本报记者 樊三彩
2015年12月23日,乌克兰至少有3个区域的电力系统遭到恶意软件攻击,导致大规模停电;2021年7月,因遭受网络攻击,南非国家运输公司经营的多个重要港口运输系统瘫痪;2022年6月,伊朗胡齐斯坦钢铁公司遭遇网络攻击,工厂停产,并引发了大火……随着全球新一轮科技革命和产业变革深入发展,数据正成为现代网络战中的“精准打击目标”。网络战不宣而战,特别是随着“万物互联”时代的到来,能源、基础设施、交通、钢铁等领域也面临日益加剧的网络空间攻击风险。
仅工业和信息化领域数据安全风险信息报送与共享平台统计,2023年工业领域数据安全风险同比增长近1.5倍,以数据泄露、数据篡改为主。其中,钢铁行业数据安全风险主要涉及经营管理类数据,做好数据安全工作已经刻不容缓。
在12月6日举行的2024年钢铁行业工业信息安全大会上,工控系统领域专家、企业负责人等围绕钢铁行业数据安全话题展开了充分研讨,共同探索新技术、新方法、新策略。
数据安全问题
应具有项目“一票否决权”
数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力(《数据安全法》第三条)。“随着行业数字化、智能化水平的持续提升,数据安全风险日益渗透至工艺研发、生产、运行、管理、服务等各个环节,行业对数据安全保护提出了更高的要求和期待。”中国钢铁工业协会副秘书长冯超指出。
钢铁行业有哪些重要数据或核心数据?在北京六方云信息技术有限公司首席技术官王智明看来,钢铁行业的重要数据包括涉及中低端特钢的成分体系、生产工艺、控制指令、工业互联网模型(机理模型、知识模型)、知识图谱等数据,焦炭、铁矿石等大宗原材料信息等能够左右原材料采购定价权的数据。核心数据包括低合金、微合金等高端优特钢,用于海洋、能源、军工、航天及国家重大工程的钢材产品的成分体系、生产工艺、控制指令、工业互联网模型(机理模型、知识模型)、知识图谱等数据,未公开的粗钢等重点原材料大宗产品产能数据。“在数字化项目建设方面,数据安全问题应具有‘一票否决权’。”有专家指出。
国务院最新审议通过的《制造业数字化转型行动方案》明确了开展工业领域网络和数据安全保障行动,要求健全安全制度机制,实施分类分级管理、建立数据分类分级保护等制度;要求增强安全保障能力,提升工业领域网络和数据安全风险监测预警、应急处置等能力。中国信息通信研究院工业网络与数据安全中心工程师张瑜表示,新型工业化推进背景下,工业领域安全形势呈现攻击范围从IT(信息技术)不断向OT(运营技术)渗透传导,网络攻击手段日益多样化、攻击战术不断升级,攻击目标趋于精准化、逐利化,数字技术“双刃剑”效应引发安全隐忧,攻击危害向威胁国家安全演变升级,企业安全能力与数字化水平不同步等趋势。
“网络威胁‘看不见’成为工业互联网‘卡脖子’的难题。很多钢铁企业虽然配置了完善的安全设备,但依旧有安全事件频繁发生。”中冶赛迪信息技术(重庆)有限公司副总经理杨振宇以一起网络安全事件的发生过程举例说:攻击者通过公网发布的程序漏洞,绕过waf(网络应用防护墙)进入数据中心网络;利用该网络,通过与IT、OT业务同时交互的设备,设法进入到了生产网络;接着进行勒索病毒投放,导致部分监控主机被勒索,影响生产业务。
“此次攻击能够顺利实施的原因在于:攻击者进入后触发安全日志告警,但是淹没在海量的安全日志中,安全态势无人关注;部分安全设备防护策略不严格,导致攻击者可绕过限制;安全事件处理不及时,工作人员无法快速进行应急响应。”杨振宇分析道。
数据安全
既要“看得见”,又要“防得住”
“钢铁行业的信息安全不只关乎一个企业、一个行业,更是在国家安全层面务必取得胜利的关键战场。”中冶赛迪集团有限公司副总经理李志表示,信息安全不仅仅是某个具体的技术、产品,而是系统的安全解决方案和贯穿全局的安全生态。
