钢铁行业网络信息化安全防护体系建设研究

时罡，苏凯旋

（1.鞍钢集团管理与信息化部，辽宁 鞍山 114001；2.鞍钢集团信息产业有限公司，辽宁 鞍山 114001）

0 引言

中国钢铁工业的目标是根据国家“十四五”规划和相关产业政策，促进钢铁工业的高质量发展，加快建立新的发展模式和供需平衡。中国钢铁工业高质量的趋势之一是制造业。制造智能化是冶金工业现代化的切实需要，中国钢铁行业相信“5G+工业互联网”将引领智能生产的新道路。在“十三五”规划期间，“工业化”和“信息化”在技术集成、产品集成和技术创新领域取得了明显成果，一体化程度进一步加快，智能冶金生产正走向快速增长的阶段。中国钢铁行业在知识建设、智能系统建设、生产营销、集成轧制和控制及智能解决方案等方面实现了全面提升[1]。

1 等级保护制度是网络安全领域的基本制度

1.1 加快夯实网络安全等级保护标准

工业互联网已进入“新王国”。没有网络安全，就难以保障广大公民的利益。党和党的领导处于安全的顶峰，在党中央的坚强领导下，以习近平同志为核心，中国在建设、实施网络安全标准方面取得了很大成绩（图1）。

1.2 加强网络空间安全

新时代的挑战将需要新的系统和新的标准、新的理念和新的使用方法。网络安全等级设计的技术要求和网络安全等级评估的要求，以及空间、结构、标准要求以及安全系统的变化、改进，对企业提出了新的变化和更高的要求[2]。

1.3 从被动防御向主动防御转变

《等保2.0标准》更注重主动防御，从事故前后的全过程来看，其采用了“一个中心，三重防护”的理念，建立了安全管理中心，使网络安全系统提供了更高级别的防护。

1.4 优化和调整规定的水平

《等保2.0标准》涉及了安全控制、预警、风险评估、数据保护、应急响应和其他内容。其中重点是技术管理、建立机制、完善概念、能力建设、技术测试、团队建设。由此可见《等保2.0标准》的内容不是独立和分散的。

2 钢铁企业工业互联网安全建设分析

在钢铁企业中，工业控制系统的风险非常普遍存在：

（1）生产控制区内部缺少相应的安全防护措施，边界和重点区域没有做隔离。

（2）高炉、转炉等工艺段由于投运时间较早，现场操作系统老旧，很少更新，存在漏洞。

（3）控制室主机很少安装杀毒软件，存在安全隐患。

（4）没有独立的信息安全部门或者信息安全岗位，安全策略和安全管理制度不完善。

（5）移动互联网、云计算、海量信息等面临新的防御技术不足，一些管理者和管理者不了解网络的安全性。

目前，控制系统的硬件和软件主要来自于德国、美国、日本等国家。ERP系统和其他关键数据（技术数据、生产数据等）成了摧毁或绑架的重点对象。黑客的注意力逐渐从以前对Web服务器的攻击转移到对工业 智能控制系统的攻击[3]。

3 工业互联网安全解决思路

近年来，工业互联网的安全形势越来越复杂，木马等病毒对工业互联网构成持续威胁，企业自身必须重视安全建设，应采取有效措施确保工业系统的安全运行（图2）。

钢铁行业涉及多个工艺段，各个工艺段环环相扣，缺一不可，一旦出现问题则会影响到其他业务的正常运行。经过近年来对工业互联网安全体系的建立，意识到一部分问题是典型的、广泛的，并总结以下安全解决思路（图3）。

（1）全面规划、分阶段实施。完善企业网络信息整体防护体系是一项长期的系统工程。系统各级的安全问题应在国家信息安全法律法规和标准规范的框架内解决和规避，考虑信息安全风险全面、动态规划，工业互联网安全的设计应分阶段进行。

（2）企业网络系统的安全稳定运行取决于其在不同时期所面临的威胁程度，安全管理系统的建立不能盲目提前，但要做到满足当前业务应用的安全要求，也可以适应未来的改进[4]。

（3）工业互联网安全的重点是积极防御和应急响应。考虑到现代网络安全防护的复杂性和可变性，有必要在制定企业网络和信息安全防护之前，采取先发制人的措施应对潜在的安全威胁，及早规划如何应对安全事件，熟悉安全措施和处理方法，尽量减少安全事件造成的损失。

（4）动态管理和持续改进。企业网络的信息保护是一个动态的过程，不断改进和完善企业网络安全措施，考虑到新出现的威胁和安全漏洞，不断将网络安全风险控制在可接受的范围内[5]。

4 结语

一方面，随着工业网络与业务网、核心网络的互联互通，对网络安全的需求越来越迫切。另一方面，黑客攻击、病毒传播和各种网络攻击也在增加，根据网络安全立法和等级保护要求，企业应严格执行网络安全制度，履行网络安全义务，加强网络威胁防护，不断提高应对网络攻击的能力。钢铁系统工业互联内网安全已成为生产的重要组成部分。企业的运营和管理、提高网络安全水平不仅是一项法律标准，也是一项关键的任务。实施动态防御、主动防御、纵深防御、精确防御和综合防御，以达到防范的目的。