業(yè)發(fā)展保駕護(hù)航[J]. 信息技術(shù)與網(wǎng)絡(luò)安全，2018，37（1）：23-24，29.

[2] 朱光亮. 工業(yè)互聯(lián)網(wǎng)平臺(tái)安全防護(hù)體系研究[J]. 無線互聯(lián)科技，2021，18（19）：12-13.