久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1、背景介紹

近年來，鋼鐵行業(yè)的網(wǎng)絡安全事件呈現(xiàn)出逐年遞增、危害性加劇的趨勢，使得工業(yè)網(wǎng)絡安全成為保障生產(chǎn)安全的關鍵要素。在這一背景下，某鋼鐵集團作為鋼鐵行業(yè)智能制造的標桿企業(yè)，不僅在數(shù)字化和智能化轉型方面取得了顯著成就，而且其信息化網(wǎng)絡安全能力也得到了持續(xù)加強。然而，面對日益嚴峻的工控網(wǎng)絡安全形勢，工控系統(tǒng)欠缺防護的短板日益凸顯，全面提升工控安全水平變得尤為迫切。

如何構建真正有效的工控安全防護和管理體系成為該集團數(shù)智化發(fā)展的重要課題之一。為此，該集團通過廣泛調研、充分論證，并選取了某車間作為測試區(qū)域，開展了工控系統(tǒng)深度安全防護和整體監(jiān)管的功能測試，旨在驗證安全監(jiān)管、防護措施及風險監(jiān)測等方面的有效性。

通過充分的驗證測試，最終該集團公司選擇了中控技術所推薦的國利網(wǎng)安產(chǎn)品技術和方案設計，并進行了三個分廠的方案建設。項目建設過程中全面梳理現(xiàn)有資產(chǎn)和網(wǎng)絡狀況，識別潛在風險點，設計針對性解決方案，尤其針對現(xiàn)場中各類PLC控制系統(tǒng)進行了針對性的安全防護和常態(tài)監(jiān)管，為持續(xù)提升該集團工控網(wǎng)絡安全防護水平打下堅實基礎，也為鋼鐵工控系統(tǒng)深度安全防護和智慧運營管控樹立示范案例。

2、目標與原則

針對該集團公司三個分廠的工控安全現(xiàn)狀及現(xiàn)場調研結果，項目團隊制定了一套針對性的工控系統(tǒng)安全防護策略，從管理、技術和網(wǎng)絡安全運維等維度出發(fā)，增強工控系統(tǒng)的深度安全防護和常態(tài)運營管控能力，確保工業(yè)生產(chǎn)安全順暢，同時也滿足嚴格的網(wǎng)絡安全監(jiān)管要求和政策法規(guī)標準。

目標：

(1)建設“全面監(jiān)管、縱深防御、持續(xù)運營”的安全防護體系，監(jiān)控事業(yè)部資產(chǎn)狀況，持續(xù)提升安全運維和處置響應能力，及時發(fā)現(xiàn)并解決潛在隱患，避免生產(chǎn)因安全問題中斷；

(2)制定完善的工控安全管理制度，強化日常安全工作管理，提升工控安全管理水平，落實工控安全體系中的管理手段；

(3)滿足國家和行業(yè)針對企業(yè)工控系統(tǒng)安全防護的合規(guī)性要求，滿足網(wǎng)絡安全檢查和認證的要求；

(4)根據(jù)事業(yè)部試點情況，逐步推廣到全集團，最終實現(xiàn)集團整體的工控安全防護和可管可控。

原則：

(1)先進性：采用先進技術，運用最新的安全技術手段，對工業(yè)控制系統(tǒng)中的異常資產(chǎn)和潛在威脅進行實時監(jiān)測和分析，以便及時發(fā)現(xiàn)工控網(wǎng)絡安全風險，確保工控系統(tǒng)的安全防護水平始終處于領先地位。

(2)兼容性：與現(xiàn)有的工業(yè)控制系統(tǒng)在硬件、軟件、網(wǎng)絡等方面具有良好的兼容性，安全設備部署不會對系統(tǒng)的正常運行造成干擾或影響，提供豐富的接口滿足后期IT安全運營管控平臺接入需求。

(3)可拓展性：采用模塊化、分布式的安全架構，便于根據(jù)工業(yè)控制系統(tǒng)的規(guī)模和需求進行靈活擴展和升級，能夠快速適應集團業(yè)務發(fā)展和技術創(chuàng)新的需要。

