近年來,伴隨著人工智能等新科技革命浪潮����,數(shù)字經(jīng)濟(jì)正在加速向千行百業(yè)滲透�����。黨的二十大報(bào)告更是指出,“加快發(fā)展數(shù)字經(jīng)濟(jì)��,促進(jìn)數(shù)字經(jīng)濟(jì)和實(shí)體經(jīng)濟(jì)深度融合����,打造具有國際競爭力的數(shù)字產(chǎn)業(yè)集群”。在鋼鐵行業(yè)步入高質(zhì)量發(fā)展階段背景下�����,數(shù)字化、智能化有助于產(chǎn)品質(zhì)量的改善和生產(chǎn)效率的提升��,已逐漸成為企業(yè)競爭力的重要指標(biāo)之一����。
圖:數(shù)字鞍鋼
鞍鋼集團(tuán)系中國首批“創(chuàng)新型企業(yè)”,也是中國首家具有成套技術(shù)輸出能力的鋼鐵企業(yè)���,在推動?xùn)|北全面振興中發(fā)揮著舉足輕重的作用���。近五年來,集團(tuán)將數(shù)字化轉(zhuǎn)型視為新一輪鋼鐵工業(yè)革命的核心競爭力�����,持續(xù)實(shí)施數(shù)字化����、智能化項(xiàng)目,降低生產(chǎn)制造成本���,提高全要素生產(chǎn)效率��,提升經(jīng)營管理水平�,加快實(shí)現(xiàn)數(shù)字蝶變。然而�,隨著信息化建設(shè)和IT技術(shù)的快速發(fā)展,各種網(wǎng)絡(luò)應(yīng)用的日益增多����,病毒、木馬���、蠕蟲以及黑客攻擊等等不斷威脅著鞍鋼集團(tuán)內(nèi)部網(wǎng)絡(luò)資源�����,使得企業(yè)網(wǎng)絡(luò)的安全邊界迅速縮小����,開放的內(nèi)部網(wǎng)絡(luò)訪問將影響企業(yè)IT基礎(chǔ)設(shè)施的穩(wěn)定運(yùn)行和數(shù)據(jù)安全�,因此需要構(gòu)建新一代的內(nèi)部終端準(zhǔn)入安全防御體系�。
對此,鞍鋼集團(tuán)通過牽手奇安信部署統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)�,實(shí)現(xiàn)對鞍鋼內(nèi)網(wǎng)終端進(jìn)行準(zhǔn)入管理,最終構(gòu)建了可信����、可管��、可視的終端安全防護(hù)體系�,為數(shù)字化轉(zhuǎn)型過程中的同行��,打造了終端安全準(zhǔn)入建設(shè)的標(biāo)桿示范�。
制定五大目標(biāo),構(gòu)筑終端安全防線
將鋼鐵��、冶金等國民基礎(chǔ)行業(yè)作為網(wǎng)絡(luò)攻擊目標(biāo)����,近年來可謂愈演愈烈,成為全球網(wǎng)絡(luò)威脅新趨勢�。2022年6月,伊朗國有鋼鐵寡頭公司胡齊斯坦由于“網(wǎng)絡(luò)攻擊”后引發(fā)的“技術(shù)問題”�,工廠不得不停工,造成了巨大損失�。 7月,攻擊三家伊朗鋼鐵制造企業(yè)的黑客組織Predatory Sparrow發(fā)布了近20GB絕密數(shù)據(jù)���,其中包含該公司重要文件等���。同年10月���,歐盟最大銅礦公司德國銅生產(chǎn)商Aurubis(中文名為奧魯比斯)遭到網(wǎng)絡(luò)攻擊,IT系統(tǒng)被迫中斷服務(wù)����。
“公開的事件僅是冰山一角,鋼鐵行業(yè)已成為數(shù)字化時(shí)代網(wǎng)絡(luò)安全的新戰(zhàn)場��?��!?鞍鋼集團(tuán)管理與信息化部副總經(jīng)理蔡恒君認(rèn)為���,鋼鐵業(yè)不僅是國民經(jīng)濟(jì)的支柱性產(chǎn)業(yè),也屬于整個(gè)工業(yè)產(chǎn)業(yè)的核心基礎(chǔ)���,它關(guān)聯(lián)著眾多上下游企業(yè)�����,一旦遭受攻擊破壞��,將會影響整個(gè)產(chǎn)業(yè)鏈和生態(tài),甚至關(guān)乎經(jīng)濟(jì)發(fā)展����、社會穩(wěn)定乃至國家安全����。因此����,隨著鋼鐵行業(yè)數(shù)字化水平和生產(chǎn)效率的不斷提高,對于鞍鋼集團(tuán)而言��,亟待構(gòu)筑更可靠的網(wǎng)絡(luò)安全防線��,來應(yīng)對黑客�����、病毒���、蠕蟲等外部威脅�����,以及員工數(shù)據(jù)泄露等內(nèi)部威脅���。
