近年來(lái),伴隨著人工智能等新科技革命浪潮�,數(shù)字經(jīng)濟(jì)正在加速向千行百業(yè)滲透。黨的二十大報(bào)告更是指出���,“加快發(fā)展數(shù)字經(jīng)濟(jì)�����,促進(jìn)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合�����,打造具有國(guó)際競(jìng)爭(zhēng)力的數(shù)字產(chǎn)業(yè)集群”���。在鋼鐵行業(yè)步入高質(zhì)量發(fā)展階段背景下����,數(shù)字化、智能化有助于產(chǎn)品質(zhì)量的改善和生產(chǎn)效率的提升����,已逐漸成為企業(yè)競(jìng)爭(zhēng)力的重要指標(biāo)之一�����。
圖:數(shù)字鞍鋼
鞍鋼集團(tuán)系中國(guó)首批“創(chuàng)新型企業(yè)”����,也是中國(guó)首家具有成套技術(shù)輸出能力的鋼鐵企業(yè)�,在推動(dòng)?xùn)|北全面振興中發(fā)揮著舉足輕重的作用。近五年來(lái)��,集團(tuán)將數(shù)字化轉(zhuǎn)型視為新一輪鋼鐵工業(yè)革命的核心競(jìng)爭(zhēng)力����,持續(xù)實(shí)施數(shù)字化、智能化項(xiàng)目�����,降低生產(chǎn)制造成本���,提高全要素生產(chǎn)效率�,提升經(jīng)營(yíng)管理水平�,加快實(shí)現(xiàn)數(shù)字蝶變。然而,隨著信息化建設(shè)和IT技術(shù)的快速發(fā)展��,各種網(wǎng)絡(luò)應(yīng)用的日益增多���,病毒��、木馬����、蠕蟲以及黑客攻擊等等不斷威脅著鞍鋼集團(tuán)內(nèi)部網(wǎng)絡(luò)資源���,使得企業(yè)網(wǎng)絡(luò)的安全邊界迅速縮小��,開放的內(nèi)部網(wǎng)絡(luò)訪問(wèn)將影響企業(yè)IT基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行和數(shù)據(jù)安全���,因此需要構(gòu)建新一代的內(nèi)部終端準(zhǔn)入安全防御體系。
對(duì)此��,鞍鋼集團(tuán)通過(guò)牽手奇安信部署統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)��,實(shí)現(xiàn)對(duì)鞍鋼內(nèi)網(wǎng)終端進(jìn)行準(zhǔn)入管理��,最終構(gòu)建了可信����、可管、可視的終端安全防護(hù)體系�,為數(shù)字化轉(zhuǎn)型過(guò)程中的同行,打造了終端安全準(zhǔn)入建設(shè)的標(biāo)桿示范���。
制定五大目標(biāo)�,構(gòu)筑終端安全防線
將鋼鐵�、冶金等國(guó)民基礎(chǔ)行業(yè)作為網(wǎng)絡(luò)攻擊目標(biāo),近年來(lái)可謂愈演愈烈�����,成為全球網(wǎng)絡(luò)威脅新趨勢(shì)���。2022年6月��,伊朗國(guó)有鋼鐵寡頭公司胡齊斯坦由于“網(wǎng)絡(luò)攻擊”后引發(fā)的“技術(shù)問(wèn)題”�,工廠不得不停工�,造成了巨大損失。 7月����,攻擊三家伊朗鋼鐵制造企業(yè)的黑客組織Predatory Sparrow發(fā)布了近20GB絕密數(shù)據(jù)�,其中包含該公司重要文件等��。同年10月��,歐盟最大銅礦公司德國(guó)銅生產(chǎn)商Aurubis(中文名為奧魯比斯)遭到網(wǎng)絡(luò)攻擊�,IT系統(tǒng)被迫中斷服務(wù)。
“公開的事件僅是冰山一角����,鋼鐵行業(yè)已成為數(shù)字化時(shí)代網(wǎng)絡(luò)安全的新戰(zhàn)場(chǎng)?����!?鞍鋼集團(tuán)管理與信息化部副總經(jīng)理蔡恒君認(rèn)為��,鋼鐵業(yè)不僅是國(guó)民經(jīng)濟(jì)的支柱性產(chǎn)業(yè)����,也屬于整個(gè)工業(yè)產(chǎn)業(yè)的核心基礎(chǔ),它關(guān)聯(lián)著眾多上下游企業(yè)�,一旦遭受攻擊破壞,將會(huì)影響整個(gè)產(chǎn)業(yè)鏈和生態(tài)�����,甚至關(guān)乎經(jīng)濟(jì)發(fā)展�����、社會(huì)穩(wěn)定乃至國(guó)家安全�。因此,隨著鋼鐵行業(yè)數(shù)字化水平和生產(chǎn)效率的不斷提高���,對(duì)于鞍鋼集團(tuán)而言�����,亟待構(gòu)筑更可靠的網(wǎng)絡(luò)安全防線����,來(lái)應(yīng)對(duì)黑客����、病毒、蠕蟲等外部威脅����,以及員工數(shù)據(jù)泄露等內(nèi)部威脅。