(4)經(jīng)濟性：用現(xiàn)有數(shù)據(jù)采集鏈路，利用少量的交換機新增完成安全管理網(wǎng)搭建，減少項目成本投入。

(5)集中管理：制定統(tǒng)一的安全策略，對工業(yè)控制系統(tǒng)中的用戶訪問、數(shù)據(jù)傳輸、設備操作等進行規(guī)范和約束，確保安全策略的一致性和有效性。

3、案例實施與應用情況

總體思路

鋼鐵工控系統(tǒng)深度安全防控和智慧運營管控示范項目建設立足于現(xiàn)有的網(wǎng)絡、控制系統(tǒng)以及安全管理的現(xiàn)狀和特點，以集團的數(shù)字化和整體網(wǎng)絡安全發(fā)展規(guī)劃為指導，結合工業(yè)網(wǎng)絡安全保障建設自身的規(guī)律和特點，充分參考《信息安全技術 網(wǎng)絡安全等級保護基本要求》和《工業(yè)控制系統(tǒng)網(wǎng)絡安全防護指南》等法規(guī)要求，提出“全面監(jiān)管、縱深防御、持續(xù)運營”防護思路，實現(xiàn)對集團->事業(yè)部->廠->裝置工控在網(wǎng)資產(chǎn)的全面管控、內外部人員操作的全面監(jiān)測與管理，生產(chǎn)控制系統(tǒng)由內到外、從控制指令到控制組態(tài)程序的縱深防護，構建集團->事業(yè)部->廠->裝置的工控安全運營管控體系，持續(xù)保障工控網(wǎng)絡和業(yè)務安全。

實施方案

本項目建設內容包括工業(yè)安全態(tài)勢感知平臺、工控安全管理平臺、工控資產(chǎn)健康監(jiān)測、工業(yè)入侵檢測、控制器防護、控制器監(jiān)測與恢復、USB安全隔離終端等關鍵設備部署實施和聯(lián)調級聯(lián)。通過增設業(yè)務網(wǎng)交換機，將分散在不同物理位置的一級網(wǎng)絡通過現(xiàn)有光纖匯聚至同一機房，實現(xiàn)對各區(qū)域業(yè)務網(wǎng)的接入以及工控網(wǎng)絡安全設備的集中管理。

在集團層面，通過部署的工業(yè)安全態(tài)勢感知平臺，利用該平臺作為工控網(wǎng)絡安全運營管控的核心工具。從宏觀角度出發(fā)，進行網(wǎng)絡監(jiān)管、安全監(jiān)測、管控、響應和事件處置，并收集外部安全威脅情報信息。該平臺具備事前預警、事中發(fā)現(xiàn)、事后回溯的能力，以及安全可視化功能，為安全管理提供決策支持。

在廠區(qū)層面，通過部署安全管理平臺，實現(xiàn)對網(wǎng)絡安全產(chǎn)品的集中管理與監(jiān)控。通過收集安全設備的防護日志，管理安全設備策略配置，實時了解工控網(wǎng)絡系統(tǒng)的安全狀況，并將數(shù)據(jù)上傳至事業(yè)部的態(tài)勢感知平臺。在分廠的各個區(qū)域，旁路部署資產(chǎn)健康監(jiān)測系統(tǒng)，以實現(xiàn)對資產(chǎn)狀況、網(wǎng)絡拓撲結構、風險識別等的監(jiān)控，滿足區(qū)域資產(chǎn)監(jiān)控需求。在廠級管理交換機上旁路部署工業(yè)入侵檢測系統(tǒng)，負責采集、分析和監(jiān)測安全管理網(wǎng)絡流量，以識別網(wǎng)絡異常行為和攻擊行為。在分廠的各個區(qū)域旁路部署控制器完整性監(jiān)測與恢復系統(tǒng)，實時監(jiān)控各區(qū)域主要PLC控制器的運行狀態(tài)、故障及報警日志、控制器組態(tài)程序，并支持異常情況下的數(shù)據(jù)恢復。特別是在熱處理后區(qū)PLC部署控制器防護系統(tǒng)，以識別和攔截針對PLC控制器的攻擊和非法工控操作。在廠級管理交換機部署USB隔離裝置，解決移動存儲介質的安全接入問題。此外，新增安全管理網(wǎng)防火墻，確保廠級管理平臺與整體安全態(tài)勢感知平臺之間的安全隔離。

