近年來，工業(yè)互聯(lián)網(wǎng)安全正引起國家層面的重視。2014年2月27日，習近平總書記在中央網(wǎng)絡安全和信息化領導小組第一次會議上發(fā)表講話，指出“沒有網(wǎng)絡安全就沒有國家安全”。在這個大背景下，工信部于2016年10月發(fā)布《工業(yè)控制系統(tǒng)信息安全防護指南》，全國各行各業(yè)尤其是冶金行業(yè)都開始針對自身的工業(yè)控制系統(tǒng)進行信息化融合以及信息安全的建設。

　　在今年3月份召開的2023年鋼鐵行業(yè)智能制造聯(lián)盟年會暨第二屆鋼鐵行業(yè)數(shù)字化解決方案交流會上，英賽克科技（北京）有限公司（下稱英賽克）、首鋼京唐鋼鐵聯(lián)合有限責任公司（下稱首鋼京唐）聯(lián)合申報的“基于‘工業(yè)互聯(lián)網(wǎng)縱深防御’的鋼鐵行業(yè)工業(yè)互聯(lián)網(wǎng)安全解決方案”獲評鋼鐵行業(yè)十大優(yōu)秀解決方案之一，成為鋼鐵企業(yè)在網(wǎng)絡安全領域持續(xù)探索的一大優(yōu)秀成果。

　　安全方案實施要“臨機制變”

　　通過前期多次現(xiàn)場調(diào)研勘察，采納各工藝技術人員的意見和建議，英賽克建立并完善了首鋼京唐全廠一二級工業(yè)網(wǎng)絡安全防護方案，并在現(xiàn)場技術人員的陪同下實施了該方案。

　　該方案通過安裝工業(yè)安全主機衛(wèi)士軟件實現(xiàn)對工業(yè)現(xiàn)場主機、服務器的安全防護。主機衛(wèi)士采用白名單技術，對已知的業(yè)務系統(tǒng)軟件進行掃描識別、形成白名單，從而禁止白名單之外其他可執(zhí)行程序的運行，無需病毒庫即可保障現(xiàn)場主機、服務器的安全。

　　然而，白名單技術由于其自身“非黑即白”的絕對性，在前期現(xiàn)場實施時，也曾出現(xiàn)了一段“小插曲”。英賽克相關負責人員回憶道，在某工藝段實施成功并進入試運行階段時，現(xiàn)場的操作員反饋安裝主機衛(wèi)士的操作站出現(xiàn)問題，原有的畫面監(jiān)控軟件無法運行，不過只要運維人員關閉主機衛(wèi)士的防護功能，業(yè)務系統(tǒng)就能正常運行了。收到反饋之后，英賽克技術人員第一時間趕往現(xiàn)場，對現(xiàn)場出現(xiàn)問題的操作站進行檢查。“經(jīng)過排查，技術人員發(fā)現(xiàn)主機衛(wèi)士確實攔截了很多可執(zhí)行程序。”負責人介紹，“經(jīng)過查詢主機衛(wèi)士的告警日志，我們發(fā)現(xiàn)，這些程序都是現(xiàn)場業(yè)務系統(tǒng)在運行時自動生成的新程序。這些程序原先并不在白名單中，因而被主機衛(wèi)士攔截，導致現(xiàn)場業(yè)務軟件無法運行?！?/p>

　　在查清事故原因后，技術人員果斷調(diào)整這臺主機衛(wèi)士的安全策略，將此類系統(tǒng)軟件所在的文件路徑添加為白名單?！斑@樣該業(yè)務軟件所有的運行內(nèi)容都被視為允許的，既解決了現(xiàn)場誤攔截的問題，又不影響現(xiàn)場操作站的安全防護?！必撠熑吮硎?。

　　為企業(yè)創(chuàng)造年效益近千萬元

　　首鋼京唐全廠一二級工業(yè)網(wǎng)絡安全防護項目共實施了上千套主機衛(wèi)士軟件、近百臺工業(yè)防火墻。該項目實施后，可節(jié)省首鋼京唐公司一二級工控系統(tǒng)每年升級和購買殺毒軟件、獲得授權的費用。同時，每年可有效減少網(wǎng)絡安全事故，縮短因網(wǎng)絡安全問題造成的停機時間，從而降低生產(chǎn)和運維成本。該項目年效益預計近千萬元。

　　除了提升經(jīng)濟效益外，該項目應用成果還體現(xiàn)在多個方面。第一，建設創(chuàng)新性安全示范工程。建成具有先進性、代表性、創(chuàng)新性的工業(yè)網(wǎng)絡安全示范工程，為其他流程及控制系統(tǒng)網(wǎng)絡安全建設提供方案和技術支撐。第二，無需更新和維護，一次購買、終身使用。該方案中的工業(yè)網(wǎng)絡安全產(chǎn)品均采用白名單技術，產(chǎn)品部署過程中不需要更改現(xiàn)場主機及控制系統(tǒng)任何配置，避免了傳統(tǒng)網(wǎng)絡安全產(chǎn)品需高頻率更新的缺點，更適用于工業(yè)網(wǎng)絡環(huán)境。同時，所有產(chǎn)品一次購買、永久使用，擺脫了傳統(tǒng)安全產(chǎn)品需定期購買授權的缺點。第三，杜絕不合規(guī)應用，降低安全風險。該方案通過應用程序、移動存儲介質(zhì)的白名單策略，可以有效防止業(yè)務系統(tǒng)安裝運行違規(guī)程序、非法使用移動存儲介質(zhì)等，降低安全風險。第四，保護關鍵對象，增強核心資產(chǎn)穩(wěn)定性。該方案通過建立穩(wěn)定的計算環(huán)境，結合應用程序白名單機制，可對未知病毒進行安全“免疫”，有效降低生產(chǎn)網(wǎng)絡中的安全風險，杜絕病毒、木馬、勒索軟件的傳播，增強業(yè)務系統(tǒng)的連續(xù)性和穩(wěn)定性。第五，提高運營單位安全生產(chǎn)水平，為提高企業(yè)經(jīng)營效益做貢獻。該方案可提高生產(chǎn)控制網(wǎng)絡行為的合規(guī)性識別能力，避免發(fā)生由網(wǎng)絡安全引起的突發(fā)事件，避免或減少生產(chǎn)控制網(wǎng)絡安全威脅，杜絕重大災難性事件，為企業(yè)安全生產(chǎn)提供保障。