近年我國鋼鐵產(chǎn)量逐年呈階梯式增長,但多數(shù)中小型鋼鐵企業(yè)均以粗鋼為主要生產(chǎn)物,產(chǎn)品同質(zhì)化嚴重,造成產(chǎn)能過剩。出于優(yōu)化鋼鐵產(chǎn)業(yè)結(jié)構(gòu)、打造數(shù)字化鋼鐵生產(chǎn)系統(tǒng)、節(jié)能減排以及發(fā)展特種用鋼等多方面原因,多數(shù)中小型以粗鋼為生產(chǎn)核心的老舊企業(yè)被整合關(guān)閉,鋼鐵行業(yè)呈集團化、數(shù)字化發(fā)展。
鋼鐵行業(yè)有哪些業(yè)務(wù)場景?
鋼鐵生產(chǎn)的流程包含離散制造與流程制造兩種體系,涉及工藝類型眾多。不同工藝間具有較強的邏輯關(guān)系,并且生產(chǎn)過程還包含熱加工類工藝,業(yè)務(wù)整體連續(xù)性要求極高,其主要業(yè)務(wù)場景如下:
礦采:獲得鐵礦石
選礦:將鐵礦石破碎、磁選成鐵精粉
燒結(jié):將鐵精粉燒結(jié)成具有一定強度、粒度的燒結(jié)礦
冶煉:將燒結(jié)礦運送至高爐,熱風、焦炭使燒結(jié)礦還原成鐵水,并脫硫
煉鋼:在轉(zhuǎn)爐內(nèi)高壓氧氣將鐵水脫磷、去除夾雜,變成鋼水
精煉:進一步脫磷、去除夾雜,提高純凈度
連鑄:熱狀態(tài)下將鋼水鑄成具有一定形狀的連鑄坯
軋鋼:將連鑄坯軋制成用戶要求的各種型號的鋼材,如板材、線材、管材等
數(shù)字化轉(zhuǎn)型環(huán)境下,鋼鐵行業(yè)發(fā)展現(xiàn)狀是怎樣的?
隨著國家數(shù)字化轉(zhuǎn)型的加速,鋼鐵行業(yè)也在逐年向“數(shù)字鋼鐵”穩(wěn)步推進。信息系統(tǒng)的應(yīng)用替代傳統(tǒng)人工,起到了強化鋼鐵企業(yè)生產(chǎn)管控水平、規(guī)范內(nèi)部管理、提高運作效率、增產(chǎn)降耗的作用。鋼鐵企業(yè)基本形成了由過程控制系統(tǒng)、過程監(jiān)控系統(tǒng)、生產(chǎn)管理系統(tǒng)構(gòu)建的生產(chǎn)架構(gòu),完成了燒結(jié)、煉鋼、精煉、軋鋼等生產(chǎn)環(huán)節(jié)的信息化和自動化改革,實現(xiàn)了數(shù)據(jù)采集精確化、生產(chǎn)流程連續(xù)化、應(yīng)用系統(tǒng)集成化。
鋼鐵行業(yè)在工業(yè)控制系統(tǒng)信息安全方面有哪些風險?
工業(yè)控制系統(tǒng)漏洞繁多以及工業(yè)協(xié)議風險問題
當前鋼鐵行業(yè)自動控制設(shè)備和應(yīng)用系統(tǒng)多數(shù)采用西門子等歐美自動化品牌,同時又存在著設(shè)備服役周期過長導致高危漏洞過多,應(yīng)用升級導致控制系統(tǒng)不兼容等多種不可調(diào)和矛盾。另外,控制設(shè)備的訪問控制策略過于簡單,甚至不具備訪問控制功能,入侵者很容易利用認證缺失的問題進行攻擊。
出于可用性和實時性考慮,工業(yè)協(xié)議設(shè)計中在保密性和安全性方面相對薄弱。諸如Modbus等工業(yè)協(xié)議存在明文傳輸?shù)膯栴},極易被入侵者通過劫持手段進行惡意破壞。
高耦合性業(yè)務(wù)需求導致的邊界模糊問題
由于鋼鐵生產(chǎn)工藝連續(xù)性較強,工業(yè)生產(chǎn)現(xiàn)場存在不同控制系統(tǒng)共用控制器和交換設(shè)備的情況。網(wǎng)絡(luò)安全分區(qū)分域原則與應(yīng)用系統(tǒng)業(yè)務(wù)邏輯上的矛盾,導致邊界模糊、邊界防護不足。此外,隨著越來越多的工業(yè)設(shè)備接入網(wǎng)絡(luò),也增加了入侵者利用木馬蠕蟲或設(shè)備自身漏洞進行攻擊的風險。
行為監(jiān)測能力缺失
隨著云計算、物聯(lián)網(wǎng)等新技術(shù)在鋼鐵企業(yè)的普及應(yīng)用,攻擊者通過跳板機對工業(yè)控制系統(tǒng)進行惡意破壞的事件屢見不鮮,同時內(nèi)部違規(guī)操作和誤操作等事故也時有發(fā)生。安全管理制度的缺失導致工作人員缺乏網(wǎng)絡(luò)安全意識,鋼鐵企業(yè)也普遍缺少針對內(nèi)外部威脅的檢測響應(yīng)能力。
應(yīng)如何應(yīng)對鋼鐵行業(yè)的工業(yè)信息安全風險?