技術創(chuàng)新點

本項目安全防護深入到L1層的PLC控制系統(tǒng)，突破性采用工控資產(chǎn)無擾深度識別技術、通信超低時延控制技術、組態(tài)工程重建技術、PLC組態(tài)數(shù)據(jù)完整性鑒別技術等創(chuàng)新技術，在保證無擾影響的原則下，實現(xiàn)工業(yè)控制系統(tǒng)的安全防護能力提升。

工控資產(chǎn)無擾深度識別技術：采用基于工控網(wǎng)絡通信指紋特征庫，主動掃描和被動監(jiān)控相結合的工控通信主體識別方法，針對連接狀態(tài)、會話狀態(tài)、硬件基本信息等指紋特征形成高效、高準確度的工控資產(chǎn)識別方法。其中，可識別的資產(chǎn)特征信息具體包括設備品牌型號、硬件配置、運行趨勢、系統(tǒng)運行日志、安全日志、錯誤日志、開放端口、控制器運行狀態(tài)、主機安全配置等。

通信超低時延控制技術：通過業(yè)界首個直接部署在工控系統(tǒng)控制器前的產(chǎn)品，直接對控制器進行安全防護，其微秒級處理時延少于30us，優(yōu)于業(yè)界最好性能60us。采用硬件回路替代邏輯算法實現(xiàn)超低時延，使用雙處理器架構，兩個處理器之間相互獨立，通過有限通信，當某一個處理器遭受網(wǎng)絡攻擊或處理器不能正常工作時，另一個處理器的業(yè)務處理單元仍能夠正常處理業(yè)務流程；設備具有低延時、高可靠以及超強的自身安全性。

組態(tài)工程重建技術：主被動雙重檢驗的組態(tài)工程重建和監(jiān)測技術，實時測量、收集控制器健康數(shù)據(jù)，為控制器建立全生命周期組態(tài)信息管理檔案，解決控制器在遭受組態(tài)篡改攻擊后無法快速恢復、控制器組態(tài)文件無法審計分析的問題。

PLC組態(tài)數(shù)據(jù)完整性鑒別技術：實現(xiàn)了對工業(yè)控制器健康狀態(tài)的實時監(jiān)測，支持組態(tài)工程差異比對，實現(xiàn)組態(tài)版本的集中管理，并定期記錄組態(tài)變更，無擾備份工業(yè)控制器的組態(tài)工程，基于主被動雙重檢驗技術的組態(tài)工程重建和監(jiān)測技術,實現(xiàn)控制器組態(tài)監(jiān)測、控制器組態(tài)程序實時備份以及在安全事件發(fā)生后提供應急恢復等手段。

組態(tài)快照回滾技術：控制器組態(tài)快照回滾技術是在監(jiān)測到控制器組態(tài)和數(shù)據(jù)由于受到攻擊、由于病毒而發(fā)生非法修改或需要引用控制點組態(tài)時，能夠基于組態(tài)備份在第一時間自動或手動將受到篡改的組態(tài)進行組態(tài)快照回滾，從而阻止危害事件的發(fā)生或使得危害降至最低。

控制器監(jiān)測和組態(tài)備份、恢復，基于主被動雙重檢驗技術的組態(tài)工程重建和監(jiān)測技術,實現(xiàn)控制器組態(tài)監(jiān)測、控制器組態(tài)程序實時備份以及在安全事件發(fā)生后提供應急恢復等手段，創(chuàng)新實現(xiàn)了控制器運行狀態(tài)及故障信息的監(jiān)測，控制器組態(tài)完整性監(jiān)測與恢復，組態(tài)工程的歷史版本管理，支持控制器組態(tài)工程歷史版本回退。此技術及應用在國內工控安全領域具有領先地位，同時已有成熟應用案例，本次項目中此部分屬客戶首次應用，對保護控制器的正常運行具有重要意義。

