“钢铁长子”数字化浪潮下的终端安全之路

 “共和国钢铁工业的长子”、“新中国钢铁工业的摇篮”、“雷锋同志唯一工作过的企业”……提到鞍钢集团,人们总能想到一连串沉甸甸的荣誉称号。

作为中央直接管理的国有大型企业,鞍钢集团是新中国第一个恢复建设的大型钢铁联合企业和最早建成的钢铁生产基地,为国家经济建设和钢铁事业的发展作出了巨大贡献。新中国成立初期,曾为国家建设贡献了三分之二左右的钢材,并创造我国钢铁工业无数个“第一”:新中国第一炉钢水、第一根钢轨、第一根无缝钢管……

图:鞍钢集团

近年来,伴随着人工智能等新科技革命浪潮,数字经济正在加速向千行百业渗透。党的二十大报告更是指出,“加快发展数字经济,促进数字经济和实体经济深度融合,打造具有国际竞争力的数字产业集群”。在钢铁行业步入高质量发展阶段背景下,数字化、智能化有助于产品质量的改善和生产效率的提升,已逐渐成为企业竞争力的重要指标之一。

图:数字鞍钢

鞍钢集团系中国首批“创新型企业”,也是中国首家具有成套技术输出能力的钢铁企业,在推动东北全面振兴中发挥着举足轻重的作用。近五年来,集团将数字化转型视为新一轮钢铁工业革命的核心竞争力,持续实施数字化、智能化项目,降低生产制造成本,提高全要素生产效率,提升经营管理水平,加快实现数字蝶变。然而,随着信息化建设和IT技术的快速发展,各种网络应用的日益增多,病毒、木马、蠕虫以及黑客攻击等等不断威胁着鞍钢集团内部网络资源,使得企业网络的安全边界迅速缩小,开放的内部网络访问将影响企业IT基础设施的稳定运行和数据安全,因此需要构建新一代的内部终端准入安全防御体系。

对此,鞍钢集团通过牵手奇安信部署统一终端网络准入管理系统,实现对鞍钢内网终端进行准入管理,最终构建了可信、可管、可视的终端安全防护体系,为数字化转型过程中的同行,打造了终端安全准入建设的标杆示范。

制定五大目标,构筑终端安全防线

将钢铁、冶金等国民基础行业作为网络攻击目标,近年来可谓愈演愈烈,成为全球网络威胁新趋势。2022年6月,伊朗国有钢铁寡头公司胡齐斯坦由于“网络攻击”后引发的“技术问题”,工厂不得不停工,造成了巨大损失。 7月,攻击三家伊朗钢铁制造企业的黑客组织Predatory Sparrow发布了近20GB绝密数据,其中包含该公司重要文件等。同年10月,欧盟最大铜矿公司德国铜生产商Aurubis(中文名为奥鲁比斯)遭到网络攻击,IT系统被迫中断服务。

“公开的事件仅是冰山一角,钢铁行业已成为数字化时代网络安全的新战场。” 鞍钢集团管理与信息化部副总经理蔡恒君认为,钢铁业不仅是国民经济的支柱性产业,也属于整个工业产业的核心基础,它关联着众多上下游企业,一旦遭受攻击破坏,将会影响整个产业链和生态,甚至关乎经济发展、社会稳定乃至国家安全。因此,随着钢铁行业数字化水平和生产效率的不断提高,对于鞍钢集团而言,亟待构筑更可靠的网络安全防线,来应对黑客、病毒、蠕虫等外部威胁,以及员工数据泄露等内部威胁。

据介绍,终端网络准入工作是鞍钢集团2023年推进的一项重点工作,集团的各二级单位,将该项工作列入重点任务清单,旨在对接入网络的终端设备进行实时监测和管理,保证网络安全和信息安全。

面对下属单位较多、网络层级不规范、交换机与要求不符等困难,集团发动各单位迎难而上,明确分工,落实责任,全力推进网络终端准入工作。

鞍钢集团管理与信息化部梁会霞表示,结合集团终端安全面临的威胁和现状,最终确立了五大目标:

第一个目标是实现端口级别的接入管控;

在项目实施之前,任何外来人员或客户只要将计算机插入网线,就可以进入内部网络,进行散播病毒、网络攻击等操作,给集团内网造成极大的风险,因此需要实现端口级别的接入管控来解决以上问题。同时也满足了国家《网络安全法》等政策合规要求。

第二个目标是实现终端基线策略合规性检查与修复;

项目实施前,终端上不能及时更新补丁,以及配置弱口令、开放高危端口等,这些情况均会给攻击者留下入侵机会,攻击者轻松获取低安全基线终端管理权限,从而对高价值目标发起攻击。如何在行政命令手段之外,能通过技术手来段提升内网终端安全软件覆盖率,提升终端策略安全级别,从而更好地抵御入侵,是本次目标之一。

第三个目标是实现不同网络访问权限限制;

实施之前,缺乏基于用户身份的权限管理机制,不同身份的人都可以访问同样的服务器资源,往往导致隐私数据被窃取,泄密事件风险,故需要实现不同网络访问权限限制来解决以上问题。

第四个目标是实现人机对应,实名管理;