據(jù)介紹���,終端網(wǎng)絡(luò)準(zhǔn)入工作是鞍鋼集團(tuán)2023年推進(jìn)的一項(xiàng)重點(diǎn)工作���,集團(tuán)的各二級(jí)單位����,將該項(xiàng)工作列入重點(diǎn)任務(wù)清單��,旨在對(duì)接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測(cè)和管理����,保證網(wǎng)絡(luò)安全和信息安全。
面對(duì)下屬單位較多�����、網(wǎng)絡(luò)層級(jí)不規(guī)范�����、交換機(jī)與要求不符等困難�,集團(tuán)發(fā)動(dòng)各單位迎難而上,明確分工�����,落實(shí)責(zé)任,全力推進(jìn)網(wǎng)絡(luò)終端準(zhǔn)入工作�����。
鞍鋼集團(tuán)管理與信息化部梁會(huì)霞表示�,結(jié)合集團(tuán)終端安全面臨的威脅和現(xiàn)狀���,最終確立了五大目標(biāo):
第一個(gè)目標(biāo)是實(shí)現(xiàn)端口級(jí)別的接入管控��;
在項(xiàng)目實(shí)施之前�����,任何外來(lái)人員或客戶只要將計(jì)算機(jī)插入網(wǎng)線���,就可以進(jìn)入內(nèi)部網(wǎng)絡(luò),進(jìn)行散播病毒����、網(wǎng)絡(luò)攻擊等操作,給集團(tuán)內(nèi)網(wǎng)造成極大的風(fēng)險(xiǎn)���,因此需要實(shí)現(xiàn)端口級(jí)別的接入管控來(lái)解決以上問(wèn)題�。同時(shí)也滿足了國(guó)家《網(wǎng)絡(luò)安全法》等政策合規(guī)要求。
第二個(gè)目標(biāo)是實(shí)現(xiàn)終端基線策略合規(guī)性檢查與修復(fù)���;
項(xiàng)目實(shí)施前��,終端上不能及時(shí)更新補(bǔ)丁�����,以及配置弱口令���、開放高危端口等,這些情況均會(huì)給攻擊者留下入侵機(jī)會(huì)�����,攻擊者輕松獲取低安全基線終端管理權(quán)限�,從而對(duì)高價(jià)值目標(biāo)發(fā)起攻擊。如何在行政命令手段之外�,能通過(guò)技術(shù)手來(lái)段提升內(nèi)網(wǎng)終端安全軟件覆蓋率,提升終端策略安全級(jí)別����,從而更好地抵御入侵,是本次目標(biāo)之一。
第三個(gè)目標(biāo)是實(shí)現(xiàn)不同網(wǎng)絡(luò)訪問(wèn)權(quán)限限制�����;
實(shí)施之前����,缺乏基于用戶身份的權(quán)限管理機(jī)制,不同身份的人都可以訪問(wèn)同樣的服務(wù)器資源�,往往導(dǎo)致隱私數(shù)據(jù)被竊取����,泄密事件風(fēng)險(xiǎn),故需要實(shí)現(xiàn)不同網(wǎng)絡(luò)訪問(wèn)權(quán)限限制來(lái)解決以上問(wèn)題���。
第四個(gè)目標(biāo)是實(shí)現(xiàn)人機(jī)對(duì)應(yīng)��,實(shí)名管理����;
實(shí)施之前��,管理員不能準(zhǔn)確掌握人員與終端資產(chǎn)的對(duì)應(yīng)關(guān)系���,更無(wú)法跟蹤資產(chǎn)變更情況���,例如硬件新增���、丟失情況等。因此��,集團(tuán)需要一種方法關(guān)聯(lián)人與終端資產(chǎn)的對(duì)應(yīng)關(guān)系����,以及對(duì)硬件變更準(zhǔn)確和實(shí)時(shí)監(jiān)控,并及時(shí)預(yù)警����,方便管理部門審計(jì)。
第五個(gè)目標(biāo)是全面掌握終端信息資產(chǎn)�。
