1、 方案背景与目标

钢铁企业是典型的生产、资金、技术密集型企业，其生产连续性强，生产系统耦合性高，加之近年我国众多钢铁企业不断推进智能化建设，尤其是在工业控制系统方面大量投入，以实现企业的智能化升级转型，其主要应用的工业控制系统主要是PCS、DCS、PLC、SCADA等，不仅越来越注重系统开放性设计，且多采用第三方集成，操作端PC化，这一改进大大降低了用户的投资与维护成本，但与此同时，面临的网络风险也越来越严峻。如何有效地防范来自内部或外部的攻击，做好工控系统网络安全的防护工作，确保生产系统的稳定可靠，是钢铁行业工控系统信息安全亟待解决的问题。从应用案例经验总结来看，目前钢铁行业的工控系统管理缺失、防护手段落后、工业网络病毒、设备漏洞和后门、持续性威胁APT、无线技术等问题是其重要关注点，这些问题一旦发生，将会导致重大经济损失，威胁人员安全，造成恶劣的社会影响。

本方案将以工信部发布的工业互联网络企业网络安全分类分级指南相关要求为基础，结合《工业互联网安全框架》、《数据安全法》、《工业互联网企业分类分级管理试点方案》及《工业互联网平台安全总体（防护）要求》，分析工业互联网钢铁类的实际安全需求，结合其业务的实际特性，建立符合系统实际安全需求的网络安全保障体系框架，设计安全保障体系方案，综合提升系统的安全保障能力和防护水平，确保系统的安全稳定运行。

通过开展工业互联网企业分类分级安全防护工作，结合分类分级具体防护要求、工业互联网企业数据安全防护规范、联网工业企业安全防护规范、等级保护2.0等相关政策标准，分析钢铁企业的实际安全需求，结合其业务的实际特性，建立符合系统实际安全需求的网络安全保障体系框架，设计安全保障体系方案，综合提升工业控制系统的安全保障能力和防护水平，确保系统的安全稳定运行。

项目建设主要从工业设备安全防护、控制安全防护、网络安全防护、数据安全防护、工业APP应用安全防护等角度进行安全防护设计和建设；针对工控系统内部网络流量和协议的安全审计层面进行数据安全防护，到达对工业互联网企业分类分级增强级（三级）安全防护,逐步实施，最终满足工业联网企业分类分级管理防护的相关要求。

2、 方案详细介绍

建成一套基于人工智能的工业网络安全防护系统，其涉及的技术及产品是涉及多个不同安全技术领域的复杂工作。为保证最终目标的达成。

制定鞍山钢铁工业控制系统网络安全防护建设规划

钢铁行业工业控制网络拓扑结构复杂，受产品类型、厂商及工业流程等影响，企业内部也会呈现类型各异的网络接入方式和拓扑架构，对工业网络的安全防护，需要能够适应网络层、应用层及内容层与IT网络的巨大差异，进行有针对性的识别与控制，并屏蔽工业网络自身的差异性，实现一致的安全防护效果。

网络安全防护从防护对象、防护措施及防护管理三个视角构建，形成网络安全防护框架。针对不同的防护对象部署相应的安全防护措施，根据实时监测结果发现网络中存在的或即将发生的安全问题并及时做出响应。同时加强防护管理，明确基于安全目标持续改进的管理方针，保障工业互联网的持续安全。安全框架如图所示：

其中，防护对象视角涵盖设备、控制、网络、应用和数据五大安全重点；防护措施视角包括威胁防护、监测感知和处置恢复三大环节，威胁防护环节针对五大防护对象部署主被动安全防护措施，监测感知和处置恢复环节通过信息共享、监测预警、应急响应等一系列安全措施、机制的部署增强动态安全防护能力；防护管理视角根据工业互联网安全目标对其面临的安全风险进行安全评估，并选择适当的安全策略作为指导，实现防护措施的有效部署。