據(jù)介紹���,終端網(wǎng)絡(luò)準(zhǔn)入工作是鞍鋼集團(tuán)2023年推進(jìn)的一項(xiàng)重點(diǎn)工作,集團(tuán)的各二級單位�,將該項(xiàng)工作列入重點(diǎn)任務(wù)清單,旨在對接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行實(shí)時(shí)監(jiān)測和管理�,保證網(wǎng)絡(luò)安全和信息安全。
面對下屬單位較多���、網(wǎng)絡(luò)層級不規(guī)范���、交換機(jī)與要求不符等困難,集團(tuán)發(fā)動各單位迎難而上����,明確分工,落實(shí)責(zé)任����,全力推進(jìn)網(wǎng)絡(luò)終端準(zhǔn)入工作。
鞍鋼集團(tuán)管理與信息化部梁會霞表示�����,結(jié)合集團(tuán)終端安全面臨的威脅和現(xiàn)狀,最終確立了五大目標(biāo):
第一個(gè)目標(biāo)是實(shí)現(xiàn)端口級別的接入管控��;
在項(xiàng)目實(shí)施之前����,任何外來人員或客戶只要將計(jì)算機(jī)插入網(wǎng)線����,就可以進(jìn)入內(nèi)部網(wǎng)絡(luò),進(jìn)行散播病毒����、網(wǎng)絡(luò)攻擊等操作,給集團(tuán)內(nèi)網(wǎng)造成極大的風(fēng)險(xiǎn)���,因此需要實(shí)現(xiàn)端口級別的接入管控來解決以上問題���。同時(shí)也滿足了國家《網(wǎng)絡(luò)安全法》等政策合規(guī)要求。
第二個(gè)目標(biāo)是實(shí)現(xiàn)終端基線策略合規(guī)性檢查與修復(fù)��;
項(xiàng)目實(shí)施前�����,終端上不能及時(shí)更新補(bǔ)丁,以及配置弱口令�、開放高危端口等,這些情況均會給攻擊者留下入侵機(jī)會����,攻擊者輕松獲取低安全基線終端管理權(quán)限,從而對高價(jià)值目標(biāo)發(fā)起攻擊��。如何在行政命令手段之外����,能通過技術(shù)手來段提升內(nèi)網(wǎng)終端安全軟件覆蓋率,提升終端策略安全級別�,從而更好地抵御入侵,是本次目標(biāo)之一���。
第三個(gè)目標(biāo)是實(shí)現(xiàn)不同網(wǎng)絡(luò)訪問權(quán)限限制���;
實(shí)施之前,缺乏基于用戶身份的權(quán)限管理機(jī)制�����,不同身份的人都可以訪問同樣的服務(wù)器資源���,往往導(dǎo)致隱私數(shù)據(jù)被竊取�����,泄密事件風(fēng)險(xiǎn)��,故需要實(shí)現(xiàn)不同網(wǎng)絡(luò)訪問權(quán)限限制來解決以上問題��。
第四個(gè)目標(biāo)是實(shí)現(xiàn)人機(jī)對應(yīng)�,實(shí)名管理�����;
實(shí)施之前����,管理員不能準(zhǔn)確掌握人員與終端資產(chǎn)的對應(yīng)關(guān)系,更無法跟蹤資產(chǎn)變更情況��,例如硬件新增�、丟失情況等。因此�����,集團(tuán)需要一種方法關(guān)聯(lián)人與終端資產(chǎn)的對應(yīng)關(guān)系,以及對硬件變更準(zhǔn)確和實(shí)時(shí)監(jiān)控�����,并及時(shí)預(yù)警���,方便管理部門審計(jì)����。
第五個(gè)目標(biāo)是全面掌握終端信息資產(chǎn)����。
