2020-5-8周五 网安资讯

  根据2020年4月28日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2020年第8号），全国信息安全标准化技术委员会归口的GB/T 20281-2020《信息安全技术 防火墙安全技术方面的要求和测试评价方法》等26项国家标准正式对外发布。具体清单如下：

  据人民网加拉加斯5月5日报道，委内瑞拉副总统罗德里格斯宣布消息，委内瑞拉国家电网干线遭到攻击，造成全国大面积停电。委国家电力公司正组织人力全力抢修，部分地区已经恢复供电。

  罗德里格斯说，国家电网的765干线遭到攻击。这也是在委挫败雇佣兵入侵委内瑞拉数小时后发生的。

  这已不是委内瑞拉第一次遭遇大规模停电了，2019年3月7日至2019年3月27日，委内瑞拉电网连续发生了两次大范围停电，该国政府两次组织恢复电网。据国内外媒体深度报道，委内瑞拉电网陆续遭受了五轮攻击，古里水电站、变电站、变压器、输电线路都成为了攻击目标。

  电力安全事关国家安全，大面积停电会造成经济、生活秩序混乱，危及国家政治安定。近年来，针对电力系统的网络安全攻击事件频发，电力工控安全已成为网络安全斗争的主战场，加强电力系统网络安全防护至关重要。

  由2020年的新冠病毒疫情引发的个人隐私信息泄露事件给信息主体带来极大负面影响的同时，也为社会公众带来了个人隐私信息是否安全的担心。政府在排查疫情有关人员时，与企业合作，运用了大数据技术，通过手机定位信息、在线支付信息、快递信息、购票信息等一系列个人相关的网络信息，在第一时间追踪疫情有关人员，这本是控制疫情的得利举措。然而，上述个人隐私信息经收集后，部分个人数据集合因缺乏妥善保护，在微信群等网络场所遭到泄露。从法律层面探讨在突发性公共卫生事件中应当如何平衡疫情控制与个人隐私信息保护，以及怎么样应对疫情过程中的信息泄露事件，值得深思。

  2003年非典后，我国针对突发性公共卫生事件业已制定了多部专门的法律和法规。面对突发性公共卫生事件，在疫情监测阶段，现有法律和法规业已授权各级政府及公共卫生部门相关疫情信息调取权。

  第一，在法律层面，《中华人民共和国传染病防治法》（以下简称《传染病防治法》）第12条明确规定：“在中华人民共和国领域内的一切单位和个人，必须接受疾病预防控制机构、医疗机构有关传染病的调查、检验、采集样本、隔离治疗等预防、控制措施，如实提供有关情况。疾病预防控制机构、医疗机构不得泄露涉及个人隐私的有关信息、资料。”此外，《中华人民共和国突发事件应对法》（以下简称《突发事件应对法》）第38条，授权县级以上各级政府及其专业部门有权收集和分析相关信息。由于疫情爆发期间，有关人员通勤信息、个人家庭住址、身体健康情况等信息与疫情防控高度相关，应属于政府被授权调查的信息范围。能够准确的看出，《传染病防治法》相较于《突发事件应对法》明确了一切单位和个人的防控配合义务，这一点相当于明确授权疾病预防控制机构和医疗机构要求信息服务提供者以及网络服务提供者提供相关信息的权力，而后者却疏于规定，这为信息调取权的行使主体不清埋下伏笔。实践中，疾控机构及医疗机关常常忙于应对传染病患者的确诊和救治工作，真正实施信息收集的主体一般是地方各级政府。因此，有必要在法律中明确在突发情形下，个人及企业为疫情只需要配合政府收集信息之义务。

  第二，在行政法规层面，经国务院2006年制定并生效的《国家突发公共卫生事件应急预案》（以下简称《应急预案》）第4.2.1.8条规定，应急反应措施包括要求各级政府应当做好疫情的收集和报告；第4.2.4条规定，针对突发公共卫生事件信息报告，授权县级以上各级疾控机构做好突发公共卫生事件的信息收集、报告与分析工作。这些规定再次明确了政府有义务进行疫情的收集和处理工作，但是，依然缺乏细致规范。