从顶层设计的角度来看,国家对数据要素的安全保护极为重视,发布了大量政策法规,工信部发布《工业领域数据安全能力提升实施方案(2024-2026年)》,山东、黑龙江等省份在开展相关试点,走在了全国前列。以各企业数据资产、数据载体、数据处理活动为重点,部署企业侧工业领域数据安全监测节点,与省级工业领域数据安全监测节点接口互通,构建省企联动的数据安全监测体系。
如何确保数据安全?烽台科技(北京)有限公司副总裁吴海民认为,构建钢铁企业的工业数据安全体系,第一步,要从数据源头开始梳理,对工业数据进行分类定级,形成企业的数据目录。第二步,要从顶层对数据安全进行整体规划,逐步开展数据安全能力工具建设。第三步,建立企业数据安全管理平台,对内部数据资产进行综合管理和控制。第四步,配合省部级监管机构,完成数据报送及分析监控工作。
“网络风险,看见是关键。”杨振宇指出,在过去的10余年里,我国的很多单位、企业都在不同程度上遭受了攻击,攻击方如入无人之境,其根本原因就是我们“看不见”。“需要建立一个整体的安全运营体系,解决‘看不见’的问题。”他认为。
目前,已有很多领先钢企建立起整体的安全运营体系。如鞍钢数智科技(辽宁)有限公司建立的“基于AI的钢铁行业工业互联网数据安全管理平台”,实现事前的数据发现分类分级,事中的数据保护能力建设,以及事后的安全审计与行为分析。中信泰富特钢围绕10大任务计划,构建出覆盖“总部一中心、10个企业全接入”的全域、全天候信息安全防控体系,具备网络准入、病毒防范等端防护,防火墙、NIPS(网络入侵防御系统)等边隔离,安全可感知、自动化编排等云联动能力,实现持续监测、精准识别、智能响应、常态防护。一系列部署不仅解决了“看不见”的问题,还解决了“如何防”的问题。
在安全运营体系的构建过程中,数据的分类分级是第一步。“分类分级保护目的是为了优化资源配置,通过有限的网络安全投入实现精准防护。”宝信软件网络安全运营中心高级工程师邓宽平表示,中国宝武构建了互联网网站安全云堤、工业融合网安全防护、工业互联网平台防护、数据全生命周期防护的4层防护体系,防范工业互联网重大安全风险。
无独有偶,鞍钢数智科技(辽宁)有限公司通过AI算法(自适应聚类、自然语义分析等)探测关系型和非关系型数据及网络接口,分析元数据,识别敏感数据,进行分类分级处理,再基于分类分级结果细粒度授权,结合数据安全策略与能力中心进行加密、脱敏、水印等安全处理。
在事中的数据保护能力建设上,很多钢企也先行先试、成果显现。柳钢工业互联网智能防御溯源运营平台分为集团级和工厂级两级部署模式,工业互联网控制安全系统已在柳钢中金公司正式部署并投入实地应用,柳钢本部基地在逐步开展实施中。该工厂级系统采集工程师站、操作员站、历史站、控制设备、交换设备和工控安全评估装置、工控威胁感知系统、工控防火墙、隔离装置等设备的资产信息、安全信息、状态信息、报警信息及故障信息等,并对采集的信息进行统一处理,形成安全指数、健康性指数和防护指数。
北京威努特技术有限公司技术总监彭柯湖介绍了一起数据防勒索场景的实践案例。某钢铁集团是全国大型的螺纹钢生产基地,计划开展集团南区集控中心工控网络安全建设项目。威努特通过在办公网服务器与终端上部署主机防勒索软件,建立系统中应用与数据访问关系模型,阻断勒索软件对应用数据的篡改,保护系统中文档、数据库、工程文件、音频、图像、视频、配置文件免遭勒索软件恶意加密,提升主机的数据防勒索能力。
安全工作只有进行时,没有完成时。李志认为,只有让信息安全理念融入产品研发、生产运营、客户服务等各个环节,才能真正实现安全与业务发展的良性互动,助力生产数据产生价值。同时,信息安全的防护体系需要根据数字技术的深化应用、潜在风险的不断演进而持续更新迭代,更好地从“被动防御”转变为“主动护航”。冯超强调,钢铁企业要持续固化安全意识,从网络安全、数据安全、信息安全、业务安全等多维度去构建全面的基础防御体系,还要统筹行业各方力量,构建产学研用协同创新机制,推动形成体系化防御能力,为钢铁行业的新竞争力保驾护航。
《中国冶金报》(2024年12月10日 04版四版)