隨著鞍鋼集團(tuán)的不斷發(fā)展,計(jì)算機(jī)的數(shù)目在不斷增加���,海量終端的資產(chǎn)信息難免出現(xiàn)無(wú)法統(tǒng)計(jì)的現(xiàn)象����,即使是管理部門所獲取的資產(chǎn)信息也由于時(shí)間的差異無(wú)法實(shí)時(shí)統(tǒng)計(jì)����。這就導(dǎo)致設(shè)備資產(chǎn)情況不清晰�,無(wú)法做到統(tǒng)一接入安全管理�����,經(jīng)常會(huì)發(fā)生資產(chǎn)信息不全����、丟失等情況,更無(wú)法建立完善的設(shè)備規(guī)范化接入管理機(jī)制��。因此����,需要通過(guò)一種方法使管理員可以輕松把終端硬件資產(chǎn)信息實(shí)現(xiàn)全面的自動(dòng)收集(如計(jì)算機(jī)硬件信息��、軟件程序信息��、操作系統(tǒng)配置等)���,快速統(tǒng)計(jì)分析(資產(chǎn)變更自動(dòng)監(jiān)控�����,及時(shí)反映企業(yè)資產(chǎn)變化狀況)���,快速生成滿足各個(gè)部門所需要的資產(chǎn)報(bào)表��。
覆蓋數(shù)萬(wàn)終端��、核心二級(jí)單位���,實(shí)現(xiàn)可防可管可視
針對(duì)各單位網(wǎng)絡(luò)改造牽涉面廣、技術(shù)復(fù)雜�、問(wèn)題排查難度高等不利因素,鞍鋼集團(tuán)管理與信息化部邢立剛組織集團(tuán)各下屬公司�����,分別建立準(zhǔn)入專班團(tuán)隊(duì)����,和國(guó)內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)奇安信緊密合作,協(xié)同各單位全面梳理整改歷史遺留問(wèn)題�����,累計(jì)更換不合要求的網(wǎng)絡(luò)交換機(jī)數(shù)百臺(tái)����,并借助準(zhǔn)入平臺(tái)驗(yàn)證功能對(duì)整改結(jié)果進(jìn)行全網(wǎng)絡(luò)合規(guī)性驗(yàn)收��。
在終端準(zhǔn)入建設(shè)中�,如何將對(duì)業(yè)務(wù)的影響降至最低���,實(shí)現(xiàn)無(wú)感知上線�,是該項(xiàng)目最重要的挑戰(zhàn)����。由于單位分散、終端數(shù)量眾多��,網(wǎng)絡(luò)終端準(zhǔn)入項(xiàng)目在實(shí)施過(guò)程中��,重點(diǎn)考慮了不影響鞍鋼集團(tuán)各職能中心和基層單位的工作業(yè)務(wù)����。對(duì)此����,集團(tuán)和奇安信緊密合作,充分利用節(jié)假日休息時(shí)間加班加點(diǎn)����,做到了無(wú)感切換�,順利完成約數(shù)萬(wàn)臺(tái)終端的網(wǎng)絡(luò)終端準(zhǔn)入工作���,實(shí)現(xiàn)全覆蓋�。
圖:鞍鋼集團(tuán)廣域網(wǎng)
邢立剛表示����,截止目前,鞍鋼統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)已部署一級(jí)平臺(tái)及數(shù)個(gè)二級(jí)平臺(tái)����,全面覆蓋鞍鋼集團(tuán)下屬核心二級(jí)單位,幾萬(wàn)臺(tái)終端設(shè)備�。新的準(zhǔn)入系統(tǒng)在安全合規(guī)、可管理性�����、可視化等方面�����,作了很好的保障�����。
首先在安全保障方面,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)通過(guò)豐富的設(shè)備發(fā)現(xiàn)識(shí)別及準(zhǔn)入控制手段����,能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)接入終端,驗(yàn)證接入終端的身份�,判斷終端與用戶的安全與合規(guī),動(dòng)態(tài)控制入網(wǎng)終端及用戶的網(wǎng)絡(luò)訪問(wèn)權(quán)限����,從而確保整個(gè)內(nèi)網(wǎng)環(huán)境的安全。
同時(shí)����,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)通過(guò)對(duì)網(wǎng)內(nèi)設(shè)備進(jìn)行身份分析、合規(guī)檢查及流量控制等安全檢查或控制���,協(xié)助集團(tuán)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)各類設(shè)備的異常并進(jìn)行處置���,提升內(nèi)網(wǎng)設(shè)備抵抗入侵的能力。