  遗憾的是，现有法律和法规就信息调查权之规定过于粗疏，缺乏对信息收集主体的权力范围与时效的限制。有关数据主体的个人隐私信息之调取应当符合“为服务疫情防控之需要”且应当严格限制该等信息的二次传播，否则极易造成个人隐私信息的滥用和信息权利的侵犯。此外，《突发公共卫生事件与传染病疫情监测信息报告管理办法》第十四条规定，“医疗卫生人员未经当事人同意，不得将传染病病人及其家属的姓名、住址和个人病史以任何形式向社会公开。”该条有限地规定了医疗卫生人员的保密义务，但是，个人隐私信息的范围远不止于姓名、住址及病史，还包括出生日期、身份证件号码、个人生物识别信息、手机号等诸多可以直接识别个人的信息，这样一些问题均需要法律的进一步明确。

  依据《民法总则》第111条规定：“自然人的个人隐私信息受法律保护，任何取得应当符合依法原则，且禁止任何组织和个人非法收集、使用、加工、传输他人个人隐私信息。”《网络安全法》第四十四条规定：“任何个人和组织不得窃取或者以其他非法方式获取个人隐私信息，不得非法出售或者非法向他人提供个人隐私信息。”此中所谓依法原则，应当指取得的途径应当符合法律的规定，其中既包括数据主体的授权，也包括法律的授权。

  然而，针对网络个人隐私信息，《网络安全法》中并未直接授权政府得以调取权力，哪怕是在疫情防控期间。但是，依据《传染病防治法》，一切单位都应当配合医疗行政机构及疾病防控机构调查疫情相关情况，此中当然包括互联网服务商。因此，医疗行政机构及疾病防控机构有权要求互联网服务商提供有关数据。但是，互联网服务商是否在向政府公开相关数据后违反了其保护用户个人隐私信息之义务，则因遵循其与用户之间达成的关于隐私安排的合同。

  以2020年1月21日版《微信隐私保护指引》第1.15条为例，微信有权在“与国家安全、国防安全等国家利益直接相关的；与公共安全、公共卫生、公众知情等重大公共利益直接相关的”个人隐私信息，未经用户同意向有关机关公开。但是，在互联网服务提供商与用户未达成该类协议时，则服务商面临违反国家规定亦或是合同约定之两难。因此，有必要在现有法律中完善政府在疫情调查期间直接调取网络中个人隐私信息之权力。

  由于我国《个人隐私信息保护法》仍然在拟议阶段，而针对突发性卫生公共事件的专门法规也未能就个人隐私信息保障专事规定。因此，现阶段我国实际缺乏一套综合的个人隐私信息保障体系。

  可以看出，在本次疫情防控过程中，政府在数据收集和使用阶段并未遇到显著的法律障碍，这某一些程度上反映了我国针对个人隐私信息收集程序仍然缺乏强制性的规范。而在相关个人隐私信息由各级政府获取之后，出现了部分信息泄露之情形，则反映出数据泄露之后的法律应对不足。

  信息泄露事件的出现，一种原因是由于部分基层执法人员个人隐私信息权利意识不强有关，更重要的原因是因《个人隐私信息保护法》的缺位而导致缺乏有效的信息保障机制。为疫情防控收集个人隐私信息的，应当遵循比例原则，即信息收集和使用的内容与程序应当符合适当性、妥当性及与疫情防控相适应的标准，将信息收集的种类、对象严格限制在必要的范围以内，并且在技术上，应当尽量对个人隐私信息做匿名化处理。

  在重大疫情面前，妥善保护涉及疫情人员的个人隐私信息体现了一国应对疫情的综合治理能力。必须承认，我国个人隐私信息保护法毕竟目前仍然处于探索阶段。借此次疫情契机，应当完善个人隐私信息保护和监督管理体系，特别针对公共机构经合法授权获取收集和使用个人信息权时，应当监督信息收集、使用和处理中一系列权利的范围以及遵循最小化原则，以最大限度的保护个人隐私信息。

