近年來�����,伴隨著人工智能等新科技革命浪潮�,數字經濟正在加速向千行百業(yè)滲透。黨的二十大報告更是指出�����,“加快發(fā)展數字經濟���,促進數字經濟和實體經濟深度融合�����,打造具有國際競爭力的數字產業(yè)集群”�����。在鋼鐵行業(yè)步入高質量發(fā)展階段背景下�����,數字化��、智能化有助于產品質量的改善和生產效率的提升�����,已逐漸成為企業(yè)競爭力的重要指標之一����。
圖:數字鞍鋼
鞍鋼集團系中國首批“創(chuàng)新型企業(yè)”��,也是中國首家具有成套技術輸出能力的鋼鐵企業(yè),在推動東北全面振興中發(fā)揮著舉足輕重的作用�����。近五年來���,集團將數字化轉型視為新一輪鋼鐵工業(yè)革命的核心競爭力�����,持續(xù)實施數字化�、智能化項目���,降低生產制造成本�,提高全要素生產效率�����,提升經營管理水平�,加快實現數字蝶變。然而���,隨著信息化建設和IT技術的快速發(fā)展�,各種網絡應用的日益增多,病毒��、木馬��、蠕蟲以及黑客攻擊等等不斷威脅著鞍鋼集團內部網絡資源���,使得企業(yè)網絡的安全邊界迅速縮小,開放的內部網絡訪問將影響企業(yè)IT基礎設施的穩(wěn)定運行和數據安全���,因此需要構建新一代的內部終端準入安全防御體系����。
對此�,鞍鋼集團通過牽手奇安信部署統(tǒng)一終端網絡準入管理系統(tǒng),實現對鞍鋼內網終端進行準入管理����,最終構建了可信、可管�����、可視的終端安全防護體系���,為數字化轉型過程中的同行�,打造了終端安全準入建設的標桿示范。
制定五大目標���,構筑終端安全防線
將鋼鐵��、冶金等國民基礎行業(yè)作為網絡攻擊目標��,近年來可謂愈演愈烈����,成為全球網絡威脅新趨勢����。2022年6月,伊朗國有鋼鐵寡頭公司胡齊斯坦由于“網絡攻擊”后引發(fā)的“技術問題”��,工廠不得不停工�,造成了巨大損失。 7月�,攻擊三家伊朗鋼鐵制造企業(yè)的黑客組織Predatory Sparrow發(fā)布了近20GB絕密數據,其中包含該公司重要文件等�����。同年10月,歐盟最大銅礦公司德國銅生產商Aurubis(中文名為奧魯比斯)遭到網絡攻擊��,IT系統(tǒng)被迫中斷服務�。
“公開的事件僅是冰山一角,鋼鐵行業(yè)已成為數字化時代網絡安全的新戰(zhàn)場��?���!?鞍鋼集團管理與信息化部副總經理蔡恒君認為���,鋼鐵業(yè)不僅是國民經濟的支柱性產業(yè)�,也屬于整個工業(yè)產業(yè)的核心基礎����,它關聯著眾多上下游企業(yè),一旦遭受攻擊破壞�,將會影響整個產業(yè)鏈和生態(tài),甚至關乎經濟發(fā)展�����、社會穩(wěn)定乃至國家安全�。因此���,隨著鋼鐵行業(yè)數字化水平和生產效率的不斷提高,對于鞍鋼集團而言��,亟待構筑更可靠的網絡安全防線���,來應對黑客����、病毒����、蠕蟲等外部威脅,以及員工數據泄露等內部威脅��。
據介紹����,終端網絡準入工作是鞍鋼集團2023年推進的一項重點工作,集團的各二級單位��,將該項工作列入重點任務清單�,旨在對接入網絡的終端設備進行實時監(jiān)測和管理,保證網絡安全和信息安全。
面對下屬單位較多����、網絡層級不規(guī)范、交換機與要求不符等困難�,集團發(fā)動各單位迎難而上,明確分工��,落實責任��,全力推進網絡終端準入工作���。
鞍鋼集團管理與信息化部梁會霞表示��,結合集團終端安全面臨的威脅和現狀,最終確立了五大目標:
第一個目標是實現端口級別的接入管控����;
