1、背景介绍

近年来，钢铁行业的网络安全事件呈现出逐年递增、危害性加剧的趋势，使得工业网络安全成为保障生产安全的关键要素。在这一背景下，某钢铁集团作为钢铁行业智能制造的标杆企业，不仅在数字化和智能化转型方面取得了显著成就，而且其信息化网络安全能力也得到了持续加强。然而，面对日益严峻的工控网络安全形势，工控系统欠缺防护的短板日益凸显，全面提升工控安全水平变得尤为迫切。

如何构建真正有效的工控安全防护和管理体系成为该集团数智化发展的重要课题之一。为此，该集团通过广泛调研、充分论证，并选取了某车间作为测试区域，开展了工控系统深度安全防护和整体监管的功能测试，旨在验证安全监管、防护措施及风险监测等方面的有效性。

通过充分的验证测试，最终该集团公司选择了中控技术所推荐的国利网安产品技术和方案设计，并进行了三个分厂的方案建设。项目建设过程中全面梳理现有资产和网络状况，识别潜在风险点，设计针对性解决方案，尤其针对现场中各类PLC控制系统进行了针对性的安全防护和常态监管，为持续提升该集团工控网络安全防护水平打下坚实基础，也为钢铁工控系统深度安全防护和智慧运营管控树立示范案例。

2、目标与原则

针对该集团公司三个分厂的工控安全现状及现场调研结果，项目团队制定了一套针对性的工控系统安全防护策略，从管理、技术和网络安全运维等维度出发，增强工控系统的深度安全防护和常态运营管控能力，确保工业生产安全顺畅，同时也满足严格的网络安全监管要求和政策法规标准。

目标：

(1)建设“全面监管、纵深防御、持续运营”的安全防护体系，监控事业部资产状况，持续提升安全运维和处置响应能力，及时发现并解决潜在隐患，避免生产因安全问题中断；

(2)制定完善的工控安全管理制度，强化日常安全工作管理，提升工控安全管理水平，落实工控安全体系中的管理手段；

(3)满足国家和行业针对企业工控系统安全防护的合规性要求，满足网络安全检查和认证的要求；

(4)根据事业部试点情况，逐步推广到全集团，最终实现集团整体的工控安全防护和可管可控。

原则：

(1)先进性：采用先进技术，运用最新的安全技术手段，对工业控制系统中的异常资产和潜在威胁进行实时监测和分析，以便及时发现工控网络安全风险，确保工控系统的安全防护水平始终处于领先地位。

(2)兼容性：与现有的工业控制系统在硬件、软件、网络等方面具有良好的兼容性，安全设备部署不会对系统的正常运行造成干扰或影响，提供丰富的接口满足后期IT安全运营管控平台接入需求。

(3)可拓展性：采用模块化、分布式的安全架构，便于根据工业控制系统的规模和需求进行灵活扩展和升级，能够快速适应集团业务发展和技术创新的需要。

(4)经济性：用现有数据采集链路，利用少量的交换机新增完成安全管理网搭建，减少项目成本投入。

(5)集中管理：制定统一的安全策略，对工业控制系统中的用户访问、数据传输、设备操作等进行规范和约束，确保安全策略的一致性和有效性。

3、案例实施与应用情况

总体思路

钢铁工控系统深度安全防控和智慧运营管控示范项目建设立足于现有的网络、控制系统以及安全管理的现状和特点，以集团的数字化和整体网络安全发展规划为指导，结合工业网络安全保障建设自身的规律和特点，充分参考《信息安全技术 网络安全等级保护基本要求》和《工业控制系统网络安全防护指南》等法规要求，提出“全面监管、纵深防御、持续运营”防护思路，实现对集团->事业部->厂->装置工控在网资产的全面管控、内外部人员操作的全面监测与管理，生产控制系统由内到外、从控制指令到控制组态程序的纵深防护，构建集团->事业部->厂->装置的工控安全运营管控体系，持续保障工控网络和业务安全。

实施方案

本项目建设内容包括工业安全态势感知平台、工控安全管理平台、工控资产健康监测、工业入侵检测、控制器防护、控制器监测与恢复、USB安全隔离终端等关键设备部署实施和联调级联。通过增设业务网交换机，将分散在不同物理位置的一级网络通过现有光纤汇聚至同一机房，实现对各区域业务网的接入以及工控网络安全设备的集中管理。

