为进一步发展壮大钢铁行业智能制造服务支撑体系,构建钢铁行业智能制造解决方案资源池,推广可复制的钢铁企业典型场景应用案例,加快推进新发展格局下钢铁行业数字化转型,中国钢铁工业协会联合智能制造系统解决方案供应商联盟钢铁行业分盟开展了2023年钢铁行业智能制造解决方案和钢铁行业数字化转型典型场景应用案例征集工作。
六方云《基于人工智能技术的钢铁工控安全防护系统方案》技术优势突出、应用价值领先,荣膺“2023年钢铁行业智能制造解决方案推荐项目”,产品应用与行业特点深度融合,充分发挥先行示范的带动作用。
随着国内外工业控制系统网络信息安全形势越来越严峻,国家工信部陆续发布了《加强工业互联网安全工作的指导意见》《关于加强工业控制系统信息安全管理的通知》《工业控制系统信息安全防护指南》等一系列的工业信息安全防护文件,强调了加强工业控制系统信息安全管理的重要性和紧迫性,并明确了核设施、钢铁、有色、石油石化、电力等与国计民生紧密相关领域的工业控制系统信息安全管理要求。
钢铁企业是典型的生产、资金、技术密集型企业,其生产连续性强,生产系统耦合性高,加之近年我国众多钢铁企业不断推进智能化建设,尤其是在工业控制系统方面大量投入,以实现企业的智能化升级转型,其主要应用的工业控制系统主要是PCS、DCS、PLC、SCADA等,不仅越来越注重系统开放性设计,且多采用第三方集成,操作端PC化,这一改进大大降低了用户的投资与维护成本,但与此同时,面临的网络风险也越来越严峻。
如何有效地防范来自内部或外部的攻击,做好工控系统网络安全的防护工作,确保生产系统的稳定可靠,是钢铁行业工控系统信息安全亟待解决的问题。从应用案例经验总结来看,目前钢铁行业的工控系统管理缺失、防护手段落后、工业网络病毒、设备漏洞和后门、持续性威胁APT、无线技术等问题是其重要关注点,这些问题一旦发生,将会导致重大经济损失,威胁人员安全,造成恶劣的社会影响。本方案以钢铁行业安全现状为背景,结合某钢铁企业现存安全问题,制定具备前瞻性、可落地性的工业网络安全防御解决方案。
根据某钢铁企业发展规划及投资计划,结合国家关于工业互联网安全建设相关政策,本着投入产出最大化的原则,结合工业互联网企业网络安全分类分级指南联网工业企业增强级(三级)要求,完善工控安全防护措施。本次企业分类分级安全防护对象包括设备、控制、网络、应用、数据五大对象,如图所示。
项目主要从工业设备安全防护、控制安全防护、网络安全防护、数据安全防护、工业APP应用安全防护等角度进行安全防护设计,针对工控系统内部网络流量和协议的安全审计进行数据安全防护,从而满足工业联网企业分类分级管理防护的相关要求。
目标一:建设工业网络边界安全防护及工控设备计算环境安全防护,完善安全管理手段通过技术手段在工控网络边界部署安全产品,以集团分公司为单位,对安全生产业务区域网络和管理信息区域网络进行安全域的划分,明确重要数据的构成及数据流动方向,进行分区分域边界防护,构建可信工控系统,加强区域之间的访问控制,加强系统与系统之间通信协议的安全防范,从而防止网络攻击与威胁;保证工业生产设备计算环境安全,打造工控安全计算白环境,部署统一运维平台进行工控网络安全工作高效可靠管理。建立健全网络安全责任度,完善钢铁企业工控网络安全管理体系,将网络安全纳入考核,即利用技术手段和管理手段保证钢铁企业安全生产。
目标二:建设完善的安全审计措施和未知威胁检测与回溯系统,完善纵深防御体系通过旁路监听与智能分析技术,对系统的控制、采集请求、网络行为进行详细的审计,对攻击及时预警。建立事前攻击的提前是发现和预防,事中攻击的主动检测、主动防御,事后及时溯源,做到应急响应。同时构建清晰的集团资产互访拓扑;对攻击场景进行还原,对每个攻击阶段进行回溯分析,通过丰富的可视化技术进行多维呈现。
目标三:建设网络安全监测预警与信息通报平台,制定网络安全应急预案建立针对集团各分公司工业互联网安全监测预警、信息通报、应急处置手段,提高威胁信息的共享,对监测发现的安全风险隐患及时通报相关企业;实现工业设备资产感知、工业漏洞感知、工业配置感知、工业协议识别和分析、工业连接和网络行为感知、工业僵尸、木马、蠕虫检测、工业攻击链的监测和分析等安全态感知功能,实时识别和预警工业控制网络和工业互联网络的安全威胁,及时与工业安全设备联动实现协同防护,并提供攻击回溯取证和安全态势定期报表,为制定工控安全策略提供支撑,形成安全闭环,进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。制定网络安全应急预案,定期开展应急演练,发现重大网络安全风险和事件;定期开展网络安全风险评估,及时采取针对性有效防范措施。