  首先，应当在数据泄露后第一时间实施补救措施。个人信息遭遇泄露，建议网络安全主管机关第一时间联系信息泄露平台，通过线上线下双重渠道消除因信息泄露所带来不利影响，并对泄露源依法施以惩戒。如果发生大面积泄露事件，必要时依据《网络安全法》第五十八条，“经国务院决定或者批准，可以在特定区域对网络通信采取限制等临时措施。”

  其次，尽快建立完整个人隐私信息监督保障机制。监督保障即包括信息收集阶段应当满足合法性与合理性，更重要的是在有关信息发生泄露之后，法律应当赋予信息主体以必要的救济措施，如授权信息主体在其遭遇泄露后，向直接或间接造成信息泄露的相关主体提出民事诉讼或行政诉讼。

  最后，信息保障机制离不开一线执法人员的信息保障意识。在疫情期间，法律授权县级以上各级政府以信息收集权，意味着信息收集过程中有大量人员得以合法接触信息。在培养一线执法人员信息保障意识的同时，应当配套完善信息泄露惩戒机制。

  网络空间的竞争，归根到底是人才的竞争。人才是网信行业核心技术自主创新的根本保障。为了更加准确地掌握网信人才教育培训现状，进而创新人才教育培训模式和体制机制，近日《2019网信自主创新调研报告》出炉，报告通过一系列分析和研究大量调研数据，为网信人才教育培训提出建议。报告说明，近年来网信人才教育培训工作取得了很明显的成效，但网信人才教育培训的体制机制尚未健全，人才培养与满足核心技术自主创新的内在要求仍有很大的差距，创新性地开展网信人才教育培训工作十分迫切。

  《2019网信自主创新调研报告》调研范围涉及芯片、操作系统、办公软件、密码、云计算安全、数据安全、移动通信安全等18个领域。

  报告认为，“德”和“才”是网信行业从业人员应具备的能力素质。一方面，网信工作事关国家安全和经济社会健康发展，事关老百姓的日常生活，相关从业人员应具备坚定的理想信念和充分的职业道德，做到“德以配位”；另一方面，网信工作技术上的含金量高，相关从业人员应具备扎实的理论功底和熟练的操作技能，做到“才以配位”。

  此次调研范围中，技术实施类人员占32.4%、开发类人员占20.3%、市场销售类人员占17.5%、研究类人员占24.4%。按受访人员所在单位统计，安全产品类单位占37.4%、安全服务类单位占27.6%、基础软硬件类单位占20.4%。

  对于从事网信工作的原因，31.4%的受访者认为“使命感和自我价值的实现”是最重要原因；31.13%的受访的人将“职业发展前途”作为第一考量要素；28.72%的受访者出于“兴趣爱好”或“专业对口”原因从事网信工作；8.75%的受访者因为“薪酬待遇”选择网信工作。

  总体来看，多数受访者出于使命感选择从事网信工作，期望通过该行业实现个人价值，并看好网信工作良好的职业前景。同时，部分受访者认为，网信工作可提供较好的薪酬待遇，反映出网信行业工资水平具有一定的优势。从细致划分领域数据看，就职于非公有制企业的受访者更关注个人职业发展前途，就职于国有单位的受访者相对更关注使命和个人价值的实现；从事技术性工作的受访者相对于从事非技术性工作的受访者对使命和个人价值更加认同，后者则对职业发展前途关注更多。

  报告提醒，对于年轻从业人员或入行时间不长的从业人员，应该在加强理想信念和职业道德教育的同时，逐渐完备人才上升通道，让年轻从业者在日常工作中体会到成就感和社会价值感，从而逐步提升个人对事业的认同感。

  报告指出，网信领域仍存在自身能力与岗位需求不匹配、对岗位能力的要求不清晰不明确、岗位能力评价和提升方法缺乏等问题，因此量化考评和定制化培养亟待完善。

  调研多个方面数据显示，86.3%的受访者认为当前亟须提升从业人员能力的岗位是技术类岗位（技术实施类占26.3%、产品和开发类占41.24%、研究类占18.76%），13.7%的受访者认为当前亟须提升从业人员能力的岗位是市场销售类岗位。

