今日頭條
官方微信
官方抖音
資訊頻道1、背景介紹
近年來,鋼鐵行業的網絡安全事件呈現出逐年遞增、危害性加劇的趨勢,使得工業網絡安全成為保障生產安全的關鍵要素。在這一背景下,某鋼鐵集團作為鋼鐵行業智能制造的標桿企業,不僅在數字化和智能化轉型方面取得了顯著成就,而且其信息化網絡安全能力也得到了持續加強。然而,面對日益嚴峻的工控網絡安全形勢,工控系統欠缺防護的短板日益凸顯,全面提升工控安全水平變得尤為迫切。
如何構建真正有效的工控安全防護和管理體系成為該集團數智化發展的重要課題之一。為此,該集團通過廣泛調研、充分論證,并選取了某車間作為測試區域,開展了工控系統深度安全防護和整體監管的功能測試,旨在驗證安全監管、防護措施及風險監測等方面的有效性。
通過充分的驗證測試,最終該集團公司選擇了中控技術所推薦的國利網安產品技術和方案設計,并進行了三個分廠的方案建設。項目建設過程中全面梳理現有資產和網絡狀況,識別潛在風險點,設計針對性解決方案,尤其針對現場中各類PLC控制系統進行了針對性的安全防護和常態監管,為持續提升該集團工控網絡安全防護水平打下堅實基礎,也為鋼鐵工控系統深度安全防護和智慧運營管控樹立示范案例。
2、目標與原則
針對該集團公司三個分廠的工控安全現狀及現場調研結果,項目團隊制定了一套針對性的工控系統安全防護策略,從管理、技術和網絡安全運維等維度出發,增強工控系統的深度安全防護和常態運營管控能力,確保工業生產安全順暢,同時也滿足嚴格的網絡安全監管要求和政策法規標準。
目標:
(1)建設“全面監管、縱深防御、持續運營”的安全防護體系,監控事業部資產狀況,持續提升安全運維和處置響應能力,及時發現并解決潛在隱患,避免生產因安全問題中斷;
(2)制定完善的工控安全管理制度,強化日常安全工作管理,提升工控安全管理水平,落實工控安全體系中的管理手段;
(3)滿足國家和行業針對企業工控系統安全防護的合規性要求,滿足網絡安全檢查和認證的要求;
(4)根據事業部試點情況,逐步推廣到全集團,最終實現集團整體的工控安全防護和可管可控。
原則:
(1)先進性:采用先進技術,運用最新的安全技術手段,對工業控制系統中的異常資產和潛在威脅進行實時監測和分析,以便及時發現工控網絡安全風險,確保工控系統的安全防護水平始終處于領先地位。
(2)兼容性:與現有的工業控制系統在硬件、軟件、網絡等方面具有良好的兼容性,安全設備部署不會對系統的正常運行造成干擾或影響,提供豐富的接口滿足后期IT安全運營管控平臺接入需求。
(3)可拓展性:采用模塊化、分布式的安全架構,便于根據工業控制系統的規模和需求進行靈活擴展和升級,能夠快速適應集團業務發展和技術創新的需要。
(4)經濟性:用現有數據采集鏈路,利用少量的交換機新增完成安全管理網搭建,減少項目成本投入。
(5)集中管理:制定統一的安全策略,對工業控制系統中的用戶訪問、數據傳輸、設備操作等進行規范和約束,確保安全策略的一致性和有效性。
3、案例實施與應用情況
總體思路
鋼鐵工控系統深度安全防控和智慧運營管控示范項目建設立足于現有的網絡、控制系統以及安全管理的現狀和特點,以集團的數字化和整體網絡安全發展規劃為指導,結合工業網絡安全保障建設自身的規律和特點,充分參考《信息安全技術 網絡安全等級保護基本要求》和《工業控制系統網絡安全防護指南》等法規要求,提出“全面監管、縱深防御、持續運營”防護思路,實現對集團->事業部->廠->裝置工控在網資產的全面管控、內外部人員操作的全面監測與管理,生產控制系統由內到外、從控制指令到控制組態程序的縱深防護,構建集團->事業部->廠->裝置的工控安全運營管控體系,持續保障工控網絡和業務安全。
實施方案
