鋼鐵行業工業互聯網安全防護體系建設方案

鄭江峰

摘要：2021年11月，工業互聯網產業聯盟聯合中國鋼鐵工業協會、中國金屬學會研究編制了《工業互聯網與鋼鐵行業融合應用參考指南（2021年）》，旨在為鋼鐵行業工業互聯網建設過程中的需求場景識別、應用模式打造、關鍵系統構建和組織實施路徑提供參考借鑒，加快工業互聯網與鋼鐵行業融合應用，推動鋼鐵行業轉型升級。

關鍵詞：鋼鐵行業;互聯網安全;多層級安全;防護體系

引言：

工業互聯網已成為國家關鍵信息基礎設施的重要組成部分，自身安全可控是確保其在各生產領域能夠落地實施的前提，更是產業安全和國家安全的重要基礎和保障。本方案能夠有效驗證工業互聯網安全技術及產品的有效性，有助于化解當前工業互聯網安全防護產品和能力供給不足等難題，建立健全典型行業工業互聯網保障體系，為保障國家網絡安全、建設網絡強國夯實產業基礎。

1.鋼鐵行業工業互聯網的安全問題

一系列的安全事故顯示，鋼鐵工業已經成為了一個新的信息安全領域，甚至是國家安全。隨著我國鋼鐵企業受到的網絡攻擊事件不斷增加，我國企業的安全防范系統建設顯得尤為重要。目前，工業互聯網的發展已成為各國政府關注的焦點，紛紛出臺了一系列的技術指引和標準，為行業企業的安全保護工作提供了可參考的范例，從某種意義上保證了工業互聯網的健康有序發展，但隨著工業互聯網安全攻擊日益呈現出的新型化、多樣化、復雜化，現有的工業互聯網安全保障體系還不健全，暴露出許多問題。

1.1安全漏洞日益增多

中國國家信息安全漏洞共享平臺的最新數據表明，從2000年到2009年，中國計算機協會所記錄的工業控制系統的漏洞數從2000年到2009年都是個位數。但是在2010年，這個數字猛增到32個，第二年就達到190個。這一現象與 Stuxnet蠕蟲病毒（Stuxnet）在2010年被發現有直接聯系。Stuxnet病毒是全球首款針對工業控制系統的毀滅性病毒，從此，工業控制系統安全受到了廣泛的重視。

以某鋼鐵企業實際場景為例，常見工控系統的漏洞包括：操作系統層面的漏洞，例如過時XP系統存在大量系統漏洞;工控協議的漏洞，例如IEC 104、MBE、ABR、S7A等第三方工控驅動存在的通訊漏洞;工控網絡架構上的漏洞，例如未采用有效隔離手段，造成網絡混亂問題;工業互聯網管理措施上的漏洞，例如對工控安全重視不夠，整改措施落實不到位等。

1.2網絡安全防護體系不完整

安全防護手段單一，僅部署了邊界訪問控制措施、殺毒軟件等，缺乏入侵檢測、安全審計等安全手段，難以形成全局的安全風險監控，安全策略和配置難以統一協調。難以有效抵擋零日攻擊。現有安全防護手段能夠有效防范已知特征的攻擊行為，但對于目前越來越多的零日攻擊，缺乏有效的防護手段。與安全相關的數據量越來越大，難以對海量存儲的數據形成有效挖掘，以輔助安全人員從大量、孤立的事件中判斷未知的攻擊行為。

2. 互聯網安全防護方案

2.1數據全生命周期的安全防護

根據其性質和特點，可以將其劃分為設備數據、業務數據、知識庫數據、用戶個人數據四大類。數據的敏感性可以分為一般數據、重要數據和敏感數據。工業網絡數據涉及到數據的采集、傳輸、存儲和處理等各個方面。工業互聯網數據從少量、單一、單向向大量、多維、雙向轉化，數據量不斷增加、種類越來越多、結構越來越復雜，同時還產生了企業內外數據雙向流通和共享的現象。在鋼鐵企業的工業互聯網數據保護中，必須采用數據加密傳輸、數據加密存儲和數據脫敏處理等方法。

2.2設備安全防護

設備安全防護系統從鋼鐵企業煉鐵、煉鋼、軋鋼等工藝使用的PLC、儀表、自控等設備的硬件安全和軟件安全兩方面出發，通過解析各個工藝流程控制指令要求，發現PLC等設備存在的安全漏洞，避免設備指令被非法篡改，采用的安全機制包括漏洞發現與修復、補丁升級管理、設備接入認證、運維管控等控設備的安全運維。

2.3控制安全防護

鋼鐵行業工業控制網絡目前已由分層、封閉逐步向扁平、開放、全局方向發展。其中在控制環境方面表現為信息技術（IT）與操作技術（OT）融合，控制網絡由封閉走向開放;在控制布局方面表現為控制范圍從局部擴展至全局，并伴隨著控制監測上移與實時控制下移。對于鋼鐵行業控制安全防護，主要從工廠OT層控制協議安全、控制軟件安全兩方面考慮。

（1）控制協議安全包括訪問控制、安全審計、威脅誘捕等方式保障控制協議的安全。

（2）控制軟件安全鋼鐵企業工業控制網絡中的控制軟件可歸納為數據采集軟件、組態軟件、過程監督與控制軟件、單元監控軟件、過程仿真軟件、過程優化軟件、專家系統、人工智能軟件等類型。通過惡意代碼檢測、工控主機防護、基線核查等方式保障控制軟件的安全。

2.4網絡安全防護

鋼鐵行業工業控制網絡目前已呈現出IP化、無線化、組網方式靈活化與全局化的特點，企業專網與互聯網逐漸融合、產品服務日益互聯網化使鋼鐵行業從傳統生產向智能化生產轉型，企業工業控制網絡的安全服務鋼鐵智能化生產，主要采取的安全措施包括網絡邊界安全、網絡接入認證、通信和傳輸保護、安全監測審計。

結束語：

工業互聯網是新一代信息技術和生產技術的結合，正在逐步成為產業數字化、網絡化、智能化發展的重要支撐力量。在鋼鐵行業的發展中，率先進行了產業互聯網的開發，能夠促進整個產業的生產、流通效率的提升，加快產業的轉型和升級。但是，在工業生產中，隨著科技的發展和進步，風險也會隨之產生。隨著工業互聯網的迅速發展，工業控制系統由封閉向開放、信息孤島向互聯互通轉變，由傳統的網絡安全威脅逐漸向工業控制系統滲透、擴散。鋼鐵工業是國民經濟的支柱產業，如果受到了嚴重的打擊，那么它的危害將會波及到整個產業鏈、生態、經濟、社會的穩定、國家的安全。

參考文獻

[1] 劉仁輝，張尼，吳云峰. 構筑工業互聯網安全防護體系 為推動先進制造業發展保駕護航[J]. 信息技術與網絡安全，2018，37（1）：23-24，29.

[2] 朱光亮. 工業互聯網平臺安全防護體系研究[J]. 無線互聯科技，2021，18（19）：12-13.