  数据显示，当前技术类岗位从业人员能力亟须与岗位能力有一定的要求进行匹配，其中产品和开发类岗位的需求更为迫切，其次是技术实施类岗位和研究类岗位。针对不一样岗位，受访者对岗位能力要求（包括学历、经验和职业能力三个方面）的认识并不统一。

  大多数受访者认为，有必要开展岗位能力评价和培训，但目前并没有十分有效的评价方法。关于现有的提升岗位能力的途径，多数受访者认为短期培训更有效，少数受访者认为长期脱产学习更有助于提升岗位能力。需要说明的是，即便选择了某种途径来提升岗位能力，但多数受访者仍认为现有方法在提升岗位能力的效果方面并不理想。

  受访者中，认为针对不一样岗位开展培训与评价有助于行业发展的占85.3%，认为无助于行业发展或无法判断的占14.7%。在认为需要开展岗位能力培训的人员中，73.6%认为目前尚未发现有效的岗位能力评价方法，26.4%认为目前存在有效的岗位能力评价方法（少量受访者认为CISAW-岗位能力、CISP-PTE等专业能力认证有助于评价从业人员的岗位能力，大部分受访者没有列举有效的评价方法）。

  值得关注的是，网信行业应届毕业生从业能力仍显不足，从求学到就业的“最后一公里”问题仍然比较突出。

  调研多个方面数据显示，31.6%的受访者认为应届毕业生工作经验不足，10.9%的受访者认为动手能力不强，17.3%的受访者认为知识储备不足，20.8%的受访者认为对产业了解不足，6.8%的受访者认为应届毕业生沟通交流能力不强。

  可以看出，受访者对应届毕业生的从业能力评价分布比较均匀，较多受访者认为其工作经验不足、对产业了解欠缺，其次是知识储备和职业规划欠佳，再次是动手能力和沟通交流能力尚待改善。另外，受访者对本单位应届毕业生的评价集中在以下几点：一是书本知识强于处理问题的能力；二是知识结构不合理；三是由于各高校的学科设置差异较大，难以通过所学专业确定学生的能力特点；四是参加过社会机构培训的学生实战能力较强，能较快地投入工作。

  近年来，在各级主管部门的重视和推动下，网信人才教育培训工作取得了很明显的成效。同时，网信人才教育培训的体制机制尚未健全，建立激励机制、加强研究、创新评价方法等成为网信人才培养工作的有力抓手。

  研究建立科学合理的网信人才激励机制。早在2016年，《关于加强网络安全学科建设和人才培养的意见》就要求，完善网络安全人才培养配套措施，建立灵活的网络安全人才激励机制。然而，截至目前，除了每年评选网络安全优秀人才和优秀教师外，并无其它激发鼓励措施出台。因此，建议相关激励机制下沉，从不同渠道研究建立科学合理的网信人才激励措施。

  加强对网信工作岗位能力有一定的要求的研究。当前，随着“互联网+”的不断推进，网信工作已经与各行各业实现了深层次地融合。由于业务模式千差万别，不一样的行业领域的网信工作内容有很大区别。与此同时，即便是在同一行业领域内，不同网信工作岗位的工作内容也有较大区别。以网络安全运维岗位为例，金融行业和医疗行业在岗位设置和岗位工作职责方面有着非常大差异；又如，同是金融行业，软件开发岗位和安全运维岗位对职能和岗位能力的要求也有根本差别。目前，相对粗放的岗位能力有一定的要求在某些特定的程度上阻碍了网信行业的发展，同时也限制了网信人才教育培训工作与实际在做的工作需求的精准对接。因此，建议尽快开展针对网信工作岗位能力有一定的要求或网信从业人员角色分类与能力要求等有关标准的编研工作，并推动国家标准或行业标准立项。

  创新网信行业从业能力的评价和提升方法。目前，市场上存在较多的针对网信领域的培训课程，然而多数课程没有结合具体岗位能力有一定的要求进行有明确的目的性的设计，导致从业人员接受培训后不能直接将其应用于实际在做的工作中。此外，目前市场上并没有有效的针对从业能力的评价方法。现有考核方式无一例外是针对知识体系或专项技能，而并不能针对从业能力做出综合的全方位评价，导致企业难以有效评估员工能力水平，以及从业人员在提升自身能力时没有办法进行精准定位。因此，建议尽快研究网信行业从业能力评价方法，并建立与评价结论相对应的培训体系，从而助力企业选才用人和从业人员自身能力的提升。