本項目建設內容包括工業安全態勢感知平臺、工控安全管理平臺、工控資產健康監測、工業入侵檢測、控制器防護、控制器監測與恢復、USB安全隔離終端等關鍵設備部署實施和聯調級聯。通過增設業務網交換機,將分散在不同物理位置的一級網絡通過現有光纖匯聚至同一機房,實現對各區域業務網的接入以及工控網絡安全設備的集中管理。
在集團層面,通過部署的工業安全態勢感知平臺,利用該平臺作為工控網絡安全運營管控的核心工具。從宏觀角度出發,進行網絡監管、安全監測、管控、響應和事件處置,并收集外部安全威脅情報信息。該平臺具備事前預警、事中發現、事后回溯的能力,以及安全可視化功能,為安全管理提供決策支持。
在廠區層面,通過部署安全管理平臺,實現對網絡安全產品的集中管理與監控。通過收集安全設備的防護日志,管理安全設備策略配置,實時了解工控網絡系統的安全狀況,并將數據上傳至事業部的態勢感知平臺。在分廠的各個區域,旁路部署資產健康監測系統,以實現對資產狀況、網絡拓撲結構、風險識別等的監控,滿足區域資產監控需求。在廠級管理交換機上旁路部署工業入侵檢測系統,負責采集、分析和監測安全管理網絡流量,以識別網絡異常行為和攻擊行為。在分廠的各個區域旁路部署控制器完整性監測與恢復系統,實時監控各區域主要PLC控制器的運行狀態、故障及報警日志、控制器組態程序,并支持異常情況下的數據恢復。特別是在熱處理后區PLC部署控制器防護系統,以識別和攔截針對PLC控制器的攻擊和非法工控操作。在廠級管理交換機部署USB隔離裝置,解決移動存儲介質的安全接入問題。此外,新增安全管理網防火墻,確保廠級管理平臺與整體安全態勢感知平臺之間的安全隔離。
技術創新點
本項目安全防護深入到L1層的PLC控制系統,突破性采用工控資產無擾深度識別技術、通信超低時延控制技術、組態工程重建技術、PLC組態數據完整性鑒別技術等創新技術,在保證無擾影響的原則下,實現工業控制系統的安全防護能力提升。
工控資產無擾深度識別技術:采用基于工控網絡通信指紋特征庫,主動掃描和被動監控相結合的工控通信主體識別方法,針對連接狀態、會話狀態、硬件基本信息等指紋特征形成高效、高準確度的工控資產識別方法。其中,可識別的資產特征信息具體包括設備品牌型號、硬件配置、運行趨勢、系統運行日志、安全日志、錯誤日志、開放端口、控制器運行狀態、主機安全配置等。
通信超低時延控制技術:通過業界首個直接部署在工控系統控制器前的產品,直接對控制器進行安全防護,其微秒級處理時延少于30us,優于業界最好性能60us。采用硬件回路替代邏輯算法實現超低時延,使用雙處理器架構,兩個處理器之間相互獨立,通過有限通信,當某一個處理器遭受網絡攻擊或處理器不能正常工作時,另一個處理器的業務處理單元仍能夠正常處理業務流程;設備具有低延時、高可靠以及超強的自身安全性。
組態工程重建技術:主被動雙重檢驗的組態工程重建和監測技術,實時測量、收集控制器健康數據,為控制器建立全生命周期組態信息管理檔案,解決控制器在遭受組態篡改攻擊后無法快速恢復、控制器組態文件無法審計分析的問題。
PLC組態數據完整性鑒別技術:實現了對工業控制器健康狀態的實時監測,支持組態工程差異比對,實現組態版本的集中管理,并定期記錄組態變更,無擾備份工業控制器的組態工程,基于主被動雙重檢驗技術的組態工程重建和監測技術,實現控制器組態監測、控制器組態程序實時備份以及在安全事件發生后提供應急恢復等手段。
組態快照回滾技術:控制器組態快照回滾技術是在監測到控制器組態和數據由于受到攻擊、由于病毒而發生非法修改或需要引用控制點組態時,能夠基于組態備份在第一時間自動或手動將受到篡改的組態進行組態快照回滾,從而阻止危害事件的發生或使得危害降至最低。
控制器監測和組態備份、恢復,基于主被動雙重檢驗技術的組態工程重建和監測技術,實現控制器組態監測、控制器組態程序實時備份以及在安全事件發生后提供應急恢復等手段,創新實現了控制器運行狀態及故障信息的監測,控制器組態完整性監測與恢復,組態工程的歷史版本管理,支持控制器組態工程歷史版本回退。此技術及應用在國內工控安全領域具有領先地位,同時已有成熟應用案例,本次項目中此部分屬客戶首次應用,對保護控制器的正常運行具有重要意義。