在集团层面，通过部署的工业安全态势感知平台，利用该平台作为工控网络安全运营管控的核心工具。从宏观角度出发，进行网络监管、安全监测、管控、响应和事件处置，并收集外部安全威胁情报信息。该平台具备事前预警、事中发现、事后回溯的能力，以及安全可视化功能，为安全管理提供决策支持。

在厂区层面，通过部署安全管理平台，实现对网络安全产品的集中管理与监控。通过收集安全设备的防护日志，管理安全设备策略配置，实时了解工控网络系统的安全状况，并将数据上传至事业部的态势感知平台。在分厂的各个区域，旁路部署资产健康监测系统，以实现对资产状况、网络拓扑结构、风险识别等的监控，满足区域资产监控需求。在厂级管理交换机上旁路部署工业入侵检测系统，负责采集、分析和监测安全管理网络流量，以识别网络异常行为和攻击行为。在分厂的各个区域旁路部署控制器完整性监测与恢复系统，实时监控各区域主要PLC控制器的运行状态、故障及报警日志、控制器组态程序，并支持异常情况下的数据恢复。特别是在热处理后区PLC部署控制器防护系统，以识别和拦截针对PLC控制器的攻击和非法工控操作。在厂级管理交换机部署USB隔离装置，解决移动存储介质的安全接入问题。此外，新增安全管理网防火墙，确保厂级管理平台与整体安全态势感知平台之间的安全隔离。

技术创新点

本项目安全防护深入到L1层的PLC控制系统，突破性采用工控资产无扰深度识别技术、通信超低时延控制技术、组态工程重建技术、PLC组态数据完整性鉴别技术等创新技术，在保证无扰影响的原则下，实现工业控制系统的安全防护能力提升。

工控资产无扰深度识别技术：采用基于工控网络通信指纹特征库，主动扫描和被动监控相结合的工控通信主体识别方法，针对连接状态、会话状态、硬件基本信息等指纹特征形成高效、高准确度的工控资产识别方法。其中，可识别的资产特征信息具体包括设备品牌型号、硬件配置、运行趋势、系统运行日志、安全日志、错误日志、开放端口、控制器运行状态、主机安全配置等。

通信超低时延控制技术：通过业界首个直接部署在工控系统控制器前的产品，直接对控制器进行安全防护，其微秒级处理时延少于30us，优于业界最好性能60us。采用硬件回路替代逻辑算法实现超低时延，使用双处理器架构，两个处理器之间相互独立，通过有限通信，当某一个处理器遭受网络攻击或处理器不能正常工作时，另一个处理器的业务处理单元仍能够正常处理业务流程；设备具有低延时、高可靠以及超强的自身安全性。

组态工程重建技术：主被动双重检验的组态工程重建和监测技术，实时测量、收集控制器健康数据，为控制器建立全生命周期组态信息管理档案，解决控制器在遭受组态篡改攻击后无法快速恢复、控制器组态文件无法审计分析的问题。

PLC组态数据完整性鉴别技术：实现了对工业控制器健康状态的实时监测，支持组态工程差异比对，实现组态版本的集中管理，并定期记录组态变更，无扰备份工业控制器的组态工程，基于主被动双重检验技术的组态工程重建和监测技术,实现控制器组态监测、控制器组态程序实时备份以及在安全事件发生后提供应急恢复等手段。

组态快照回滚技术：控制器组态快照回滚技术是在监测到控制器组态和数据由于受到攻击、由于病毒而发生非法修改或需要引用控制点组态时，能够基于组态备份在第一时间自动或手动将受到篡改的组态进行组态快照回滚，从而阻止危害事件的发生或使得危害降至最低。

控制器监测和组态备份、恢复，基于主被动双重检验技术的组态工程重建和监测技术,实现控制器组态监测、控制器组态程序实时备份以及在安全事件发生后提供应急恢复等手段，创新实现了控制器运行状态及故障信息的监测，控制器组态完整性监测与恢复，组态工程的历史版本管理，支持控制器组态工程历史版本回退。此技术及应用在国内工控安全领域具有领先地位，同时已有成熟应用案例，本次项目中此部分属客户首次应用，对保护控制器的正常运行具有重要意义。

