科创中国

随着智能制造与工业4.0战略的持续推进，工业化与信息化进程的不断融合，工业生产的网络化、信息化、智能化已成为未来发展趋势。工业控制系统普遍利用通用的计算机网络技术来提高系统间的集成、互联以及信息化管理水平，使工控系统的互联互通性逐步加强，工业控制系统在物理环境上的相对封闭性以及工业控制系统软、硬件的专用性将会被打破。但是，工业控制系统建设时更多的是考虑各自系统的可用性，并没有考虑系统之间互联互通的安全风险和防护建设。随着工控网络的不断开放，极易造成工业控制系统的信息泄露，这样就给敌对政府、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等创造了可乘之机。

本方案针对工业控制网络面临的安全问题，采用了专门应用于工业控制网络的安全网络边界和主机安全形成的纵深防御体系，以加强和提升工业控制网络的安全防护能力，实现对工控网络的黑客攻击、恶意软件、非法访问、非法操作以及控制指令的实时检测防护。

1) 自主可控安全技术

本方案所选设备全部为国内成熟可靠、自主可控的安全软、硬件产品，且具备“4S”工控安全深度防护专利技术，可有效减少生产控制系统由应用非自主可控技术带来的安全漏洞隐患和合规风险。

2) 工控协议指令级深度解析

通过工控协议指令级核准制的“4S”深度防护专利技术，对工控协议“数据完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析，从而为工控协议内容分析、流量分析、业务安全分析提供准确数据支持。

3) 网络安全高可靠性

采用“工控业务连续性保障方法”和工业硬件ByPass可靠性技术在不影响工业生产、工控业务连续性的基础上记录异常指令、告警可疑操作、隔离威胁数据，保障工控系统可靠运行。

4) 工控网络多维防护体系

结合纵深防御思想，分别在工业系统边界、区域边界以及终端主机系统层面对工业控制系统及网络进行有效安全防护，覆盖事前、事中、事后全生命周期，形成具有钢铁行业特点的工业网络多维防护体系。

目前国内外针对于各行各业的工业网络安全解决方案,普遍都认识到工业网络安全防护的难度,都提出了网络边界防护与主机安全防护的方案。这些早期推出的网络安全方案是通过部署单独的安全防护设备，形成局域化的安全防护，无法做到对于钢铁行业整体化的纵深防御。

本方案以工业和信息化部2016年印发的《工业控制系统信息安全防护指南》为指导，结合《网络安全等级保护基本要求》，按照网络安全等级保护基本要求“一个中心，三重防护”的指导思想进行安全方案设计，构建钢铁行业工业互联网纵深安全防护体系，满足安全技术和合规需求。

首钢京唐钢铁联合有限责任公司钢铁厂项目是国家“十一五”规划纲要确定的重点钢铁建设项目，由首钢和唐钢共同出资建设，于2005年 10月在唐山市注册成立。钢铁厂位于唐山市南部渤海湾曹妃甸岛，西距北京市220km北距唐山市80km曹妃甸地处环渤海经济圈内，辐射北京、天津、河北等7个省市区，为企业发展提供了广阔的空间。钢铁厂位于唐山市南部渤海湾曹妃甸岛，西距北京市220km北距唐山市80km曹妃甸地处环渤海经济圈内，辐射北京、天津、河北等7个省市区，为企业发展提供了广阔的空间。钢铁厂位于唐山市南部渤海湾曹妃甸岛，西距北京市 220km北距唐山市80km 曹妃甸地处环渤海经济圈内，辐射北京、天津、河北等7个省市区，为企业发展提供了广阔的空间。

现已完成首钢京唐全厂一二级网络安全产品部署，并对网络架构进行梳理并细化安全域划分，同时做好各个厂区网络的访问控制级边界隔离，方便安全管理。对各厂区重要服务器与主机进行恶意代码的排查并开启白名单防护策略。

在未来计划在各工艺段部署工艺级智能安全平台，在全厂的数据展示与汇总中心部署全厂级智能安全平台，将从工艺级智能安全平台收集到的数据信息如系统安全事件、用户访问记录、系统运行日志、系统运行状态等各类信息进行统一整理汇总分析，同时可实现系统管理、审计管理、安全管理、集中管控以及安全运维等安全要求。

本方案应用范围包括钢铁行业工业控制网络的安全防护，涵盖一二级工业网络隔离、工业主机病毒防护、工业主机外设管控、工业主机安全加固等内容，通过以上内容的建设形成一套符合钢铁行业网络特点的安全方案和安全架构，为安全生产、效益提升保驾护航。