  针对在校大学生开展从业能力辅导工作。在校企协同育人和社会培训方面，报告认为，不论是模式、教材、师资力量，还是受训人员能力水平均有待提升。

  在校大学生是网信行业主要后备力量，当前的教育体系能够为大学生建立相对完备的理论知识体系，这为毕业生尽快适应工作岗位打下了坚实基础。但是，本次调研数据也反映出，应届毕业生在从业能力方面还有很大的差距。现有人才教育培训模式将从业能力的提升放在了工作阶段，用人单位普遍采用岗前培训或师傅带徒弟的方式为应届毕业生建立基本从业能力，即所谓的“最后一公里”。但是，解决“最后一公里”问题也导致了社会资源的巨大浪费。因此，建议从在校学习阶段开始，依据岗位能力要求对学生进行职业规划辅导，有明确的目的性地培养不一样学生的从业能力，最大限度地将“最后一公里”问题解决在校园内。

  中小企业是制造业产业链中的重要参与者，为帮助中小企业加快采纳工业网络技术，世界经济论坛于2020年1月发布了《加速工业互联网在中小企业的应用》白皮书，为中小企业部署工业互联网提供了一份路线图。该白皮书以世界经济论坛与巴西经济部和巴西圣保罗州合作出台的一项行动草案为主体内容，协助政策制定者实现更具包容性的第四次工业革命。行动草案主要提出了四方面的措施。

  中小企业领导者往往对工业互联网认识不足，因此就需要制定政策以提高有关人员对第四次工业革命，包括工业互联网成本、复杂性和影响的认识。

  一方面，政策制定者应鼓励中小企业对标国际标准，基于调研结果完善政策措施和政府投资；另一方面，中小企业能够最终靠自我诊断或参与公共调查，与同一行业、地区或价值链的别的企业进行比较，评估自身的准备度和成熟度，发现差距和优势，确定发展重点。新加坡推出工业智能化准备指数（Smart Industry Readiness Index），帮助国内制造企业进一步了解“工业4.0”概念，评估自身在采用数字技术方面的情况，协助其制定一套完善的转型计划。

  韩国为提高中小企业对物联网技术的重视程度，以真实的智能工厂为蓝本打造了智能工厂模型，供中小企业决策者参观并直接感受高水平的智能工厂。

  案例库介绍企业的具体实施情况、技术解决方案的描述、关键绩效指标的量化结果、投资回报率的预测等信息。为帮企业尤其是中小企业了解发展智慧产业所需的新兴技术，法国未来工业联盟推出“未来产业”案例集，详细的介绍了智能工厂中的400多个关键要素，帮企业识别打造智能工厂所需的核心技术。

  平台分享投资的成功案例和其他支撑服务，解决中小企业信息分散问题。日本经济产业省与德国工业4.0平台和法国未来工业联盟合作，为中小企业提供日本、德国和法国三国的物联网应用案例，还宣布实施“机器人革命与产业物联网倡议”，为中小企业提供“智能生产支援工具”，促进制造企业引入物联网工具和技术，提高企业生产率。

  政策制定者应为中小企业提供技术熟练的劳动力，树立技术应用方面的信心，并提供专业帮助。

  中小企业需要对工人进行培训，从怎么样去使用平板电脑、保存记录等简单应用到更高级的编程、数据分析等技能培训，以应对来自工业互联网传感器的大量数据。德国工会联合会推出工业4.0学徒培训计划，针对全国工业技术领域第二年和第三年的学徒提供跨学科培训。在前四个学习模块中，受训者将使用信息技术发掘智能对象捕获、运营、存储和与周围环境交互的过程；在第五个模块中，受训者将进行实践研究；在第六和七个模块中，受训者将学习未来的智能产品怎么样影响人们的工作方式。