重难点问题及解决思路

重难点问题1：鉴于工业现场网络布局分散且难以实现统一安全管理，导致安全构建成本攀升。

解决思路：为应对这一挑战，该项目提出了一套创新性的安全管理网络架构方案。该方案通过增设少量交换机及配套接口模块，巧妙地将零散的网络节点汇聚成集中管理体系。借助精心规划的网络配置策略，在确保各子网间保持必要隔离的同时，仅利用有限数量的安全设备即可实现对所有网络的有效监控与管理，从而显著减少了对额外安全硬件的需求，有效控制了项目整体开支，同时保证了预期效果。

重难点问题2：本项目聚焦于工业控制系统中的PLC系统层面的安全和可用性，特别关注新增安全防护措施可能对现有业务流程产生的潜在影响——这被视为实施过程中的关键难题之一。

解决思路：除了作为试点项目的控制器保护系统外，其他新引入的各种设备和系统均采用旁路接入方式融入现有的工业控制网络之中，不仅避免了对原有架构造成任何改动，而且经过严格测试证明，这些新增组件对于现场可编程逻辑控制器（PLC）的工作负荷影响低极低，不会干扰正常的生产活动。此外，为了最大限度降低风险，所有安全功能部署均安排在非工作时间进行，并密切配合现场运维团队完成全面检查，以确保整个安全升级过程对日常运营“零”干扰。

重难点问题3：在此次项目中，一个亟待解决的关键难题是如何将大量的安全告警进行整合分析，从中提炼出需要重点关注的工控安全事件，并针对这些事件实施集中的闭环处理。

解决思路：通过事业部态势感知平台与厂级管理平台的协同联动，实现对各分厂安全动态的集中可视化呈现。利用平台的关联聚类和AI算力技术进行数据分析，提炼并总结真正需要处置的少量关键高风险事件，及时生成预警，通知安全管理人员进行风险处置。通过循环往复的闭环处理，不断磨合事业部现有的工控安全运营团队，提升其综合安全运营能力，为下一步集团级安全运营体系的建设奠定坚实基础。

4、应用价值与效益

通过本次项目的实施，达成了对工控网络资产的全面监控与主动排查目标，将资产纳入管理的比例提高到了100%，并且整合了详尽的资产记录，清晰地展现了从集团到事业部再到分厂乃至到装置作业区的多层级之间的资产和网络分布情况。此外，利用先进的技术手段，使得安全管理人员能够即时获取资产状况，提供了迅速恢复资产功能的方法，大大缩短了业务中断后恢复正常运作所需的时间，从而为现场工业生产活动提供了坚实的保障。同时，借助于可视化平台的支持，可以实时查看交换机等关键设备的具体信息，这对于解决网络问题来说是一个极大的助力，同时也有效降低了运营成本。最后，结合可编程逻辑控制器（PLC）组态工程的实时监控能力，能够快速检测并应对未经授权的组态更改行为，防止因不当操作导致的生产运行意外中断。

4.1应用价值

4.1.1资产辨识与测绘技术为分厂工控网络资产的全面管理提供了有力支持：通过主动资产识别及全网资产画像技术，实现了对分厂资产信息的集中健康监测。这一举措协助该集团公司在工控网络资产管理方面实现了从被动到主动的转变，确保了资产在线状态的清晰可见。项目实施后，对三个分厂共计890项网络资产已完成有效登记并持续处于监管之下，将原有的资产纳入率由约50%提升至100%，彻底做到了“资产家底、心中有数”。

4.1.2资产台账整合与风险评估：助力各分厂完成了资产台账的系统化整合，采用分级架构详尽展示了不同层级的资产信息。通过可视化手段，全面呈现了资产状态、网络事件、风险暴露点以及潜在漏洞等信息，为资产风险管理提供了坚实的数据基础。

4.1.3实时监控与快速响应：为安全管理人员提供了实时资产状态监控的技术手段。通过这一系统，管理人员能够即时获取资产异常离线的时间及相关详细信息，从而迅速采取相应措施。同时，借助先进的技术工具，现场运维人员可以快速恢复资产的正常状态，确保网络中各项资产的健康运行。