目前工業(yè)控制系統(tǒng)信息安全防護方案仍然局限于被動的單點防御方式,很難應(yīng)對日益嚴峻的工業(yè)信息安全形勢。天融信結(jié)合多年工業(yè)信息安全研究和項目實踐,在傳統(tǒng)被動防護基礎(chǔ)上推出了集風險識別(Identification)-安全防御(Protection)-安全檢測(Detection)-安全響應(yīng)(Response)- 安全恢復(Recovery)的IPDRR安全技術(shù)架構(gòu)。架構(gòu)基于風險識別與安全保護的系統(tǒng)安全加固方法以及基于傳統(tǒng)網(wǎng)絡(luò)與工業(yè)控制系統(tǒng)融合、安全聯(lián)動的系統(tǒng)實時檢測與響應(yīng)機制,遵循以“白名單為主,黑名單為輔”的黑白結(jié)合方式并加以深度分析的技術(shù)原則,全面保障鋼鐵行業(yè)網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全以及主機安全。
天融信基于IPDRR架構(gòu)的鋼鐵行業(yè)工業(yè)信息安全防御閉環(huán)
>>>風險識別(Identification):對鋼鐵企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)流量、資產(chǎn)和數(shù)據(jù)面臨的安全風險進行識別和確認。明確其生產(chǎn)網(wǎng)絡(luò)中的接入資產(chǎn)類別、網(wǎng)絡(luò)結(jié)構(gòu)、通信行為、主機行為等,確認其中存在的脆弱性以及可能遭受攻擊的可能性,落實切實可行的安全架構(gòu),并為防御、檢測提供有效的數(shù)據(jù)支撐。
>>>安全防御(Protection):基于風險識別能力的支撐,構(gòu)建以行為管控為基礎(chǔ)的基礎(chǔ)防御能力。對通信過程中的指令、數(shù)據(jù)地址、數(shù)值內(nèi)容構(gòu)建以白名單技術(shù)為核心手段、黑名單技術(shù)為輔助驗證手段的訪問控制能力,并在必要節(jié)點采用加密認證手段,落實數(shù)據(jù)傳輸過程中的完整性與保密性。在主機防護層面,以最小化原則落實系統(tǒng)管理、應(yīng)用程序管理、進程和服務(wù)管控以及接口管控、移動存儲介質(zhì)管控,同時起到限制惡意代碼執(zhí)行的作用。對于工業(yè)數(shù)據(jù),則按照業(yè)務(wù)重要性進行分類分級,以標簽方式將用戶與數(shù)據(jù)進行關(guān)聯(lián),針對數(shù)據(jù)地址實行訪問控制。并對數(shù)據(jù)產(chǎn)生、傳輸、應(yīng)用、共享、存儲、銷毀的全生命周期管控。
>>>安全檢測(Detection):基于風險識別能力的支撐,采用基于天融信“四維一體”的工業(yè)協(xié)議深度檢測技術(shù),實時監(jiān)測越權(quán)操作行為。同時,深度結(jié)合鋼鐵行業(yè)生產(chǎn)控制過程,在越權(quán)、越線檢測外,構(gòu)建基于數(shù)據(jù)變化率的檢測能力,有效面對控制領(lǐng)域中基于合法路徑、合法行為的非法攻擊過程。
>>>事件響應(yīng)(Response):面對已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件和已知威脅,整合安全識別、安全防御和安全檢測三大安全模塊,并結(jié)合以大數(shù)據(jù)為核心的安全分析能力,構(gòu)建安全運營系統(tǒng)。安全運營系統(tǒng)通過三大安全模塊的信息收集和資源整合,分析鋼鐵企業(yè)網(wǎng)絡(luò)安全態(tài)勢,與其他安全模塊策略聯(lián)動,并具備安全監(jiān)測、風險評估、事件追蹤、和響應(yīng)恢復能力。
>>>安全恢復(Recovery):在安全事件后,為最大限度降低事件對于生產(chǎn)過程的影響,對生產(chǎn)數(shù)據(jù)進行備份恢復,并通過安全服務(wù),消除攻擊過程中殘留的惡意腳本、僵尸主機,對安全事件處置進行閉環(huán),并有效防范后續(xù)的攻擊過程。
基于多年鋼鐵行業(yè)控制系統(tǒng)信息安全技術(shù)積累和實踐經(jīng)驗,天融信結(jié)合鋼鐵工業(yè)現(xiàn)場風險以及業(yè)務(wù)需求,打造基于IPDRR安全技術(shù)架構(gòu)的主動防御能力,以識別、防御、檢測、響應(yīng)、恢復五大安全模塊之間協(xié)同配合、智能聯(lián)動,形成鋼鐵行業(yè)控制系統(tǒng)信息安全能力閉環(huán),為鋼鐵行業(yè)數(shù)字化轉(zhuǎn)型提供堅實的網(wǎng)絡(luò)安全保障。