实施之前,管理员不能准确掌握人员与终端资产的对应关系,更无法跟踪资产变更情况,例如硬件新增、丢失情况等。因此,集团需要一种方法关联人与终端资产的对应关系,以及对硬件变更准确和实时监控,并及时预警,方便管理部门审计。

第五个目标是全面掌握终端信息资产。

随着鞍钢集团的不断发展,计算机的数目在不断增加,海量终端的资产信息难免出现无法统计的现象,即使是管理部门所获取的资产信息也由于时间的差异无法实时统计。这就导致设备资产情况不清晰,无法做到统一接入安全管理,经常会发生资产信息不全、丢失等情况,更无法建立完善的设备规范化接入管理机制。因此,需要通过一种方法使管理员可以轻松把终端硬件资产信息实现全面的自动收集(如计算机硬件信息、软件程序信息、操作系统配置等),快速统计分析(资产变更自动监控,及时反映企业资产变化状况),快速生成满足各个部门所需要的资产报表。

覆盖数万终端、核心二级单位,实现可防可管可视

针对各单位网络改造牵涉面广、技术复杂、问题排查难度高等不利因素,鞍钢集团管理与信息化部邢立刚组织集团各下属公司,分别建立准入专班团队,和国内领先的网络安全企业奇安信紧密合作,协同各单位全面梳理整改历史遗留问题,累计更换不合要求的网络交换机数百台,并借助准入平台验证功能对整改结果进行全网络合规性验收。

在终端准入建设中,如何将对业务的影响降至最低,实现无感知上线,是该项目最重要的挑战。由于单位分散、终端数量众多,网络终端准入项目在实施过程中,重点考虑了不影响鞍钢集团各职能中心和基层单位的工作业务。对此,集团和奇安信紧密合作,充分利用节假日休息时间加班加点,做到了无感切换,顺利完成约数万台终端的网络终端准入工作,实现全覆盖。

图:鞍钢集团广域网

邢立刚表示,截止目前,鞍钢统一终端网络准入管理系统已部署一级平台及数个二级平台,全面覆盖鞍钢集团下属核心二级单位,几万台终端设备。新的准入系统在安全合规、可管理性、可视化等方面,作了很好的保障。

首先在安全保障方面,统一终端网络准入管理系统通过丰富的设备发现识别及准入控制手段,能够准确发现网络内接入终端,验证接入终端的身份,判断终端与用户的安全与合规,动态控制入网终端及用户的网络访问权限,从而确保整个内网环境的安全。

同时,统一终端网络准入管理系统通过对网内设备进行身份分析、合规检查及流量控制等安全检查或控制,协助集团及时发现网络内各类设备的异常并进行处置,提升内网设备抵抗入侵的能力。

其次在管理方面,统一终端网络准入管理系统使用各类手段强制终端入网时进行实名认证或登记,同时配合设备发现与识别功能对设备信息变更的实时感知,无论设备的IP如何变化,准入系统均能提供准确的设备与使用人关系记录。当监管部门提供特定时间段内的风险IP,通过在准入系统上查找对应时段的认证记录,即可快速定位责任人。

图:统一终端网络准入管理系统可视化运营界面

最后在可视化管理方面,统一终端网络准入管理系统一级平台依托数据可视化技术,使集团内网终端整体安全态势一目了然,威胁和异常清晰可见,还能将平台自有运营的终端病毒情报、终端漏洞情报等终端安全情报库与本地终端上的安全数据结合在一起,进行汇总分析,成为集团终端安全运营和安全分析的重要工具。

助力国产化平滑迁移,持续保障接入安全

据梁会霞介绍,鞍钢集团逐步将终端替换为国产化设备,安全准入系统提供各操作系统及国产化平台下的客户端软件,同时依靠准确识别的设备操作系统,准入系统可准确地向未安装客户端软件的各操作系统终端/信创终端推送对应的客户端安装页面,并通过多种手段准确识别网络中的各终端和信创终端,针对不同终端执行不同入网策略,保障国产化替代过程中的网络接入安全。

展望未来,鞍钢集团还将继续建设终端安全一体化管理平台。准入系统将与终端安全一体化管理平台联动,通过联动可强制内网中的PC机安装客户端。一体化管理解决终端杀毒补丁等安全需求的同时,通过杀毒软件安装、违规外联等基线策略的检查,有效管控内部资源违规访问和泄露等问题,防止违规终端访问核心业务资源,保障入网终端安全可信、合规入网。

不久前,工业和信息化部、国家发展改革委、财政部、自然资源部、生态环境部、商务部、海关总署等七部门近日联合印发《钢铁行业稳增长工作方案》,明确指出要加快推进数字化转型智能化升级,开展钢铁行业数字化转型三年行动,促进钢铁企业数字化、网络化、智能化改造升级,建设一批智能制造示范工厂,打造一批制造业数字化转型标杆,形成一批可复制可推广的典型案例。随着数字化转型、国产化替代等浪潮在钢铁行业的开展,安全成为不可忽视的重要组成部分,鞍钢集团联手奇安信打造的统一终端网络准入管理系统,很好解决了国产化过渡期面临的复杂安全风险、合规准入、统一管控等难题,为同行开辟出了一条值得业界借鉴的道路。