本報記者 樊三彩
當前,大規模、高強度工信安全事件頻發,工業領域成為網絡攻擊重要目標。據統計,2015年以來,每年發生工業信息安全事件近300起。工業領域網絡安全能力提升對國家級網絡攻防能力提升具有極其重要的作用。
習近平總書記指出,“網絡安全的本質在對抗,對抗的本質在攻防兩端能力較量”。鋼鐵行業如何在網絡安全領域的對抗中始終筑牢安全防線,保證平穩運行,越來越成為很多鋼鐵企業關注的話題。
在3月20日—22日召開的2023年鋼鐵行業智能制造聯盟年會暨第二屆鋼鐵行業數字化解決方案交流會上,國家工業信息安全發展研究中心首席專家、檢查評估所所長張格,以及來自鋼鐵行業智能制造解決方案推薦目錄的企業代表,針對工業領域尤其是鋼鐵行業面臨的安全環境及形勢開展了專題交流,分享了解決方案。
“工業互聯網面臨全方位、
多層次安全挑戰”
張格指出,當前,工業信息安全形勢尤為嚴峻,主要呈現四方面特征,第一,工業信息安全風險持續攀升,面臨越來越嚴峻的安全威脅;第二,工業領域成為網絡攻擊重點目標,大規模高強度工業信息安全事件頻發;第三,傳統與新型安全威脅交織,工業互聯網面臨全方位、多層次安全挑戰;第四,我國工業信息安全技術與產業支撐能力薄弱,難以滿足制造強國與網絡強國建設的現實需求。
近年來,鋼鐵行業頻發的網絡安全事件已經給行業發出了警醒。2020年6月,黑客組織攻擊伊朗某鋼鐵企業工業控制系統,導致煉鋼爐非正常關閉,鋼水包外溢并引發大火,造成重大物理破壞和經濟損失。2020年3月,俄羅斯某鋼鐵集團在北美的分支機構,其位于加拿大和美國的鋼鐵生產廠均遭受了勒索軟件Ryuk攻擊,導致其在北美的分支機構癱瘓,大多數工廠停止生產。2014年12月,德國某鋼鐵廠遭受高級持續性威脅(APT)攻擊。攻擊者使用魚叉式釣魚郵件和社會工程手段,獲得鋼廠辦公網絡的訪問權,并通過橫向轉移進入到鋼鐵廠的生產網絡,最終導致鋼廠工控系統的控制組件和整個生產線被迫停止運轉。由于不是正常的關閉煉鋼爐,從而給鋼廠帶來重大破壞。
英賽克科技技術總監丁文勇認為,在數字化智能化背景下,鋼鐵企業在組織生態、價值網絡、信息物理空間3個層面深度融合,鋼鐵行業安全問題正由分割態轉向融合態,形成“大安全”(信息安全+生產安全)格局。而這一格局下的安全問題呈現攻擊面更大且更多樣、影響面更廣、更容易引發生產事故等特點。他將鋼鐵行業在工業信息安全領域面臨的典型問題歸結為惡意代碼防護場景、地址沖突與安全組網場景、數據安全采集場景、關鍵設備/裝備防護場景、虛擬化平臺防護場景、等保合規場景等六大安全場景,并強調每個場景都應采取針對性的防護措施和解決方案。
“實現工業網絡安全,
就像在瓷器店里捉老鼠”
2016年以來,工信部相繼發布《工業控制系統信息安全防護指南》《工業控制系統信息安全行動計劃(2018-2020年))《加強工業互聯網安全工作的指導意見》《工業和信息化領域數據安全管理辦法(試行)》等政策文件,工業信息安全政策體系逐步完善。
“工業企業屬于網絡運營者、網絡產品或服務提供者,或關鍵信息基礎設置運營者,網絡安全法已明確其應承擔的網絡安全責任和義務。”張格指出,網絡安全既是工業企業享受的權利,又是其應承擔的義務。為此,他建議,鋼鐵企業要全面落實國家政策要求,強化網絡安全實際能力建設,定期開展網絡安全風險評估。同時,推進工業數據安全管理,加快安全能力建設,深化推進靶場建設和對抗演練。
