天融信：以 IPDRR 安全技术架构，打造钢铁行业控制系统最佳实践

天融信教育前一小时立即开启近年来，我国钢铁产量逐年递增，但多数中小钢铁企业以粗钢为主，产品同质化严重，导致产能过剩。由于优化钢铁产业结构、构建数字化钢铁生产体系、节能减排、发展特殊钢等多方面原因，以粗钢为生产核心的大部分中小老企业被整合封闭，钢铁产业正在集团化、数字化发展。

钢铁行业有哪些业务场景？

钢铁生产过程包括离散制造和过程制造两个系统，涉及多种工艺。不同的流程之间有很强的逻辑关系，生产流程也包括热加工流程，对业务连续性要求极高。主要业务场景如下：

采矿：铁矿石选矿：将铁矿石破碎、磁选成铁精矿并烧结：将铁精矿烧结成具有一定强度和粒度的烧结矿进行冶炼：将烧结矿运至高炉，用热风和焦炭将烧结矿还原成铁水，脱硫炼钢：在转炉内用高压氧气将铁水脱磷，去除夹杂物，精炼钢水；进一步脱磷、去除夹杂物、提高纯净度连铸：将钢水在热态下浇铸成一定形状的连铸。

随着国家数字化转型的加快，钢铁行业正逐年稳步向“数字钢铁”迈进。信息系统的应用取代了传统的人工，对钢铁企业加强生产控制水平、规范内部管理、提高运行效率、增产降耗起到了作用。钢铁企业基本形成了由过程控制系统、过程监控系统和生产管理系统组成的生产结构，完成了烧结、炼钢、精炼、轧制等生产环节的信息化、自动化改造，实现了数据采集的精准化、生产过程的连续性和应用系统的集成化。

数字化转型环境下，钢铁行业发展现状是怎样的？

钢铁行业在工业控制系统信息安全方面有哪些风险？

目前钢铁行业的自动控制设备和应用系统大多采用西门子等欧美自动化品牌。同时也存在很多不可调和的矛盾，比如设备使用周期过长，高风险漏洞太多，应用升级导致控制系统不兼容等。此外，控制设备的访问控制策略过于简单，甚至没有访问控制功能，因此入侵者很容易利用缺乏认证的优势进行攻击。

出于可用性和实时性的考虑，工业协议设计中保密性和安全性相对较弱。Modbus等工业协议存在明文传输的问题，容易被入侵者通过劫持破坏。

工业控制系统漏洞繁多以及工业协议风险问题

由于钢铁生产过程连续性强，不同的控制系统在工业生产现场共用控制器和交换设备。网络安全分区原则与应用系统业务逻辑的矛盾导致边界模糊，边界保护不足。此外，随着越来越多的工业设备接入网络，也增加了攻击者利用木马蠕虫或设备自身漏洞的风险。

高耦合性业务需求导致的边界模糊问题

随着云计算、物联网等新技术在钢铁企业的普及应用，攻击者通过跳板机恶意破坏工业控制系统的情况屡见不鲜。同时，内部违规操作、误操作等事故也时有发生。安全管理体系的缺失导致员工缺乏网络安全意识，钢铁企业普遍缺乏检测和应对内外部威胁的能力。

行为监测能力缺失

目前工业控制系统的信息安全防护方案仍局限于被动单点防御，难以应对日益严峻的工业信息安全形势。天融信结合多年的工业信息安全研究和项目实践，在传统被动防护的基础上，推出了应如何应对钢铁行业的工业信息安全风险？.系统安全加固

风险识别(Identification)-安全防御(Protection)-安全检测(Detection)-安全响应(Response)- 安全恢复（Recovery）的IPDRR安全技术架构风险识别：识别确认钢铁企业网络结构、网络流量、资产和数据面临的安全风险。明确接入资产类别、网络结构、通信行为、主机行为等。在其生产网络中，确认漏洞和可能攻击的可能性，实施可行的安全架构，为防御和检测提供有效的数据支持。

安全防护：以风险识别能力为支撑，构建基于行为控制的基础防御能力。指沟通过程。