最佳实践 | 纵深防御，长扬科技助力某钢集团打造工业网络安全钢铁长城

在我国悠久的历史中，钢铁一直扮演着至关重要的角色。

早在商周时代，先民通过简陋的高炉和冶铁炉，成功炼制出符合实际需求的铁器，开启了中国钢铁发展的序幕；20世纪，随着国家经济的崛起，先后涌现出一大批标志性钢铁企业，中国钢铁工业自此进入了一个新时代；如今，通过科技和管理创新的推动，中国钢铁企业已经实现了从数量到质量的转变，承担着推动基础设施建设和维护国家安全的使命，为国家繁荣发展提供了稳定而坚实的基础。

这个过程中，有一家钢铁集团，历经近70年发展，经历过起伏和动荡，为了达到行业先进技术水平，不断改进自身的钢铁生产设备性能，最终从一个年产钢仅10余万吨的小厂成长为年产钢超千万吨的特大型企业，跻身中国500强与全球50大钢企行列。

该集团深知，企业发展与国家整体环境密不可分，随着国家近年来推进两化融合进程，该集团及时响应国家政策，顺应数字化转型趋势，相继引入了ERP系统、MES系统等先进管理系统。

然而，新技术应用必定伴随着新问题出现。经过全面梳理和分析，长扬科技安全服务团队对该集团正面临的挑战进行如下总结。

01.新形势下新挑战：深入剖析，全面梳理

（1）两化融合：集团用ERP、MES等生产信息管理系统代替传统的人工方式，虽然解决了响应慢、易出错、次品/废品数量多等问题，但也形成了“一网到底”架构，集团信息网与工控网直连，导致工控网络受攻击面大增。

（2）现实威胁：该集团生产线曾多次发生主机感染病毒事件，但由于缺乏有效防护措施，集团无法及时响应和处置，往往只能任其恶化。此外，为了保证生产稳定，即使发现过半主机都存在弱口令的情况下，集团也未对使用的操作系统进行漏洞修复和加固，导致集团在2021年HW行动中第三天被攻破出局。直到去年，该集团仍有大量主机存在漏洞和弱口令隐患，给集团信息安全带来巨大风险。

（3）创新试点：2021年，由于需要向国资委申报工业互联网IPv6技术创新和融合应用试点单位，为应对IPv6网络环境下安全新挑战，该集团明确提出了工业互联网安全防护需求。

（4）标准合规：由于钢铁工业属原材料制造行业，位于多个产业链上游。在和平时期，钢材短缺可引起多种商品价格波动，影响社会经济秩序；在战时，会阻碍军工装备生产和供应，严重危害国家安全。因此，钢铁生产企业是国家重点保护对象。根据《中华人民共和国网络安全法》第二十一条规定，“......要求对关系到国计民生的关键信息基础设施要采取重点保护措施”。至此，该集团对工业互联网安全防护的需求愈发迫切。

为确保信息和生产安全，企业必须加强对工控网络的保护措施并采取积极应对策略。经过全面对比及评估，该集团最终选择长扬科技作为合作伙伴。全面梳理、精准评估该集团面临的风险和需求后，长扬科技为其打造了一个集团级工业安全防护体系解决方案，并提供工业安全态势感知全局视角，保障集团生产安全。

02.自下而上，打造工业网络安全钢铁长城

本项目以该集团下属热轧厂为试点，采集工控网和信息网安全数据，经过大数据分析后输出安全态势报告，加强集团在安全运营方面指导作用，实现事件闭环处置和上下协同，提高事件处置效率，提升集团网络安全整体水平。为保证项目顺利推进，长扬科技进行了大量前期准备。

前期，长扬科技先后投入风险评估团队近 20 人到该集团生产现场开展包括问卷调查、现场取证、差距分析、专家评估等调研。评估结果如下：

表 1 等保合规差距分析

从上表可以看出，热轧厂防护措施不足，离合规差距较大，通过对调研结果进行整理，长扬科技向该集团客户给出了整改解决方案。

为了向客户证明方案可行性，在取得客户同意的前提下，长扬科技安全服务团队根据方案设计的内容，开始在集团和热轧厂部署相关平台和安全防护设备。同时，团队成员对现场网络流量和资产日志进行收集分析，以展现集团和厂级安全态势效果。经过不懈努力，长扬科技安全服务团队取得了阶段性成果。当团队将现场实测数据呈现给客户时，客户对此表达了肯定和赞赏，大大推动了整个项目的顺利进展。

图 1 演示环境设备安装图

图 2 演示环境数据展示

表 2 演示环境部署安全设备列表

得益于前期工作的有效铺垫，在项目正式实施阶段，长扬科技一步一脚印，夯实基础，自下而上为该集团构筑工业网络安全钢铁长城。

在厂级基础防护层面，部署工业网闸、工业监测审计系统、工控主机防护软件、统一安全管理平台、入侵检测系统、日志审计系统等设备，初步建立厂级纵深防护体系，实现威胁检测和处置；并通过部署工业监测审计系统和主机数据采集探针，将流量和日志数据转发至厂级的全流量日志分析系统进行大数据分析。

在集团生产基地层面，部署工业安全监测分析运营平台，通过接收厂级的大数据分析结果，对全局安全态势进行集中呈现，为集团管理人员提供决策支撑。

图 3 建设内容拓扑图

03.三位一体、运筹帷幄，守护集团生产安全

通过打造集团级工业安全监测分析运营平台，该集团实现了工业互联网安全态势感知、集团信息安全态势感知和某基地信息安全态势感知这三大模块统一管控，形成集团-分厂上下协同响应和处置机制。同时将集团信息网、工控网网络安全态势实现了多平台融合和对接，增强了集团整体网络安全统筹监管能力。

通过热轧厂工控网络安全纵深防御体系建设试点，该集团提升了厂级工控网络安全防御能力，为后期烧结、炼铁、炼钢等各工艺段分厂的工控网络安全建设提供了建设依据和标准。项目建设成果在多次上级组织的网络安全攻防演练中表现优异，在日常安全运维过程中能够大大降低黑客攻击、勒索病毒等威胁带来的风险和损失，有效提升了企业的精益化管理水平。

值得一提的是，本项目建设正值该集团“十三五”建设收官和“十四五”发展规划过渡阶段，通过“调研-测试-试点-推广”的工业网络安全建设路径，为企业工业数字化转型提供了安全基础保障，同时顺应“生产、供销、研发、物流、信息化五协同”能力建设要求，打造钢铁集团数字化安全基座，为钢铁集团“一体两翼”发展版图插上安全的翅膀。

本项目成功实施后，长扬科技的创新方案和专业执行能力得到认可，在解决该集团安全隐患的同时，也为其他钢铁行业工业企业打造了一套可复制、可推广性强且效果显著的标杆案例；整体方案管理效益突出，实现了对下属各分厂工控网络安全风险的统一管控，降低运维管理成本，尤其为集团级工控信息化提供样板指导。

未来，长扬科技将不断推动钢铁行业工业网络安全的创新与发展，使命在肩，紧跟最新技术发展趋势，不断提升安全解决方案的全面性和精准性，以更开放、协同和创新的精神，积极助力国家构建更加安全高效的工业生态圈。长扬科技将继续与各大企业，紧密合作，共同打造一个坚如钢铁、安全可靠的工业互联网环境，为行业繁荣和可持续发展贡献力量。