这一安全防护项目何以为首钢京唐带来近千万元年效益?
近年来,工业互联网安全正引起国家层面的重视。2014年2月27日,总书记在中央网络安全和信息化领导小组第一次会议上发表讲话,指出“没有网络安全就没有国家安全”。在这个大背景下,工信部于2016年10月发布《工业控制系统信息安全防护指南》,全国各行各业尤其是冶金行业都开始针对自身的工业控制系统进行信息化融合以及信息安全的建设。在今年3月份召开的2023年钢铁行业智能制造联盟年会暨第二届钢铁行业数字化解决方案交流会上,英赛克科技(北京)有限公司(下称英赛克)、首钢京唐钢铁联合有限责任公司(下称首钢京唐)联合申报的“基于‘工业互联网纵深防御’的钢铁行业工业互联网安全解决方案”获评钢铁行业十大优秀解决方案之一,成为钢铁企业在网络安全领域持续探索的一大优秀成果。
安全方案实施要“临机制变”
通过前期多次现场调研勘察,采纳各工艺技术人员的意见和建议,英赛克建立并完善了首钢京唐全厂一二级工业网络安全防护方案,并在现场技术人员的陪同下实施了该方案。
该方案通过安装工业安全主机卫士软件实现对工业现场主机、服务器的安全防护。主机卫士采用白名单技术,对已知的业务系统软件进行扫描识别、形成白名单,从而禁止白名单之外其他可执行程序的运行,无需病毒库即可保障现场主机、服务器的安全。
然而,白名单技术由于其自身“非黑即白”的绝对性,在前期现场实施时,也曾出现了一段“小插曲”。英赛克相关负责人员回忆道,在某工艺段实施成功并进入试运行阶段时,现场的操作员反馈安装主机卫士的操作站出现问题,原有的画面监控软件无法运行,不过只要运维人员关闭主机卫士的防护功能,业务系统就能正常运行了。收到反馈之后,英赛克技术人员第一时间赶往现场,对现场出现问题的操作站进行检查。“经过排查,技术人员发现主机卫士确实拦截了很多可执行程序。”负责人介绍,“经过查询主机卫士的告警日志,我们发现,这些程序都是现场业务系统在运行时自动生成的新程序。这些程序原先并不在白名单中,因而被主机卫士拦截,导致现场业务软件无法运行。”
在查清事故原因后,技术人员果断调整这台主机卫士的安全策略,将此类系统软件所在的文件路径添加为白名单。“这样该业务软件所有的运行内容都被视为允许的,既解决了现场误拦截的问题,又不影响现场操作站的安全防护。”负责人表示。
为企业创造年效益近千万元
首钢京唐全厂一二级工业网络安全防护项目共实施了上千套主机卫士软件、近百台工业防火墙。该项目实施后,可节省首钢京唐公司一二级工控系统每年升级和购买杀毒软件、获得授权的费用。同时,每年可有效减少网络安全事故,缩短因网络安全问题造成的停机时间,从而降低生产和运维成本。该项目年效益预计近千万元。
除了提升经济效益外,该项目应用成果还体现在多个方面。第一,建设创新性安全示范工程。建成具有先进性、代表性、创新性的工业网络安全示范工程,为其他流程及控制系统网络安全建设提供方案和技术支撑。第二,无需更新和维护,一次购买、终身使用。该方案中的工业网络安全产品均采用白名单技术,产品部署过程中不需要更改现场主机及控制系统任何配置,避免了传统网络安全产品需高频率更新的缺点,更适用于工业网络环境。同时,所有产品一次购买、永久使用,摆脱了传统安全产品需定期购买授权的缺点。第三,杜绝不合规应用,降低安全风险。该方案通过应用程序、移动存储介质的白名单策略,可以有效防止业务系统安装运行违规程序、非法使用移动存储介质等,降低安全风险。第四,保护关键对象,增强核心资产稳定性。该方案通过建立稳定的计算环境,结合应用程序白名单机制,可对未知病毒进行安全“免疫”,有效降低生产网络中的安全风险,杜绝病毒、木马、勒索软件的传播,增强业务系统的连续性和稳定性。第五,提高运营单位安全生产水平,为提高企业经营效益做贡献。该方案可提高生产控制网络行为的合规性识别能力,避免发生由网络安全引起的突发事件,避免或减少生产控制网络安全威胁,杜绝重大灾难性事件,为企业安全生产提供保障。
《中国冶金报》(2023年05月30日 03版三版)
来源:中国冶金报-中国钢铁新闻网316L不锈钢管www.jns904lbxg.com904L不锈钢管
页:
[1]