重難點問題及解決思路
重難點問題1:鑒于工業現場網絡布局分散且難以實現統一安全管理,導致安全構建成本攀升。
解決思路:為應對這一挑戰,該項目提出了一套創新性的安全管理網絡架構方案。該方案通過增設少量交換機及配套接口模塊,巧妙地將零散的網絡節點匯聚成集中管理體系。借助精心規劃的網絡配置策略,在確保各子網間保持必要隔離的同時,僅利用有限數量的安全設備即可實現對所有網絡的有效監控與管理,從而顯著減少了對額外安全硬件的需求,有效控制了項目整體開支,同時保證了預期效果。
重難點問題2:本項目聚焦于工業控制系統中的PLC系統層面的安全和可用性,特別關注新增安全防護措施可能對現有業務流程產生的潛在影響——這被視為實施過程中的關鍵難題之一。
解決思路:除了作為試點項目的控制器保護系統外,其他新引入的各種設備和系統均采用旁路接入方式融入現有的工業控制網絡之中,不僅避免了對原有架構造成任何改動,而且經過嚴格測試證明,這些新增組件對于現場可編程邏輯控制器(PLC)的工作負荷影響低極低,不會干擾正常的生產活動。此外,為了最大限度降低風險,所有安全功能部署均安排在非工作時間進行,并密切配合現場運維團隊完成全面檢查,以確保整個安全升級過程對日常運營“零”干擾。
重難點問題3:在此次項目中,一個亟待解決的關鍵難題是如何將大量的安全告警進行整合分析,從中提煉出需要重點關注的工控安全事件,并針對這些事件實施集中的閉環處理。
解決思路:通過事業部態勢感知平臺與廠級管理平臺的協同聯動,實現對各分廠安全動態的集中可視化呈現。利用平臺的關聯聚類和AI算力技術進行數據分析,提煉并總結真正需要處置的少量關鍵高風險事件,及時生成預警,通知安全管理人員進行風險處置。通過循環往復的閉環處理,不斷磨合事業部現有的工控安全運營團隊,提升其綜合安全運營能力,為下一步集團級安全運營體系的建設奠定堅實基礎。
4、應用價值與效益
通過本次項目的實施,達成了對工控網絡資產的全面監控與主動排查目標,將資產納入管理的比例提高到了100%,并且整合了詳盡的資產記錄,清晰地展現了從集團到事業部再到分廠乃至到裝置作業區的多層級之間的資產和網絡分布情況。此外,利用先進的技術手段,使得安全管理人員能夠即時獲取資產狀況,提供了迅速恢復資產功能的方法,大大縮短了業務中斷后恢復正常運作所需的時間,從而為現場工業生產活動提供了堅實的保障。同時,借助于可視化平臺的支持,可以實時查看交換機等關鍵設備的具體信息,這對于解決網絡問題來說是一個極大的助力,同時也有效降低了運營成本。最后,結合可編程邏輯控制器(PLC)組態工程的實時監控能力,能夠快速檢測并應對未經授權的組態更改行為,防止因不當操作導致的生產運行意外中斷。
4.1應用價值
4.1.1資產辨識與測繪技術為分廠工控網絡資產的全面管理提供了有力支持:通過主動資產識別及全網資產畫像技術,實現了對分廠資產信息的集中健康監測。這一舉措協助該集團公司在工控網絡資產管理方面實現了從被動到主動的轉變,確保了資產在線狀態的清晰可見。項目實施后,對三個分廠共計890項網絡資產已完成有效登記并持續處于監管之下,將原有的資產納入率由約50%提升至100%,徹底做到了“資產家底、心中有數”。
4.1.2資產臺賬整合與風險評估:助力各分廠完成了資產臺賬的系統化整合,采用分級架構詳盡展示了不同層級的資產信息。通過可視化手段,全面呈現了資產狀態、網絡事件、風險暴露點以及潛在漏洞等信息,為資產風險管理提供了堅實的數據基礎。
4.1.3實時監控與快速響應:為安全管理人員提供了實時資產狀態監控的技術手段。通過這一系統,管理人員能夠即時獲取資產異常離線的時間及相關詳細信息,從而迅速采取相應措施。同時,借助先進的技術工具,現場運維人員可以快速恢復資產的正常狀態,確保網絡中各項資產的健康運行。