  中小企业领导者和投资决策者也应接受商业和经济方面的培训，更看重工业互联网投入的投资回报率、运营模式变化、工业互联网公司合作管理等方面的内容。巴西推出Brasil Mais项目，旨在加强管理培训和咨询，在生产和管理流程中引入工业网络技术，提高中小企业的生产率和竞争力，预计到2022年底该项目将覆盖20万中小企业。

  通过使用成熟度评价工具、实施路线图、参考架构和采购指南等开源工具，强化中小企业部署和应用工业互联网的意识。巴西全国工业学徒服务机构推出一项在线工具，帮企业对标工业4.0标准，评估自身的成熟度，提供改善计划，以及培训课程和技术服务。

  在使用工业互联网的过程中，公共部门应为中小公司可以提供专业的建议和咨询服务，以及定制化的技术和企业战略支持，克服使用困难。哥伦比亚通过地方商会的专家库，为企业提供专业的技术上的支持，中小企业需要为咨询服务支付15%的费用，而大中型企业需支付20%的费用。

  在提供资金支持的同时，也要注意可能会混淆实施工业互联网的真实成本，因此需谨慎提供。

  这类支持旨在降低中小企业采用工业网络技术的风险，便于其考虑后续更大范围的技术采纳和投资。以色列推出预备研发鼓励计划（R&D Preparatory Incentive Program），旨在帮助那些没有研发经验的低技术上的含金量企业识别自身技术差距、生产的全部过程的缺陷，并为后续研发项目实施提供相关建议，其中创新局将承担75%的咨询费，剩余费用由企业承担。

  这类资助有助于政策制定者利用专家资源，帮企业构建充满了许多活力的工业互联网ECO。英国推出数据分析创新优惠券，为希望进一步进一步探索数据分析的中小企业提供资金支持，用以购置专家咨询服务，并为员工提供数据分析相关培训。德国也推出“进入数字化”项目（Go Digital Program），资助企业从经认证的咨询公司中获取流程数字化、数字市场开发和信息安全等方面服务，每家企业最多能够得到1.65万欧元的支持。

  这类资助旨在鼓励中小企业选择比较适合自身的培训项目。韩国推出智能工厂项目，为中小企业提供10万—30万美元资金以支持企业采购智能工厂解决方案和技术，包括软件、硬件、设备、咨询服务和技术上的支持等，并为有关人员提供技术培训。

  巴西国家开发银行为工业4.0和物联网相关研发和创新项目安装基础设施和设备提供低利率贷款，创新资助署也为中小企业采购特定系统集成商和技术提供商的工业4.0解决方案提供低利率贷款。

  在线社区能够在一定程度上帮助中小企业开展商业匹配，提供资金选择，鼓励技术合作，并分享有益经验，为中小企业提供接触潜在业务伙伴和同行的机会。欧盟推出数字创新中心，通过整合地区内大学、行业协会、商会、孵化器、政府等机构，提供一站式商店，帮企业利用数字技术完善生产流程、产品或服务。该中心可以为公司可以提供最新知识和技术，甚至为整个产业链的数字化创新提供业务和资金支持。

  包括为中小企业和工业互联网经销商提供联系场所、中小企业联络服务网、定制化信息以及合作伙伴配对等。日本推出物联网推进实验室项目，针对物联网、大数据、AI等项目提供知识共享、商业对接等服务。该实验室由地方商业团体组织，通常包括中小企业、初创公司、研究机构和投资人员等，截至2019年日本经济产业省已经支持建立了101个实验室。

  总而言之，鉴于每个企业的真实的情况不同，部署工业互联网过程中应遵循不同路线，但基本遵循以下流程：

  如果制造业中小企业能充分享受第四次工业革命带来的技术进步，将有望释放出巨大的经济和社会效益，本文的政策行动草案为公共和私营部门决策者提供了实现这一愿景所需的部分工具。世界经济论坛的目标是在全世界内推广这些措施，助力实现更具包容性的第四次工业革命。