重難點問題及解決思路

重難點問題1：鑒于工業(yè)現(xiàn)場網(wǎng)絡布局分散且難以實現(xiàn)統(tǒng)一安全管理，導致安全構建成本攀升。

解決思路：為應對這一挑戰(zhàn)，該項目提出了一套創(chuàng)新性的安全管理網(wǎng)絡架構方案。該方案通過增設少量交換機及配套接口模塊，巧妙地將零散的網(wǎng)絡節(jié)點匯聚成集中管理體系。借助精心規(guī)劃的網(wǎng)絡配置策略，在確保各子網(wǎng)間保持必要隔離的同時，僅利用有限數(shù)量的安全設備即可實現(xiàn)對所有網(wǎng)絡的有效監(jiān)控與管理，從而顯著減少了對額外安全硬件的需求，有效控制了項目整體開支，同時保證了預期效果。

重難點問題2：本項目聚焦于工業(yè)控制系統(tǒng)中的PLC系統(tǒng)層面的安全和可用性，特別關注新增安全防護措施可能對現(xiàn)有業(yè)務流程產(chǎn)生的潛在影響——這被視為實施過程中的關鍵難題之一。

解決思路：除了作為試點項目的控制器保護系統(tǒng)外，其他新引入的各種設備和系統(tǒng)均采用旁路接入方式融入現(xiàn)有的工業(yè)控制網(wǎng)絡之中，不僅避免了對原有架構造成任何改動，而且經(jīng)過嚴格測試證明，這些新增組件對于現(xiàn)場可編程邏輯控制器（PLC）的工作負荷影響低極低，不會干擾正常的生產(chǎn)活動。此外，為了最大限度降低風險，所有安全功能部署均安排在非工作時間進行，并密切配合現(xiàn)場運維團隊完成全面檢查，以確保整個安全升級過程對日常運營“零”干擾。

重難點問題3：在此次項目中，一個亟待解決的關鍵難題是如何將大量的安全告警進行整合分析，從中提煉出需要重點關注的工控安全事件，并針對這些事件實施集中的閉環(huán)處理。

解決思路：通過事業(yè)部態(tài)勢感知平臺與廠級管理平臺的協(xié)同聯(lián)動，實現(xiàn)對各分廠安全動態(tài)的集中可視化呈現(xiàn)。利用平臺的關聯(lián)聚類和AI算力技術進行數(shù)據(jù)分析，提煉并總結真正需要處置的少量關鍵高風險事件，及時生成預警，通知安全管理人員進行風險處置。通過循環(huán)往復的閉環(huán)處理，不斷磨合事業(yè)部現(xiàn)有的工控安全運營團隊，提升其綜合安全運營能力，為下一步集團級安全運營體系的建設奠定堅實基礎。

4、應用價值與效益

通過本次項目的實施，達成了對工控網(wǎng)絡資產(chǎn)的全面監(jiān)控與主動排查目標，將資產(chǎn)納入管理的比例提高到了100%，并且整合了詳盡的資產(chǎn)記錄，清晰地展現(xiàn)了從集團到事業(yè)部再到分廠乃至到裝置作業(yè)區(qū)的多層級之間的資產(chǎn)和網(wǎng)絡分布情況。此外，利用先進的技術手段，使得安全管理人員能夠即時獲取資產(chǎn)狀況，提供了迅速恢復資產(chǎn)功能的方法，大大縮短了業(yè)務中斷后恢復正常運作所需的時間，從而為現(xiàn)場工業(yè)生產(chǎn)活動提供了堅實的保障。同時，借助于可視化平臺的支持，可以實時查看交換機等關鍵設備的具體信息，這對于解決網(wǎng)絡問題來說是一個極大的助力，同時也有效降低了運營成本。最后，結合可編程邏輯控制器（PLC）組態(tài)工程的實時監(jiān)控能力，能夠快速檢測并應對未經(jīng)授權的組態(tài)更改行為，防止因不當操作導致的生產(chǎn)運行意外中斷。