网络安全防护安全框架的三个防护视角之间相对独立，但彼此之间又相互关联。从防护对象视角来看，安全框架中的每个防护对象，都需要采用一组合理的防护措施并配备完备的防护管理流程对其进行安全防护；从防护措施视角来看，每一类防护措施都有其适用的防护对象，并在具体防护管理流程指导下发挥作用；从防护管理视角来看，防护管理流程的实现离不开对防护对象的界定，并需要各类防护措施的有机结合使其能够顺利运转。工业互联网安全框架的三个防护视角相辅相成、互为补充，形成一个完整、动态、持续的防护体系。

为帮助相关企业应对工业互联网所面临的各种挑战，防护措施视角从生命周期、防御递进角度明确安全措施，实现动态、高效的防御和响应。防护措施视角主要包括威胁防护、监测感知和处置恢复三大环节：

威胁防护：针对五大防护对象，部署主被动防护措施，阻止外部入侵，构建安全运行环境，消减潜在安全风险。

监测感知：部署相应的监测措施，实时感知内部、外部的安全风险。

处置恢复：建立响应恢复机制，及时应对安全威胁，并及时优化防护措施，形成闭环防御。

建设基于人工智能技术的网络安全综合防御平台

钢铁企业工业网络安全边界划分不明确，并允许从其他安全分区（如办公内网）甚至可能允许与Internet连接的设备进行访问。当一个安全区域内的网络受到攻击和入侵时，会迅速向其他区域横向扩散，造成大规模严重性安全事件。为此，严格划分网络区域，并在边界处部署防护系统是安全建设的基础。

建设工业网络安全防护系统，工业控制系统安全防护系统主要针对工业控制设备的安全防护。在PLC等控制设备本身难以快速实现安全能力集成的情况下，通过在接入网络层的增加工业网络安全防护系统实现防攻击、防病毒、防入侵、防窃密、防控制能力。

建设工业主机安全防护系统，加强工业APP的安全防护，工业主机是工控网络中较为脆弱的节点，自身漏洞较多，操作版本老旧往往已经失去了补丁支持；工业APP软件多数是定制开发的，软件开发程序不规范，具有较多的漏洞和安全风险；操作系统和工业APP软件由人操作带来恶意操作和误操作的可能性增加，且性能、更新和兼容性问题导致一般的防病毒机制难以生效。多方面的隐患下，工业主机的极高权限造成一旦攻击突破单台设备即可对工控网络造成严重的破坏，对其的防护必须根据工业主机自身的特点，进行特殊的功能集合设计，通过较低的系统开销，实现对攻击行为的有效控制。

建设工业数据保护系统，工业应用与数据的保护，其重点在于对主客体的细粒度控制和攻击洞察，确保被授权人在授权的访问内妥善的执行业务并操作数据，同时识别并阻断其中的攻击行为，实现对工业应用及数据的保护。

建设基于人工智能技术的威胁检测与安全防护系统

建设一套完整的“事前有防范、事中有应对、事后有追溯”的主动防御的网络安全技术体系，实现全网的网络安全状态快速预警，协调全网安全设备和网络设备实现持续防护和快速处置。传统的网络安全建设往往停留在被动防御状态，导致网络安全运维人员无法看清全网网络安全状态，无法回答“当前网络有没有网络安全问题，问题的来源在哪里，会不会扩散”等网络安全治理的本质问题，即使建设了等级保护的技术体系，也无法对未知威胁和高级威胁进行识别和防护，无法抵御高级持续性威胁APT攻击。通过挖掘海量数据关联关系，自动发现企业内网数据资产，建立数据资产台账，构建清晰的资产互访拓扑，并评估资产风险状况；通过采集各类日志数据、原始流量及元数据（netflow），识别出网络内资产的源IP地址和目标IP地址、URL数据和SQL语句数据以及特定的数据，结合IP地址识别并过滤出应用服务器和数据库服务器，利用SQL解析识别出数据表、字段及表间关系，利用URL解析识别出目标页面，使业务系统中的页面对应的功能、页面访问数据的逻辑，以及数据的组成达到全面掌握，解决数据血缘关系自动识别的工作，从而为数据安全提供保障；针对每个攻击事件，采用攻击链聚合对每个攻击阶段进行回溯分析，并留存攻击取证报文，通过丰富的可视化技术进行多维呈现。