4.1.4精準繪制網絡拓撲與故障診斷:在全面掌握資產數據及維護信息的基礎上,完成了三個分廠主要裝置區的網絡拓撲圖繪制。通過提供便捷的技術手段,幫助現場運維人員快速定位和診斷故障,準確識別異常資產鏈路連接狀況,從而大幅縮短業務恢復時間,確保工業生產的穩定運行。
4.1.5交換機資產可視化與故障排查優化:通過可視化手段,實現了對交換機資產詳細信息的實時掌握,包括運行狀態和端口信息。借助工控交換機資產畫像,現場運維人員能夠實時查看接口狀態和流量數據,為網絡故障排查和鏈路風險評估提供了強有力的技術支撐,顯著縮短了網絡故障的排查時間,并降低了人工運營成本。
4.1.6 PLC組態實時監控與一鍵恢復:通過快速識別PLC組態修改行為并生成告警信息,裝置作業區管理人員能夠迅速掌握組態變更情況。系統提供一鍵恢復功能,幫助管理人員快速恢復組態工程,有效避免因組態異常篡改導致的生產非正常停滯。
此次項目聚焦于試點區域內的工業控制網絡,旨在提升其安全防護能力。通過實施“全面監管、縱深防御、持續運營”的防護策略,構建了覆蓋鋼鐵生產業務智能化管控的工控解決方案。該項目不僅具有較高的社會效益,還為維護社會和諧穩定和提高關鍵基礎設施的防護能力提供了堅實的支撐與保障。
4.2應用效益
4.2.1社會效益
本項目的實施助力該鋼鐵集團實現生產控制領域的數智化轉型,也為冶金行業的工控網絡安全防護樹立了標桿。此舉有助于防范因工控網絡安全問題引發的生產事故,確保現場作業區員工的安全與財產保障。
1、助力數字化轉型
工控安全防護能力建設在是工業數字化轉型的重要保障。通過強化工控網絡的安全防護措施,不僅能夠有效防范潛在的安全風險,為冶金企業的數字化進程提供堅實的保障。這一舉措將推動該集團公司向更加智能化、高效化的方向邁進,提升企業在全球市場的競爭力。
2、樹立行業標桿
此次工控網絡安全建設方面的成功實踐,不僅能夠為其他冶金企業提供寶貴的經驗和示范案例,還能推動整個行業的網絡安全水平提升。通過分享最佳實踐和經驗教訓,業內鋼鐵和冶金企業可以相互學習,共同提高應對網絡安全威脅的能力。這種良性的行業生態有助于促進企業間的協同發展,形成合作共贏的局面。同時,這也將激勵企業在網絡安全方面進行更多的投入和創新,以保持競爭優勢。
3、保護員工生命安全
通過加強工控網絡的安全防護建設,可以有效預防因網絡安全事件導致的人員傷亡和財產損失。此舉不僅有助于保障員工的生命健康,還為企業的穩定運營提供了堅實的基礎。在數字化時代,工控網絡已成為工業生產的核心環節,任何安全漏洞都可能引發嚴重的生產事故。因此,提升工控網絡的安全水平,不僅是對員工生命健康的負責,也是對企業長遠發展的投資。
4.2.2經濟效益
本項目建設將給該集團帶來直接和間接經濟價值。
1、生產運營方面
減少生產中斷損失:有效防止黑客攻擊、病毒入侵等網絡安全事件導致的生產設備故障、工藝流程紊亂,避免生產停滯或減產,保障生產活動的連續性和穩定性,減少因生產中斷帶來的直接經濟損失,如原材料浪費、設備閑置成本、訂單延誤賠償等。
保障生產效率:安全穩定的工控網絡環境有助于生產設備的正常運行和自動化控制系統的高效工作,本次項目建設通過對全網的資產、網絡的監測和管理,有效減少因網絡故障或安全問題導致的設備運行緩慢、控制指令延遲等情況。
2、成本控制方面
降低運維成本:通過建立集中的安全管理,減輕人員運維工作量,降低系統的運維成本。
3、數據資產方面
保護核心數據安全:冶金企業的生產工藝等核心數據是企業的重要資產,本項目建設能夠防止數據的竊取和篡改,保護企業的知識產權和商業機密,避免因數據泄露導致的經濟損失和市場競爭力下降。
北京市公安局海淀分局備案號:11010802023656號