隨著鞍鋼集團(tuán)的不斷發(fā)展,計(jì)算機(jī)的數(shù)目在不斷增加��,海量終端的資產(chǎn)信息難免出現(xiàn)無法統(tǒng)計(jì)的現(xiàn)象�,即使是管理部門所獲取的資產(chǎn)信息也由于時(shí)間的差異無法實(shí)時(shí)統(tǒng)計(jì)。這就導(dǎo)致設(shè)備資產(chǎn)情況不清晰�����,無法做到統(tǒng)一接入安全管理����,經(jīng)常會發(fā)生資產(chǎn)信息不全����、丟失等情況�����,更無法建立完善的設(shè)備規(guī)范化接入管理機(jī)制�����。因此���,需要通過一種方法使管理員可以輕松把終端硬件資產(chǎn)信息實(shí)現(xiàn)全面的自動收集(如計(jì)算機(jī)硬件信息、軟件程序信息����、操作系統(tǒng)配置等),快速統(tǒng)計(jì)分析(資產(chǎn)變更自動監(jiān)控���,及時(shí)反映企業(yè)資產(chǎn)變化狀況)���,快速生成滿足各個(gè)部門所需要的資產(chǎn)報(bào)表。
覆蓋數(shù)萬終端�����、核心二級單位,實(shí)現(xiàn)可防可管可視
針對各單位網(wǎng)絡(luò)改造牽涉面廣�����、技術(shù)復(fù)雜�����、問題排查難度高等不利因素��,鞍鋼集團(tuán)管理與信息化部邢立剛組織集團(tuán)各下屬公司����,分別建立準(zhǔn)入專班團(tuán)隊(duì),和國內(nèi)領(lǐng)先的網(wǎng)絡(luò)安全企業(yè)奇安信緊密合作�����,協(xié)同各單位全面梳理整改歷史遺留問題��,累計(jì)更換不合要求的網(wǎng)絡(luò)交換機(jī)數(shù)百臺�����,并借助準(zhǔn)入平臺驗(yàn)證功能對整改結(jié)果進(jìn)行全網(wǎng)絡(luò)合規(guī)性驗(yàn)收。
在終端準(zhǔn)入建設(shè)中����,如何將對業(yè)務(wù)的影響降至最低,實(shí)現(xiàn)無感知上線���,是該項(xiàng)目最重要的挑戰(zhàn)�����。由于單位分散��、終端數(shù)量眾多�,網(wǎng)絡(luò)終端準(zhǔn)入項(xiàng)目在實(shí)施過程中����,重點(diǎn)考慮了不影響鞍鋼集團(tuán)各職能中心和基層單位的工作業(yè)務(wù)�����。對此���,集團(tuán)和奇安信緊密合作�,充分利用節(jié)假日休息時(shí)間加班加點(diǎn),做到了無感切換���,順利完成約數(shù)萬臺終端的網(wǎng)絡(luò)終端準(zhǔn)入工作����,實(shí)現(xiàn)全覆蓋�����。
圖:鞍鋼集團(tuán)廣域網(wǎng)
邢立剛表示���,截止目前�,鞍鋼統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)已部署一級平臺及數(shù)個(gè)二級平臺�,全面覆蓋鞍鋼集團(tuán)下屬核心二級單位,幾萬臺終端設(shè)備�����。新的準(zhǔn)入系統(tǒng)在安全合規(guī)����、可管理性、可視化等方面,作了很好的保障��。
首先在安全保障方面��,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)通過豐富的設(shè)備發(fā)現(xiàn)識別及準(zhǔn)入控制手段�,能夠準(zhǔn)確發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)接入終端,驗(yàn)證接入終端的身份����,判斷終端與用戶的安全與合規(guī),動態(tài)控制入網(wǎng)終端及用戶的網(wǎng)絡(luò)訪問權(quán)限����,從而確保整個(gè)內(nèi)網(wǎng)環(huán)境的安全。
同時(shí)����,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)通過對網(wǎng)內(nèi)設(shè)備進(jìn)行身份分析、合規(guī)檢查及流量控制等安全檢查或控制���,協(xié)助集團(tuán)及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)內(nèi)各類設(shè)備的異常并進(jìn)行處置,提升內(nèi)網(wǎng)設(shè)備抵抗入侵的能力��。