“一項工藝、一臺設備,只要實現了數字化,其實就具備了被入侵的條件。”烽臺科技高級合伙人訾立強認為,在生產安全和信息安全逐漸融合的形勢下,鋼鐵企業安全建設應整體規劃、分步建設,充分考慮其他部門,同時要對安全方案進行充分的測試。
“安全工作的重心在運營,因為建設的東西越多,意味著運營的工作可能會越繁重,只有做好運營工作,才能保證數字化轉型過程中每一個環節的安全。”訾立強強調。
這一觀點與木鏈科技資深技術專家胡鏢不謀而合。據第三方機構統計, 88.6%的受訪企業已建立專門的安全運營中心,但成熟度普遍不高。在安全運營中心建設中,首要的挑戰是團隊編制和運營經費不足,造成沒有安全專家去對安全事件進行深度分析。另外,傳統安全運營中心建設僅聚焦網絡安全,與生產安全、人員安全等鋼鐵企業核心關注點關聯性不強,運營團隊無法直觀地分析網絡安全對生產的影響,導致相關平臺無法得到充分的使用。胡鏢據此建議,鋼鐵企業應以兩個中心為重點,建設全新的安全“運+營”體系,即通過構建涵蓋網絡安全、生產安全、人員安全等多維度的一體化運營中心,保障生產的安全運行;建設一體化實訓中心,賦能企業安全運營團隊,借助實戰演練、競技等模式提升團隊技能水平,為安全運營持續賦能。
當前,人工智能、物聯網、云計算、大數據、5G等先進技術已遍布鋼鐵行業研發、供應、生產、銷售、服務等應用場景,但隨之而來的數據安全問題也成為鋼鐵產業協同不可忽視的痛點。
敏捷科技技術總監金巍提出,當前,攻擊事件逐年增加,攻擊級別不斷提高,但由于我國工業基礎和自主化能力較弱、安全防護建設投入較低等,數據泄露屢見不鮮。為此,他認為,鋼企應在管理層面、技術層面雙向用力。一方面,企業要健全自身的商業秘密保護管理體系,著力構建商密信息數據全生命周期模型,并研究適用于企業實際情況的商密數據分類分級標準、商密數據安全管理制度和商密泄露應急處置辦法;另一方面,應結合數據安全、終端安全、移動存儲介質安全等層面要求,根據實際需求,統一部署終端數據安全防護系統。他舉例道,在數據安全防護應用場景中,他們已經在中信泰富特鋼、沙鋼集團及下屬單位實現終端文件加密,文件上傳服務器自動解密、下載自動加密保護,外發密文可控、外發明文留痕,可信移動存儲介質管控等應用。
“實現工業網絡安全,就像在瓷器店里捉老鼠,不能因為抓老鼠,就把瓷器打破了。同樣,部署工業網絡安全產品和設備,不能影響整體的生產穩定性,這就對建設工業網絡安全提出了更高的要求。”北京惠而特科技智慧安全行業研究中心主任趙承剛強調了“融合”二字,他認為,鋼鐵企業應做好工業互聯網融合安全的“最后一公里”。
“融合安全是面向工控安全的最佳方法論。”他指出,融合安全包含人才、管理、技術、場景等4個維度的融合。如人才融合,就是要融合網絡安全人才、自動化人才、專項技術人才(包括云、大數據、AI、5G等)及復合型人才,實現認知打通,只有這樣,才能真正找到可落地的解決方案。又如場景融合,他以鋼鐵行業為例說道,應理解工業互聯網云管邊端各層屬性和特點,實現邊和端的融合工控安全、管道層的5G安全、云端的云安全以及各層次之間網絡安全的貫通。融合安全是鋼鐵行業需要努力的方向。
《中國冶金報》(2023年03月28日 03版三版)