其次在管理方面�,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)使用各類手段強(qiáng)制終端入網(wǎng)時(shí)進(jìn)行實(shí)名認(rèn)證或登記�����,同時(shí)配合設(shè)備發(fā)現(xiàn)與識(shí)別功能對(duì)設(shè)備信息變更的實(shí)時(shí)感知,無(wú)論設(shè)備的IP如何變化�,準(zhǔn)入系統(tǒng)均能提供準(zhǔn)確的設(shè)備與使用人關(guān)系記錄。當(dāng)監(jiān)管部門提供特定時(shí)間段內(nèi)的風(fēng)險(xiǎn)IP���,通過(guò)在準(zhǔn)入系統(tǒng)上查找對(duì)應(yīng)時(shí)段的認(rèn)證記錄�,即可快速定位責(zé)任人�����。
圖:統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)可視化運(yùn)營(yíng)界面
最后在可視化管理方面�,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)一級(jí)平臺(tái)依托數(shù)據(jù)可視化技術(shù),使集團(tuán)內(nèi)網(wǎng)終端整體安全態(tài)勢(shì)一目了然����,威脅和異常清晰可見,還能將平臺(tái)自有運(yùn)營(yíng)的終端病毒情報(bào)�����、終端漏洞情報(bào)等終端安全情報(bào)庫(kù)與本地終端上的安全數(shù)據(jù)結(jié)合在一起����,進(jìn)行匯總分析����,成為集團(tuán)終端安全運(yùn)營(yíng)和安全分析的重要工具����。
助力國(guó)產(chǎn)化平滑遷移,持續(xù)保障接入安全
據(jù)梁會(huì)霞介紹���,鞍鋼集團(tuán)逐步將終端替換為國(guó)產(chǎn)化設(shè)備�����,安全準(zhǔn)入系統(tǒng)提供各操作系統(tǒng)及國(guó)產(chǎn)化平臺(tái)下的客戶端軟件����,同時(shí)依靠準(zhǔn)確識(shí)別的設(shè)備操作系統(tǒng)����,準(zhǔn)入系統(tǒng)可準(zhǔn)確地向未安裝客戶端軟件的各操作系統(tǒng)終端/信創(chuàng)終端推送對(duì)應(yīng)的客戶端安裝頁(yè)面,并通過(guò)多種手段準(zhǔn)確識(shí)別網(wǎng)絡(luò)中的各終端和信創(chuàng)終端���,針對(duì)不同終端執(zhí)行不同入網(wǎng)策略�,保障國(guó)產(chǎn)化替代過(guò)程中的網(wǎng)絡(luò)接入安全。
展望未來(lái)����,鞍鋼集團(tuán)還將繼續(xù)建設(shè)終端安全一體化管理平臺(tái)�。準(zhǔn)入系統(tǒng)將與終端安全一體化管理平臺(tái)聯(lián)動(dòng),通過(guò)聯(lián)動(dòng)可強(qiáng)制內(nèi)網(wǎng)中的PC機(jī)安裝客戶端���。一體化管理解決終端殺毒補(bǔ)丁等安全需求的同時(shí)��,通過(guò)殺毒軟件安裝�����、違規(guī)外聯(lián)等基線策略的檢查����,有效管控內(nèi)部資源違規(guī)訪問(wèn)和泄露等問(wèn)題,防止違規(guī)終端訪問(wèn)核心業(yè)務(wù)資源����,保障入網(wǎng)終端安全可信、合規(guī)入網(wǎng)����。
不久前,工業(yè)和信息化部、國(guó)家發(fā)展改革委����、財(cái)政部、自然資源部����、生態(tài)環(huán)境部、商務(wù)部��、海關(guān)總署等七部門近日聯(lián)合印發(fā)《鋼鐵行業(yè)穩(wěn)增長(zhǎng)工作方案》�,明確指出要加快推進(jìn)數(shù)字化轉(zhuǎn)型智能化升級(jí),開展鋼鐵行業(yè)數(shù)字化轉(zhuǎn)型三年行動(dòng)���,促進(jìn)鋼鐵企業(yè)數(shù)字化���、網(wǎng)絡(luò)化、智能化改造升級(jí)����,建設(shè)一批智能制造示范工廠,打造一批制造業(yè)數(shù)字化轉(zhuǎn)型標(biāo)桿���,形成一批可復(fù)制可推廣的典型案例�。隨著數(shù)字化轉(zhuǎn)型、國(guó)產(chǎn)化替代等浪潮在鋼鐵行業(yè)的開展�����,安全成為不可忽視的重要組成部分�����,鞍鋼集團(tuán)聯(lián)手奇安信打造的統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)���,很好解決了國(guó)產(chǎn)化過(guò)渡期面臨的復(fù)雜安全風(fēng)險(xiǎn)、合規(guī)準(zhǔn)入��、統(tǒng)一管控等難題�����,為同行開辟出了一條值得業(yè)界借鑒的道路�����。
