曾凡森

　　近年來，工業互聯網安全正引起國家層面的重視。2014年2月27日，習近平總書記在中央網絡安全和信息化領導小組第一次會議上發表講話，指出“沒有網絡安全就沒有國家安全”。在這個大背景下，工信部于2016年10月發布《工業控制系統信息安全防護指南》，全國各行各業尤其是冶金行業都開始針對自身的工業控制系統進行信息化融合以及信息安全的建設。

　　在今年3月份召開的2023年鋼鐵行業智能制造聯盟年會暨第二屆鋼鐵行業數字化解決方案交流會上，英賽克科技（北京）有限公司（下稱英賽克）、首鋼京唐鋼鐵聯合有限責任公司（下稱首鋼京唐）聯合申報的“基于‘工業互聯網縱深防御’的鋼鐵行業工業互聯網安全解決方案”獲評鋼鐵行業十大優秀解決方案之一，成為鋼鐵企業在網絡安全領域持續探索的一大優秀成果。

　　安全方案實施要“臨機制變”

　　通過前期多次現場調研勘察，采納各工藝技術人員的意見和建議，英賽克建立并完善了首鋼京唐全廠一二級工業網絡安全防護方案，并在現場技術人員的陪同下實施了該方案。

　　該方案通過安裝工業安全主機衛士軟件實現對工業現場主機、服務器的安全防護。主機衛士采用白名單技術，對已知的業務系統軟件進行掃描識別、形成白名單，從而禁止白名單之外其他可執行程序的運行，無需病毒庫即可保障現場主機、服務器的安全。

　　然而，白名單技術由于其自身“非黑即白”的絕對性，在前期現場實施時，也曾出現了一段“小插曲”。英賽克相關負責人員回憶道，在某工藝段實施成功并進入試運行階段時，現場的操作員反饋安裝主機衛士的操作站出現問題，原有的畫面監控軟件無法運行，不過只要運維人員關閉主機衛士的防護功能，業務系統就能正常運行了。收到反饋之后，英賽克技術人員第一時間趕往現場，對現場出現問題的操作站進行檢查。“經過排查，技術人員發現主機衛士確實攔截了很多可執行程序。”負責人介紹，“經過查詢主機衛士的告警日志，我們發現，這些程序都是現場業務系統在運行時自動生成的新程序。這些程序原先并不在白名單中，因而被主機衛士攔截，導致現場業務軟件無法運行。”

　　在查清事故原因后，技術人員果斷調整這臺主機衛士的安全策略，將此類系統軟件所在的文件路徑添加為白名單。“這樣該業務軟件所有的運行內容都被視為允許的，既解決了現場誤攔截的問題，又不影響現場操作站的安全防護。”負責人表示。

　　為企業創造年效益近千萬元

　　首鋼京唐全廠一二級工業網絡安全防護項目共實施了上千套主機衛士軟件、近百臺工業防火墻。該項目實施后，可節省首鋼京唐公司一二級工控系統每年升級和購買殺毒軟件、獲得授權的費用。同時，每年可有效減少網絡安全事故，縮短因網絡安全問題造成的停機時間，從而降低生產和運維成本。該項目年效益預計近千萬元。

　　除了提升經濟效益外，該項目應用成果還體現在多個方面。第一，建設創新性安全示范工程。建成具有先進性、代表性、創新性的工業網絡安全示范工程，為其他流程及控制系統網絡安全建設提供方案和技術支撐。第二，無需更新和維護，一次購買、終身使用。該方案中的工業網絡安全產品均采用白名單技術，產品部署過程中不需要更改現場主機及控制系統任何配置，避免了傳統網絡安全產品需高頻率更新的缺點，更適用于工業網絡環境。同時，所有產品一次購買、永久使用，擺脫了傳統安全產品需定期購買授權的缺點。第三，杜絕不合規應用，降低安全風險。該方案通過應用程序、移動存儲介質的白名單策略，可以有效防止業務系統安裝運行違規程序、非法使用移動存儲介質等，降低安全風險。第四，保護關鍵對象，增強核心資產穩定性。該方案通過建立穩定的計算環境，結合應用程序白名單機制，可對未知病毒進行安全“免疫”，有效降低生產網絡中的安全風險，杜絕病毒、木馬、勒索軟件的傳播，增強業務系統的連續性和穩定性。第五，提高運營單位安全生產水平，為提高企業經營效益做貢獻。該方案可提高生產控制網絡行為的合規性識別能力，避免發生由網絡安全引起的突發事件，避免或減少生產控制網絡安全威脅，杜絕重大災難性事件，為企業安全生產提供保障。

　　《中國冶金報》（2023年05月30日 03版三版）