  摘要：在早期，由于信息化发展水平有限，工业控制管理系统与信息管理层基本上处于隔离状态。因此，企业的信息化建设首先从信息层开始，经过10多年的建设积累，信息层的信息化建设已经有了较好的基础，涉及到了钢铁、勘探、加工、炼化、化工、储运等诸多工业领域，企业在管理层的指挥、协调和监控能力都有很大提升，提高了生产信息上传下达的实时性、完整性和一致性，相应的网络安全防护也有了较大提高。在信息管理层面，企业在生产领域大量引入IT技术，同时也包括各种如防火墙、IDS、VPN、防病毒等IT网络安全技术，这些技术主要面向商用网络应用层面，技术应用方面也相对成熟。

  关键词：访问控制；行为监测；白名单；行为基线；钢铁；工业控制管理系统；信息安全

  钢铁行业是自动化普及度较高的行业之一，同时也是对工业控制管理系统的稳定性和控制策略复杂性要求很高的行业。系统如果出现故障，不仅造成巨大的经济损失和能源安全冲击，还会造成人身安全影响。因此对控制层的网络安全重视程度最高。

  河北某钢铁自动化建设相对完善，但对于其控制管理系统网络仍处于空白部分，本设计在分析工业控制中心信息安全需求的基础上，通过部署信息安全设备，对工业控制中心信息安全建设提供合理依据。

  本设计针对XX钢铁轧钢产线及炼钢产线控制环境信息安全进行设计，按IEC62443的层级划分结构，本设计旨在对L1-L3层级信息安全进行设计。

  设计过程中采用可落地的信息安全技术应用，确保选择的信息安全手段可发挥既定的作用。

  设计过程要建立在生产流程的基础上，除非必须场景外，在L1.5层级不采用阻断类的管控手段，从而保障生产的全部过程不受信息安全策略的影响，确保不会造成二次安全威胁。

  设计过程需依照《工业信息安全防护指南》、《等保2.0工业扩展部分》等国家标准，确保建设过程符合国家有关要求；同时也需参照《IEC62443》《SP800-82》等国际领先标准，依照相关信息安全标准，确保设计的合理性。

  设计采用成熟稳定的主流技术方法，保障在业务生命周期内的信息安全防护，在保障期间内，应用技术不处于落后淘汰范围。

  轧钢产线包含加热炉区域、主扎线区域、平整加工区域、磨辊区域，其中主扎线区域能够准确的通过工段划分为粗轧、精轧、卷曲区域。

  其中加热炉区域、平整加工区域、磨辊区域在网络结构中相对独立。特别为磨辊区域，其L1~L2层未与其他系统连接。主扎线区域相对复杂，粗轧与精轧共用一套电气室，在控制流程中，无法在物理层面区分。卷曲主控接入节点为粗精轧Switch3/6，间接与卷曲电气室（Switch5）连接。

  炼钢产线网络结构相对复杂，同时炼钢网络中存在大量环网应用，具体参考图3，其中红色标记链路为环网链路：

  环网交换机连接均连接多条链路，造成访问控制装置无法有效部署，同时由于环网链路的建立通常包含了环网交换机的私有协议，工业防火墙不具备上述写，故不可以串接在环网主干链路中。