4.1應用價值

4.1.1資產(chǎn)辨識與測繪技術為分廠工控網(wǎng)絡資產(chǎn)的全面管理提供了有力支持：通過主動資產(chǎn)識別及全網(wǎng)資產(chǎn)畫像技術，實現(xiàn)了對分廠資產(chǎn)信息的集中健康監(jiān)測。這一舉措?yún)f(xié)助該集團公司在工控網(wǎng)絡資產(chǎn)管理方面實現(xiàn)了從被動到主動的轉變，確保了資產(chǎn)在線狀態(tài)的清晰可見。項目實施后，對三個分廠共計890項網(wǎng)絡資產(chǎn)已完成有效登記并持續(xù)處于監(jiān)管之下，將原有的資產(chǎn)納入率由約50%提升至100%，徹底做到了“資產(chǎn)家底、心中有數(shù)”。

4.1.2資產(chǎn)臺賬整合與風險評估：助力各分廠完成了資產(chǎn)臺賬的系統(tǒng)化整合，采用分級架構詳盡展示了不同層級的資產(chǎn)信息。通過可視化手段，全面呈現(xiàn)了資產(chǎn)狀態(tài)、網(wǎng)絡事件、風險暴露點以及潛在漏洞等信息，為資產(chǎn)風險管理提供了堅實的數(shù)據(jù)基礎。

4.1.3實時監(jiān)控與快速響應：為安全管理人員提供了實時資產(chǎn)狀態(tài)監(jiān)控的技術手段。通過這一系統(tǒng)，管理人員能夠即時獲取資產(chǎn)異常離線的時間及相關詳細信息，從而迅速采取相應措施。同時，借助先進的技術工具，現(xiàn)場運維人員可以快速恢復資產(chǎn)的正常狀態(tài)，確保網(wǎng)絡中各項資產(chǎn)的健康運行。

4.1.4精準繪制網(wǎng)絡拓撲與故障診斷：在全面掌握資產(chǎn)數(shù)據(jù)及維護信息的基礎上，完成了三個分廠主要裝置區(qū)的網(wǎng)絡拓撲圖繪制。通過提供便捷的技術手段，幫助現(xiàn)場運維人員快速定位和診斷故障，準確識別異常資產(chǎn)鏈路連接狀況，從而大幅縮短業(yè)務恢復時間，確保工業(yè)生產(chǎn)的穩(wěn)定運行。

4.1.5交換機資產(chǎn)可視化與故障排查優(yōu)化：通過可視化手段，實現(xiàn)了對交換機資產(chǎn)詳細信息的實時掌握，包括運行狀態(tài)和端口信息。借助工控交換機資產(chǎn)畫像，現(xiàn)場運維人員能夠實時查看接口狀態(tài)和流量數(shù)據(jù)，為網(wǎng)絡故障排查和鏈路風險評估提供了強有力的技術支撐，顯著縮短了網(wǎng)絡故障的排查時間，并降低了人工運營成本。

4.1.6 PLC組態(tài)實時監(jiān)控與一鍵恢復：通過快速識別PLC組態(tài)修改行為并生成告警信息，裝置作業(yè)區(qū)管理人員能夠迅速掌握組態(tài)變更情況。系統(tǒng)提供一鍵恢復功能，幫助管理人員快速恢復組態(tài)工程，有效避免因組態(tài)異常篡改導致的生產(chǎn)非正常停滯。

此次項目聚焦于試點區(qū)域內的工業(yè)控制網(wǎng)絡，旨在提升其安全防護能力。通過實施“全面監(jiān)管、縱深防御、持續(xù)運營”的防護策略，構建了覆蓋鋼鐵生產(chǎn)業(yè)務智能化管控的工控解決方案。該項目不僅具有較高的社會效益，還為維護社會和諧穩(wěn)定和提高關鍵基礎設施的防護能力提供了堅實的支撐與保障。