钢铁企业工业网络安全边界划分不明确,并允许从其他安全分区(如办公内网)甚至可能允许与Internet连接的设备进行访问。当一个安全区域内的网络受到攻击和入侵时,会迅速向其他区域横向扩散,造成大规模严重性安全事件。为此,严格划分网络区域,并在边界处部署防护系统是安全建设的基础。
建设工业网络安全防护系统,工业控制系统安全防护系统主要针对工业控制设备的安全防护。在PLC等控制设备本身难以快速实现安全能力集成的情况下,通过在接入网络层的增加工业网络安全防护系统实现防攻击、防病毒、防入侵、防窃密、防控制能力。
建设工业主机安全防护系统,加强工业APP的安全防护,工业主机是工控网络中较为脆弱的节点,自身漏洞较多,操作版本老旧往往已经失去了补丁支持;工业APP软件多数是定制开发的,软件开发程序不规范,具有较多的漏洞和安全风险;操作系统和工业APP软件由人操作带来恶意操作和误操作的可能性增加,且性能、更新和兼容性问题导致一般的防病毒机制难以生效。多方面的隐患下,工业主机的极高权限造成一旦攻击突破单台设备即可对工控网络造成严重的破坏,对其的防护必须根据工业主机自身的特点,进行特殊的功能集合设计,通过较低的系统开销,实现对攻击行为的有效控制。
建设工业数据保护系统,工业应用与数据的保护,其重点在于对主客体的细粒度控制和攻击洞察,确保被授权人在授权的访问内妥善的执行业务并操作数据,同时识别并阻断其中的攻击行为,实现对工业应用及数据的保护。
建设一套完整的“事前有防范、事中有应对、事后有追溯”的主动防御的网络安全技术体系,实现全网的网络安全状态快速预警,协调全网安全设备和网络设备实现持续防护和快速处置。
传统的网络安全建设往往停留在被动防御状态,导致网络安全运维人员无法看清全网网络安全状态,无法回答“当前网络有没有网络安全问题,问题的来源在哪里,会不会扩散”等网络安全治理的本质问题,即使建设了等级保护的技术体系,也无法对未知威胁和高级威胁进行识别和防护,无法抵御高级持续性威胁APT攻击。
基于人工智能技术的威胁检测与安全防护系统能够通过挖掘海量数据关联关系,自动发现企业内网数据资产,建立数据资产台账,构建清晰的资产互访拓扑,并评估资产风险状况;通过采集各类日志数据、原始流量及元数据(netflow),识别出网络内资产的源IP地址和目标IP地址、URL数据和SQL语句数据以及特定的数据,结合IP地址识别并过滤出应用服务器和数据库服务器,利用SQL解析识别出数据表、字段及表间关系,利用URL解析识别出目标页面,使业务系统中的页面对应的功能、页面访问数据的逻辑,以及数据的组成达到全面掌握,解决数据血缘关系自动识别的工作,从而为数据安全提供保障;针对每个攻击事件,采用攻击链聚合对每个攻击阶段进行回溯分析,并留存攻击取证报文,通过丰富的可视化技术进行多维呈现。
3、建设基于人工智能技术的安全态势监测与风险评估系统,实时监测安全风险基于人工智能技术的安全态势监测与风险评估系统作为构建一体化动态综合防御体系的基石,是安全综合防护系统面向安全和系统管理人员进行统一的管理、整体趋势查看、安全事件追溯的综合办事中心,应以安全态势感知为基础,对日常安全防护中需要的用户身份、策略调试、远程运维及资产与漏洞状态等进行统一的运维管控,并将重要信息报送至安全态势感知平台,同时通过态势感知系统的智能分析与建议功能,全面提高安全防护的水平。
工业企业信息系统规模不断扩大、需求不断更新、自动化程度不断提高,这些工业信息系统,在给社会和公众创造效益的同时,它们本身的脆弱性,也给工业企业的发展、国家经济建设、甚至国家安全带来严重的负面影响,随着工业信息系统安全状况与企业经济效益越来越密切,工业安全问题将直接影响到工业企业的企业经营和形象。本方案的实施,能减少工业企业因为安全问题造成的经济损失,间接带来经济效益。
针对当前工控系统信息安全的形势和政策要求,本方案可提升工业企业网络安全监测和态势感知能力,实现网络安全事件和风险的监测、分析、审计、追踪溯源和风险可视化;增强工业企业网络安全情报共享和预警通报能力,实现跨部门之间信息共享和预警通报的通道,做到信息共享和预警通报及时、客观、准确、完整;提升工业企业网络安全事件与报警管理能力、安全防护能力评估能力、工控安全威胁感知能力。
方案所使用的网络安全安全产品可持续为工业企业提供网络安全预警通报服务及工控网络安全监测系统服务,全面提高工业企业生产系统信息安全保障水平,降低信息安全风险,保障生产系统安全运行。通过产品的应用和配合相关标准的推广,大大提高了我国网络安全核心技术和产品的国产化水平,从而形成针对工业企业的产品应用和行业的深度融合,充分发挥先行示范的带动作用。