建设基于人工智能技术的安全态势监测与风险评估系统，实时监测安全风险

基于人工智能技术的安全态势监测与风险评估系统作为构建一体化动态综合防御体系的基石，是安全综合防护系统面向安全和系统管理人员进行统一的管理、整体趋势查看、安全事件追溯的综合办事中心，应以安全态势感知为基础，对日常安全防护中需要的用户身份、策略调试、远程运维及资产与漏洞状态等进行统一的运维管控，并将重要信息报送至安全态势感知平台，同时通过态势感知系统的智能分析与建议功能，全面提高安全防护的水平。

3、 代表性及推广价值

（1）实现网络安全态势从未知到已知

通过建立生产控制系统信息安全监管与预警系统，摸清家底，感知网络中的资产信息，实现网络资产可视化。通过摸清家底，了解网络中存在哪些设备、对应的责任人是谁、使用什么操作系统、安装了哪些软件和应用，分别是什么组件、什么版本，分别存在哪些漏洞、已经修补了哪些补丁等等，真正做到底数清、情况明确。

（2）实现网络安全防御从被动到主动

通过建立生产控制系统监管预警系统，利用安全大数据、态势感知、攻击链模型和算法，结合最新的全球网络安全威胁情报，持续监测，准确及时地发现各种潜在威胁和攻击，并进行通报预警，提前感知攻击者的下一步攻击计划，采取有效处置措施，构建弹性防御体系，以期最大限度上避免、转移、降低信息系统所面临的风险。

（3）实现从单一设备防护到协同联动

通过建立生产控制系统监管与预警系统，作为联动枢纽，实现网络中所有安全设备的数据汇总分析、数据共享及策略协同，打通终端、边界协同联动，有机整合各种网络安全技术，达到“智能检测”、“智能上报”、“智能响应”，建立一个以威胁情报为驱动，终端安全、边界安全、大数据分析等多层次、纵深智能协同的安全防御体系，有效提升整体网络防护能力。

（4）实现网络安全纵深防御防护体系

通过工控系统安全防护要求，对生产控制系统网络安全进行整改防护；在强化边界防护的基础上，加强内部的物理安全、网络安全、操作系统安全、应用安全、数据安全防护以及安全运维管控，构建纵深防线，实现智能制造企业生产控制系统网络安全的纵深防御、综合防护。

3.1 技术示范效应：

本技术方案适合于当前工控系统信息安全的形势和政策要求，可提升工业企业网络安全监测和态势感知能力，实现网络安全事件和风险的监测、分析、审计、追踪溯源和风险可视化；增强工业企业网络安全情报共享和预警通报能力，实现跨部门之间信息共享和预警通报的通道，做到信息共享和预警通报及时、客观、准确、完整；提升工业企业网络安全事件与报警管理能力、全防护能力评估能力、工控安全威胁感知能力。

3.2 商业价值：

随着工业企业信息系统规模不断扩大、需求不断更新、自动化程度不断提高，这些工业信息系统，在给社会和公众创造效益的同时，它们本身的脆弱性，也给工业企业的发展、国家经济建设、甚至国家安全带来严重的负面影响，随着工业信息系统安全状况与企业经济效益越来越密切，工业安全问题将直接影响到工业企业的企业经营和形象。本技术方案的实施，能减少上工业企业因为工业安全问题造成的经济损失，间接带来经济效益。

若按照近年各行业事故数量和经济损失统计估算，本技术方案推广应用可以减少30%的事故，提升了社会的安全稳定，可以减轻企业上亿元的经济损失，保障了人民生活质量；同时有助于各个应用单位保持安全生产的领先地位和夯实创新发展的基础。

3.3 社会价值：

工业企业工业控制系统核心技术和产品自主可控水平低，高端产品基本被国外垄断，通过常规防御手段无法完全消除国外产品的后门、漏洞和缺陷，急需我国自主知识产权的工业网络安全防护产品问世及规模应用。通过本方案网络安全技术的应用，会加快网络安全核心技术和产品的自主研发可控及国产化水平。通过产品应用和配合，相关标准的推广，大大提高了我国网络安全核心技术和产品的国产化水平，形成针对工业企业的典型的产品应用和深度的行业融合，形成新型工业化产业示范基地（工业信息安全），发挥先行先试和示范带动作用。