4.2應用效益

4.2.1社會效益

本項目的實施助力該鋼鐵集團實現(xiàn)生產(chǎn)控制領域的數(shù)智化轉型，也為冶金行業(yè)的工控網(wǎng)絡安全防護樹立了標桿。此舉有助于防范因工控網(wǎng)絡安全問題引發(fā)的生產(chǎn)事故，確?，F(xiàn)場作業(yè)區(qū)員工的安全與財產(chǎn)保障。

1、助力數(shù)字化轉型

工控安全防護能力建設在是工業(yè)數(shù)字化轉型的重要保障。通過強化工控網(wǎng)絡的安全防護措施，不僅能夠有效防范潛在的安全風險，為冶金企業(yè)的數(shù)字化進程提供堅實的保障。這一舉措將推動該集團公司向更加智能化、高效化的方向邁進，提升企業(yè)在全球市場的競爭力。

2、樹立行業(yè)標桿

此次工控網(wǎng)絡安全建設方面的成功實踐，不僅能夠為其他冶金企業(yè)提供寶貴的經(jīng)驗和示范案例，還能推動整個行業(yè)的網(wǎng)絡安全水平提升。通過分享最佳實踐和經(jīng)驗教訓，業(yè)內鋼鐵和冶金企業(yè)可以相互學習，共同提高應對網(wǎng)絡安全威脅的能力。這種良性的行業(yè)生態(tài)有助于促進企業(yè)間的協(xié)同發(fā)展，形成合作共贏的局面。同時，這也將激勵企業(yè)在網(wǎng)絡安全方面進行更多的投入和創(chuàng)新，以保持競爭優(yōu)勢。

3、保護員工生命安全

通過加強工控網(wǎng)絡的安全防護建設，可以有效預防因網(wǎng)絡安全事件導致的人員傷亡和財產(chǎn)損失。此舉不僅有助于保障員工的生命健康，還為企業(yè)的穩(wěn)定運營提供了堅實的基礎。在數(shù)字化時代，工控網(wǎng)絡已成為工業(yè)生產(chǎn)的核心環(huán)節(jié)，任何安全漏洞都可能引發(fā)嚴重的生產(chǎn)事故。因此，提升工控網(wǎng)絡的安全水平，不僅是對員工生命健康的負責，也是對企業(yè)長遠發(fā)展的投資。

4.2.2經(jīng)濟效益

本項目建設將給該集團帶來直接和間接經(jīng)濟價值。

1、生產(chǎn)運營方面

減少生產(chǎn)中斷損失：有效防止黑客攻擊、病毒入侵等網(wǎng)絡安全事件導致的生產(chǎn)設備故障、工藝流程紊亂，避免生產(chǎn)停滯或減產(chǎn)，保障生產(chǎn)活動的連續(xù)性和穩(wěn)定性，減少因生產(chǎn)中斷帶來的直接經(jīng)濟損失，如原材料浪費、設備閑置成本、訂單延誤賠償?shù)取?/p>

保障生產(chǎn)效率：安全穩(wěn)定的工控網(wǎng)絡環(huán)境有助于生產(chǎn)設備的正常運行和自動化控制系統(tǒng)的高效工作，本次項目建設通過對全網(wǎng)的資產(chǎn)、網(wǎng)絡的監(jiān)測和管理，有效減少因網(wǎng)絡故障或安全問題導致的設備運行緩慢、控制指令延遲等情況。

2、成本控制方面

降低運維成本：通過建立集中的安全管理，減輕人員運維工作量，降低系統(tǒng)的運維成本。

3、數(shù)據(jù)資產(chǎn)方面

保護核心數(shù)據(jù)安全：冶金企業(yè)的生產(chǎn)工藝等核心數(shù)據(jù)是企業(yè)的重要資產(chǎn)，本項目建設能夠防止數(shù)據(jù)的竊取和篡改，保護企業(yè)的知識產(chǎn)權和商業(yè)機密，避免因數(shù)據(jù)泄露導致的經(jīng)濟損失和市場競爭力下降。