其次在管理方面����,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)使用各類手段強(qiáng)制終端入網(wǎng)時(shí)進(jìn)行實(shí)名認(rèn)證或登記����,同時(shí)配合設(shè)備發(fā)現(xiàn)與識別功能對設(shè)備信息變更的實(shí)時(shí)感知����,無論設(shè)備的IP如何變化,準(zhǔn)入系統(tǒng)均能提供準(zhǔn)確的設(shè)備與使用人關(guān)系記錄�。當(dāng)監(jiān)管部門提供特定時(shí)間段內(nèi)的風(fēng)險(xiǎn)IP,通過在準(zhǔn)入系統(tǒng)上查找對應(yīng)時(shí)段的認(rèn)證記錄�����,即可快速定位責(zé)任人����。
圖:統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)可視化運(yùn)營界面
最后在可視化管理方面,統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)一級平臺依托數(shù)據(jù)可視化技術(shù)��,使集團(tuán)內(nèi)網(wǎng)終端整體安全態(tài)勢一目了然���,威脅和異常清晰可見��,還能將平臺自有運(yùn)營的終端病毒情報(bào)�、終端漏洞情報(bào)等終端安全情報(bào)庫與本地終端上的安全數(shù)據(jù)結(jié)合在一起,進(jìn)行匯總分析�����,成為集團(tuán)終端安全運(yùn)營和安全分析的重要工具��。
助力國產(chǎn)化平滑遷移��,持續(xù)保障接入安全
據(jù)梁會霞介紹�,鞍鋼集團(tuán)逐步將終端替換為國產(chǎn)化設(shè)備,安全準(zhǔn)入系統(tǒng)提供各操作系統(tǒng)及國產(chǎn)化平臺下的客戶端軟件����,同時(shí)依靠準(zhǔn)確識別的設(shè)備操作系統(tǒng),準(zhǔn)入系統(tǒng)可準(zhǔn)確地向未安裝客戶端軟件的各操作系統(tǒng)終端/信創(chuàng)終端推送對應(yīng)的客戶端安裝頁面���,并通過多種手段準(zhǔn)確識別網(wǎng)絡(luò)中的各終端和信創(chuàng)終端����,針對不同終端執(zhí)行不同入網(wǎng)策略�����,保障國產(chǎn)化替代過程中的網(wǎng)絡(luò)接入安全����。
展望未來,鞍鋼集團(tuán)還將繼續(xù)建設(shè)終端安全一體化管理平臺�。準(zhǔn)入系統(tǒng)將與終端安全一體化管理平臺聯(lián)動,通過聯(lián)動可強(qiáng)制內(nèi)網(wǎng)中的PC機(jī)安裝客戶端�。一體化管理解決終端殺毒補(bǔ)丁等安全需求的同時(shí),通過殺毒軟件安裝��、違規(guī)外聯(lián)等基線策略的檢查��,有效管控內(nèi)部資源違規(guī)訪問和泄露等問題,防止違規(guī)終端訪問核心業(yè)務(wù)資源���,保障入網(wǎng)終端安全可信�����、合規(guī)入網(wǎng)����。
不久前�����,工業(yè)和信息化部��、國家發(fā)展改革委、財(cái)政部�����、自然資源部�����、生態(tài)環(huán)境部��、商務(wù)部�、海關(guān)總署等七部門近日聯(lián)合印發(fā)《鋼鐵行業(yè)穩(wěn)增長工作方案》,明確指出要加快推進(jìn)數(shù)字化轉(zhuǎn)型智能化升級���,開展鋼鐵行業(yè)數(shù)字化轉(zhuǎn)型三年行動���,促進(jìn)鋼鐵企業(yè)數(shù)字化、網(wǎng)絡(luò)化����、智能化改造升級,建設(shè)一批智能制造示范工廠�����,打造一批制造業(yè)數(shù)字化轉(zhuǎn)型標(biāo)桿,形成一批可復(fù)制可推廣的典型案例���。隨著數(shù)字化轉(zhuǎn)型、國產(chǎn)化替代等浪潮在鋼鐵行業(yè)的開展����,安全成為不可忽視的重要組成部分,鞍鋼集團(tuán)聯(lián)手奇安信打造的統(tǒng)一終端網(wǎng)絡(luò)準(zhǔn)入管理系統(tǒng)���,很好解決了國產(chǎn)化過渡期面臨的復(fù)雜安全風(fēng)險(xiǎn)��、合規(guī)準(zhǔn)入����、統(tǒng)一管控等難題�,為同行開辟出了一條值得業(yè)界借鑒的道路。
