中國冶金報社
記者 樊三彩 報道
2015年12月23日,烏克蘭至少有3個區域的電力系統遭到惡意軟件攻擊,導致大規模停電;2021年7月,因遭受網絡攻擊,南非國家運輸公司經營的多個重要港口運輸系統癱瘓;2022年6月,伊朗胡齊斯坦鋼鐵公司遭遇網絡攻擊,工廠停產,并引發了大火……隨著全球新一輪科技革命和產業變革深入發展,數據正成為現代網絡戰中的“精準打擊目標”。網絡戰不宣而戰,特別是隨著“萬物互聯”時代的到來,能源、基礎設施、交通、鋼鐵等領域也面臨日益加劇的網絡空間攻擊風險。
僅工業和信息化領域數據安全風險信息報送與共享平臺統計,2023年工業領域數據安全風險同比增長近1.5倍,以數據泄露、數據篡改為主。其中,鋼鐵行業數據安全風險主要涉及經營管理類數據,做好數據安全工作已經刻不容緩。
在12月6日舉行的2024年鋼鐵行業工業信息安全大會上,工控系統領域專家、企業負責人等圍繞鋼鐵行業數據安全話題展開了充分研討,共同探索新技術、新方法、新策略。
數據安全問題
應具有項目“一票否決權”
數據安全,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力(《數據安全法》第三條)?!半S著行業數字化、智能化水平的持續提升,數據安全風險日益滲透至工藝研發、生產、運行、管理、服務等各個環節,行業對數據安全保護提出了更高的要求和期待。”中國鋼鐵工業協會副秘書長馮超指出。
鋼鐵行業有哪些重要數據或核心數據?在北京六方云信息技術有限公司首席技術官王智明看來,鋼鐵行業的重要數據包括涉及中低端特鋼的成分體系、生產工藝、控制指令、工業互聯網模型(機理模型、知識模型)、知識圖譜等數據,焦炭、鐵礦石等大宗原材料信息等能夠左右原材料采購定價權的數據。核心數據包括低合金、微合金等高端優特鋼,用于海洋、能源、軍工、航天及國家重大工程的鋼材產品的成分體系、生產工藝、控制指令、工業互聯網模型(機理模型、知識模型)、知識圖譜等數據,未公開的粗鋼等重點原材料大宗產品產能數據。“在數字化項目建設方面,數據安全問題應具有‘一票否決權’?!庇袑<抑赋?。
國務院最新審議通過的《制造業數字化轉型行動方案》明確了開展工業領域網絡和數據安全保障行動,要求健全安全制度機制,實施分類分級管理、建立數據分類分級保護等制度;要求增強安全保障能力,提升工業領域網絡和數據安全風險監測預警、應急處置等能力。中國信息通信研究院工業網絡與數據安全中心工程師張瑜表示,新型工業化推進背景下,工業領域安全形勢呈現攻擊范圍從IT(信息技術)不斷向OT(運營技術)滲透傳導,網絡攻擊手段日益多樣化、攻擊戰術不斷升級,攻擊目標趨于精準化、逐利化,數字技術“雙刃劍”效應引發安全隱憂,攻擊危害向威脅國家安全演變升級,企業安全能力與數字化水平不同步等趨勢。
“網絡威脅‘看不見’成為工業互聯網‘卡脖子’的難題。很多鋼鐵企業雖然配置了完善的安全設備,但依舊有安全事件頻繁發生?!敝幸辟惖闲畔⒓夹g(重慶)有限公司副總經理楊振宇以一起網絡安全事件的發生過程舉例說:攻擊者通過公網發布的程序漏洞,繞過waf(網絡應用防護墻)進入數據中心網絡;利用該網絡,通過與IT、OT業務同時交互的設備,設法進入到了生產網絡;接著進行勒索病毒投放,導致部分監控主機被勒索,影響生產業務。
“此次攻擊能夠順利實施的原因在于:攻擊者進入后觸發安全日志告警,但是淹沒在海量的安全日志中,安全態勢無人關注;部分安全設備防護策略不嚴格,導致攻擊者可繞過限制;安全事件處理不及時,工作人員無法快速進行應急響應。”楊振宇分析道。
數據安全
既要“看得見”,又要“防得住”
“鋼鐵行業的信息安全不只關乎一個企業、一個行業,更是在國家安全層面務必取得勝利的關鍵戰場。”中冶賽迪集團有限公司副總經理李志表示,信息安全不僅僅是某個具體的技術、產品,而是系統的安全解決方案和貫穿全局的安全生態。