4.1.4精准绘制网络拓扑与故障诊断：在全面掌握资产数据及维护信息的基础上，完成了三个分厂主要装置区的网络拓扑图绘制。通过提供便捷的技术手段，帮助现场运维人员快速定位和诊断故障，准确识别异常资产链路连接状况，从而大幅缩短业务恢复时间，确保工业生产的稳定运行。

4.1.5交换机资产可视化与故障排查优化：通过可视化手段，实现了对交换机资产详细信息的实时掌握，包括运行状态和端口信息。借助工控交换机资产画像，现场运维人员能够实时查看接口状态和流量数据，为网络故障排查和链路风险评估提供了强有力的技术支撑，显著缩短了网络故障的排查时间，并降低了人工运营成本。

4.1.6 PLC组态实时监控与一键恢复：通过快速识别PLC组态修改行为并生成告警信息，装置作业区管理人员能够迅速掌握组态变更情况。系统提供一键恢复功能，帮助管理人员快速恢复组态工程，有效避免因组态异常篡改导致的生产非正常停滞。

此次项目聚焦于试点区域内的工业控制网络，旨在提升其安全防护能力。通过实施“全面监管、纵深防御、持续运营”的防护策略，构建了覆盖钢铁生产业务智能化管控的工控解决方案。该项目不仅具有较高的社会效益，还为维护社会和谐稳定和提高关键基础设施的防护能力提供了坚实的支撑与保障。

4.2应用效益

4.2.1社会效益

本项目的实施助力该钢铁集团实现生产控制领域的数智化转型，也为冶金行业的工控网络安全防护树立了标杆。此举有助于防范因工控网络安全问题引发的生产事故，确保现场作业区员工的安全与财产保障。

1、助力数字化转型

工控安全防护能力建设在是工业数字化转型的重要保障。通过强化工控网络的安全防护措施，不仅能够有效防范潜在的安全风险，为冶金企业的数字化进程提供坚实的保障。这一举措将推动该集团公司向更加智能化、高效化的方向迈进，提升企业在全球市场的竞争力。

2、树立行业标杆

此次工控网络安全建设方面的成功实践，不仅能够为其他冶金企业提供宝贵的经验和示范案例，还能推动整个行业的网络安全水平提升。通过分享最佳实践和经验教训，业内钢铁和冶金企业可以相互学习，共同提高应对网络安全威胁的能力。这种良性的行业生态有助于促进企业间的协同发展，形成合作共赢的局面。同时，这也将激励企业在网络安全方面进行更多的投入和创新，以保持竞争优势。

3、保护员工生命安全

通过加强工控网络的安全防护建设，可以有效预防因网络安全事件导致的人员伤亡和财产损失。此举不仅有助于保障员工的生命健康，还为企业的稳定运营提供了坚实的基础。在数字化时代，工控网络已成为工业生产的核心环节，任何安全漏洞都可能引发严重的生产事故。因此，提升工控网络的安全水平，不仅是对员工生命健康的负责，也是对企业长远发展的投资。

4.2.2经济效益

本项目建设将给该集团带来直接和间接经济价值。

1、生产运营方面

减少生产中断损失：有效防止黑客攻击、病毒入侵等网络安全事件导致的生产设备故障、工艺流程紊乱，避免生产停滞或减产，保障生产活动的连续性和稳定性，减少因生产中断带来的直接经济损失，如原材料浪费、设备闲置成本、订单延误赔偿等。

保障生产效率：安全稳定的工控网络环境有助于生产设备的正常运行和自动化控制系统的高效工作，本次项目建设通过对全网的资产、网络的监测和管理，有效减少因网络故障或安全问题导致的设备运行缓慢、控制指令延迟等情况。

2、成本控制方面

降低运维成本：通过建立集中的安全管理，减轻人员运维工作量，降低系统的运维成本。

3、数据资产方面

保护核心数据安全：冶金企业的生产工艺等核心数据是企业的重要资产，本项目建设能够防止数据的窃取和篡改，保护企业的知识产权和商业机密，避免因数据泄露导致的经济损失和市场竞争力下降。