在項目實施之前,任何外來人員或客戶只要將計算機插入網線�,就可以進入內部網絡,進行散播病毒����、網絡攻擊等操作,給集團內網造成極大的風險,因此需要實現端口級別的接入管控來解決以上問題��。同時也滿足了國家《網絡安全法》等政策合規(guī)要求����。
第二個目標是實現終端基線策略合規(guī)性檢查與修復;
項目實施前�����,終端上不能及時更新補丁��,以及配置弱口令�、開放高危端口等,這些情況均會給攻擊者留下入侵機會����,攻擊者輕松獲取低安全基線終端管理權限,從而對高價值目標發(fā)起攻擊���。如何在行政命令手段之外�,能通過技術手來段提升內網終端安全軟件覆蓋率���,提升終端策略安全級別�,從而更好地抵御入侵,是本次目標之一�。
第三個目標是實現不同網絡訪問權限限制;
實施之前����,缺乏基于用戶身份的權限管理機制,不同身份的人都可以訪問同樣的服務器資源���,往往導致隱私數據被竊取�����,泄密事件風險�,故需要實現不同網絡訪問權限限制來解決以上問題�。
第四個目標是實現人機對應,實名管理����;
實施之前��,管理員不能準確掌握人員與終端資產的對應關系���,更無法跟蹤資產變更情況��,例如硬件新增��、丟失情況等��。因此�,集團需要一種方法關聯人與終端資產的對應關系,以及對硬件變更準確和實時監(jiān)控�����,并及時預警����,方便管理部門審計。
第五個目標是全面掌握終端信息資產�。
隨著鞍鋼集團的不斷發(fā)展,計算機的數目在不斷增加��,海量終端的資產信息難免出現無法統(tǒng)計的現象����,即使是管理部門所獲取的資產信息也由于時間的差異無法實時統(tǒng)計。這就導致設備資產情況不清晰��,無法做到統(tǒng)一接入安全管理��,經常會發(fā)生資產信息不全、丟失等情況����,更無法建立完善的設備規(guī)范化接入管理機制。因此����,需要通過一種方法使管理員可以輕松把終端硬件資產信息實現全面的自動收集(如計算機硬件信息、軟件程序信息���、操作系統(tǒng)配置等)��,快速統(tǒng)計分析(資產變更自動監(jiān)控���,及時反映企業(yè)資產變化狀況),快速生成滿足各個部門所需要的資產報表����。
覆蓋數萬終端、核心二級單位����,實現可防可管可視
針對各單位網絡改造牽涉面廣�����、技術復雜、問題排查難度高等不利因素�,鞍鋼集團管理與信息化部邢立剛組織集團各下屬公司,分別建立準入專班團隊�,和國內領先的網絡安全企業(yè)奇安信緊密合作,協同各單位全面梳理整改歷史遺留問題�,累計更換不合要求的網絡交換機數百臺,并借助準入平臺驗證功能對整改結果進行全網絡合規(guī)性驗收��。
在終端準入建設中���,如何將對業(yè)務的影響降至最低��,實現無感知上線�����,是該項目最重要的挑戰(zhàn)�。由于單位分散��、終端數量眾多�,網絡終端準入項目在實施過程中,重點考慮了不影響鞍鋼集團各職能中心和基層單位的工作業(yè)務����。對此�����,集團和奇安信緊密合作��,充分利用節(jié)假日休息時間加班加點�,做到了無感切換����,順利完成約數萬臺終端的網絡終端準入工作,實現全覆蓋�����。
圖:鞍鋼集團廣域網
邢立剛表示��,截止目前���,鞍鋼統(tǒng)一終端網絡準入管理系統(tǒng)已部署一級平臺及數個二級平臺���,全面覆蓋鞍鋼集團下屬核心二級單位,幾萬臺終端設備。新的準入系統(tǒng)在安全合規(guī)����、可管理性��、可視化等方面���,作了很好的保障����。