從頂層設計的角度來看,國家對數據要素的安全保護極為重視,發布了大量政策法規,工信部發布《工業領域數據安全能力提升實施方案(2024-2026年)》,山東、黑龍江等省份在開展相關試點,走在了全國前列。以各企業數據資產、數據載體、數據處理活動為重點,部署企業側工業領域數據安全監測節點,與省級工業領域數據安全監測節點接口互通,構建省企聯動的數據安全監測體系。
如何確保數據安全?烽臺科技(北京)有限公司副總裁吳海民認為,構建鋼鐵企業的工業數據安全體系,第一步,要從數據源頭開始梳理,對工業數據進行分類定級,形成企業的數據目錄。第二步,要從頂層對數據安全進行整體規劃,逐步開展數據安全能力工具建設。第三步,建立企業數據安全管理平臺,對內部數據資產進行綜合管理和控制。第四步,配合省部級監管機構,完成數據報送及分析監控工作。
“網絡風險,看見是關鍵?!睏钫裼钪赋觯谶^去的10余年里,我國的很多單位、企業都在不同程度上遭受了攻擊,攻擊方如入無人之境,其根本原因就是我們“看不見”?!靶枰⒁粋€整體的安全運營體系,解決‘看不見’的問題。”他認為。
目前,已有很多領先鋼企建立起整體的安全運營體系。如鞍鋼數智科技(遼寧)有限公司建立的“基于AI的鋼鐵行業工業互聯網數據安全管理平臺”,實現事前的數據發現分類分級,事中的數據保護能力建設,以及事后的安全審計與行為分析。中信泰富特鋼圍繞10大任務計劃,構建出覆蓋“總部一中心、10個企業全接入”的全域、全天候信息安全防控體系,具備網絡準入、病毒防范等端防護,防火墻、NIPS(網絡入侵防御系統)等邊隔離,安全可感知、自動化編排等云聯動能力,實現持續監測、精準識別、智能響應、常態防護。一系列部署不僅解決了“看不見”的問題,還解決了“如何防”的問題。
在安全運營體系的構建過程中,數據的分類分級是第一步?!胺诸惙旨壉Wo目的是為了優化資源配置,通過有限的網絡安全投入實現精準防護?!睂毿跑浖W絡安全運營中心高級工程師鄧寬平表示,中國寶武構建了互聯網網站安全云堤、工業融合網安全防護、工業互聯網平臺防護、數據全生命周期防護的4層防護體系,防范工業互聯網重大安全風險。
無獨有偶,鞍鋼數智科技(遼寧)有限公司通過AI算法(自適應聚類、自然語義分析等)探測關系型和非關系型數據及網絡接口,分析元數據,識別敏感數據,進行分類分級處理,再基于分類分級結果細粒度授權,結合數據安全策略與能力中心進行加密、脫敏、水印等安全處理。
在事中的數據保護能力建設上,很多鋼企也先行先試、成果顯現。柳鋼工業互聯網智能防御溯源運營平臺分為集團級和工廠級兩級部署模式,工業互聯網控制安全系統已在柳鋼中金公司正式部署并投入實地應用,柳鋼本部基地在逐步開展實施中。該工廠級系統采集工程師站、操作員站、歷史站、控制設備、交換設備和工控安全評估裝置、工控威脅感知系統、工控防火墻、隔離裝置等設備的資產信息、安全信息、狀態信息、報警信息及故障信息等,并對采集的信息進行統一處理,形成安全指數、健康性指數和防護指數。
北京威努特技術有限公司技術總監彭柯湖介紹了一起數據防勒索場景的實踐案例。某鋼鐵集團是全國大型的螺紋鋼生產基地,計劃開展集團南區集控中心工控網絡安全建設項目。威努特通過在辦公網服務器與終端上部署主機防勒索軟件,建立系統中應用與數據訪問關系模型,阻斷勒索軟件對應用數據的篡改,保護系統中文檔、數據庫、工程文件、音頻、圖像、視頻、配置文件免遭勒索軟件惡意加密,提升主機的數據防勒索能力。
安全工作只有進行時,沒有完成時。李志認為,只有讓信息安全理念融入產品研發、生產運營、客戶服務等各個環節,才能真正實現安全與業務發展的良性互動,助力生產數據產生價值。同時,信息安全的防護體系需要根據數字技術的深化應用、潛在風險的不斷演進而持續更新迭代,更好地從“被動防御”轉變為“主動護航”。馮超強調,鋼鐵企業要持續固化安全意識,從網絡安全、數據安全、信息安全、業務安全等多維度去構建全面的基礎防御體系,還要統籌行業各方力量,構建產學研用協同創新機制,推動形成體系化防御能力,為鋼鐵行業的新競爭力保駕護航。