  当前在各个产线控制管理系统中，通过Vlan进行了网段划分，但仍存在利用交换机作为“中间人”对下发起访问的行为。

  同时，轧钢产线特别是粗精轧产线存在共用控制器的场景，上述环境能够造成理论中存在异常操作可能。

  若在网络中任意节点下发大量无效报文，会对正常通信造成影响，进而影响生产。在网络层面而言，究其原因缺少针对报文的有效识别及过滤能力，无法过滤无效报文内容。

  对于未知流量，缺少有效的识别及管控手段，没办法判定网络中是不是真的存在漏洞利用攻击行为，需要在网络层面实现对于漏洞攻击的有效识别及防范。

  轧钢产线接入设备包含无线AP，无线网络因其开放性，相比于传统网络更易造成网络侵入，存在仿冒设备接入的可能。

  部分操作工或运维人员通过移动存储设备或感染恶意代码的个人PC与控制管理系统中上位机进行连接，造成恶意代码植入上位机。

  在工程建设或生产的全部过程中不可避免涉及到移动存储介质的接入问题，当前缺少对移动存储介质可信性进行认证的措施，这也是主机恶意代码的主要来源。

  工业应用及主机存在众多已知漏洞，上述漏洞则会成为攻击者利用的条件，对生产环境进行影响。

  由于工控机特别是老式工控机性能受限，且其物理环境缺少必要的监控，存在操作人员利用工程师站、操作员站计算资源进行非生产操作的场景。

  工业应用如SCADA、组态编程软件，其通常不进行补丁加固，存在较多已知漏洞，造成漏洞攻击成本降低，易遭受漏洞利用攻击。

  控制系统通讯协议均为工业专用协议，其在设计支持考虑多为数据传输的实时性、容错性等，无安全层面考虑，造成其中数据部分多为明文或HEX类型数据，通过对报文监听即可获取数据内容，造成生产数据的外泄。

  依照行为基线，整体安全设计参照“白名单”环境进行设定，即仅限定合法流量、进程、服务的应用。

  在IT环境下由于流量种类及目标指向过于繁杂，白名单很难执行落地，在工业环境下，通信结构及流量、应用较IT环境简化，基于白名单结构可以更简单实现安全策略的落地。

  对网络各个系统来进行安全域划分，目的旨在切割风险，同时方便管理策略的执行。

  根据轧钢连扎车间的生产流程及接入环境，共划分为6个区域，如图5所示，分别为加热炉控制区、磨辊控制区、主扎线控制区、平整加工控制区及无线接入区等。

  为保障IT至OT网络间实现对于指令级别的访问控制，需要部署具备对功能工业协议识别的访问控制装置。目前等保2.0对控制区与非控制区边界要求实现单向隔离即协议剥离，故在该节点建议将原防火墙替换为工业网闸实现访问控制功能。

  炼钢车间中150T转炉五楼值班室具备对其他网络接口，包括OA系统（办公）、MES系统（生产管理）、质量系统（ERP），其均为对生产数据来进行分析、研判等应用，根据划分，属于非控制区域。

  XX钢铁采用的数采网关为windows PE操作系统，在隔离作用中可视作双网卡PC，仅实现通讯协议的采集及转发功能，较易作为“中间跳板”对轧钢产线进行非法访问，综上所述，数采网关不具备边界隔离作用。需要在其边界部署访问控制手段实现对其他产线访问流量管控。

  无线接入区域中辊道小车均为独立控制（本地HMI），部分数据通过Wi-Fi传输与其他区域，该区域相对其他区域，安全性较低，要增加访问控制措施实现不同安全等级安全域的隔离。

  在生产网中，网络边界防火墙将以最小通过性原则部署配置，依据业务需求采用白名单方式，逐条梳理业务流程，增加开放IP和开放端口，实现严格流量管控。

  针对控制管理系统外对控制管理系统访问内容做回溯，该设计的基本要求行为审计不仅对工业流量进行解析，而且对远程桌面、telnet等行为进行相对有效解析，同时针对控制器与上位机固定通讯流量进行监测并统计。

  通过策略设定或自学习，对网络监测节点协议进行白名单过滤，限定可流通协议，对于限定外协议进行报警。

  主机白名单客户端部署于轧钢产线全部PC，原则上不允许存在例外，通过对终端的管控，构成工业安全实质层面最外层的安全防线）进程及服务管控

  主机白名单以最小化设定为原则，对主机中应用进行管控，针对目标应用必要进程及服务开放白名单，非限定进程及服务均禁止运行。该策略在保证生产持续进行条件下大大降低对工控计算资源的占用。

  对轧钢产线中移动存储介质通过终端管控进行分级授权，没有经过授权移动存储介质从驱动层面禁用。在管理层面，禁止运维移动终端作为工程师个人PC，第三方调试PC均需要纳入终端管控范围。

  采用离线工控系统漏洞扫描和入网检测，对目标设备做扫描，凡是生产网内工业控制管理系统中所特有的设备/系统必须经工控漏洞扫描检测合格后，方能具备入网资格。

  由于本次设计仅针对轧钢产线及炼钢产线，建议在全厂基础设施信息安全建设完毕后，增加全厂信息安全调度平台及厂级工业信息安全态势感知平台及相关服务应用。