首先在安全保障方面�,統(tǒng)一終端網絡準入管理系統(tǒng)通過豐富的設備發(fā)現識別及準入控制手段,能夠準確發(fā)現網絡內接入終端���,驗證接入終端的身份����,判斷終端與用戶的安全與合規(guī)�����,動態(tài)控制入網終端及用戶的網絡訪問權限����,從而確保整個內網環(huán)境的安全����。
同時�,統(tǒng)一終端網絡準入管理系統(tǒng)通過對網內設備進行身份分析、合規(guī)檢查及流量控制等安全檢查或控制�,協助集團及時發(fā)現網絡內各類設備的異常并進行處置,提升內網設備抵抗入侵的能力����。
其次在管理方面,統(tǒng)一終端網絡準入管理系統(tǒng)使用各類手段強制終端入網時進行實名認證或登記����,同時配合設備發(fā)現與識別功能對設備信息變更的實時感知,無論設備的IP如何變化����,準入系統(tǒng)均能提供準確的設備與使用人關系記錄。當監(jiān)管部門提供特定時間段內的風險IP����,通過在準入系統(tǒng)上查找對應時段的認證記錄,即可快速定位責任人���。
圖:統(tǒng)一終端網絡準入管理系統(tǒng)可視化運營界面
最后在可視化管理方面�,統(tǒng)一終端網絡準入管理系統(tǒng)一級平臺依托數據可視化技術,使集團內網終端整體安全態(tài)勢一目了然�,威脅和異常清晰可見,還能將平臺自有運營的終端病毒情報�、終端漏洞情報等終端安全情報庫與本地終端上的安全數據結合在一起,進行匯總分析��,成為集團終端安全運營和安全分析的重要工具����。
助力國產化平滑遷移��,持續(xù)保障接入安全
據梁會霞介紹�����,鞍鋼集團逐步將終端替換為國產化設備�����,安全準入系統(tǒng)提供各操作系統(tǒng)及國產化平臺下的客戶端軟件����,同時依靠準確識別的設備操作系統(tǒng),準入系統(tǒng)可準確地向未安裝客戶端軟件的各操作系統(tǒng)終端/信創(chuàng)終端推送對應的客戶端安裝頁面,并通過多種手段準確識別網絡中的各終端和信創(chuàng)終端�����,針對不同終端執(zhí)行不同入網策略����,保障國產化替代過程中的網絡接入安全。
展望未來��,鞍鋼集團還將繼續(xù)建設終端安全一體化管理平臺���。準入系統(tǒng)將與終端安全一體化管理平臺聯動�,通過聯動可強制內網中的PC機安裝客戶端���。一體化管理解決終端殺毒補丁等安全需求的同時�,通過殺毒軟件安裝��、違規(guī)外聯等基線策略的檢查�,有效管控內部資源違規(guī)訪問和泄露等問題,防止違規(guī)終端訪問核心業(yè)務資源,保障入網終端安全可信�����、合規(guī)入網。
不久前��,工業(yè)和信息化部���、國家發(fā)展改革委����、財政部��、自然資源部�����、生態(tài)環(huán)境部�����、商務部���、海關總署等七部門近日聯合印發(fā)《鋼鐵行業(yè)穩(wěn)增長工作方案》,明確指出要加快推進數字化轉型智能化升級�,開展鋼鐵行業(yè)數字化轉型三年行動,促進鋼鐵企業(yè)數字化���、網絡化�、智能化改造升級,建設一批智能制造示范工廠��,打造一批制造業(yè)數字化轉型標桿����,形成一批可復制可推廣的典型案例。隨著數字化轉型�����、國產化替代等浪潮在鋼鐵行業(yè)的開展��,安全成為不可忽視的重要組成部分���,鞍鋼集團聯手奇安信打造的統(tǒng)一終端網絡準入管理系統(tǒng)�����,很好解決了國產化過渡期面臨的復雜安全風險�����、合規(guī)準入�����、統(tǒng)一管控等難題���,為同行開辟出了一條值得業(yè)界借鑒的道路��。
