万事开头难，工控安全建设的阻力重重

经过对该企业冷轧厂和热轧厂现场调研，了解到厂方的工控系统管理人员多为电气自动化专业人员，网络安全意识相对比较薄弱。虽然厂方配合调研，但仍坚持认为厂级工控系统与信息网相对隔离，不可能招致黑客攻击和入侵，并对安全整改可能导致的生产系统稳定性问题表示担忧。

同时，该企业下属厂级工控网络系统由厂方自动化部门管理，厂级信息网络以及企业本部的ERP系统由信息部门管理，在企业-分厂的垂直架构中存在信息断层，在本部无法实时了解各分厂工控系统安全状态，且上下协同处置机制缺失，导致对安全事件响应慢、协调流程长、责任落实不明确等现象。在本项目前期，虽然客户信息部门意识到了工控安全防护建设的必要性，但在紧迫性上与各分厂自动化部门尚未达成共识，工控安全建设推进工作陷入了停滞。

2022年底，该新材料企业冷轧厂5台主机出现蓝屏故障，造成操作人员无法监控产线运行情况，不得不暂时中断生产。接到客户请求，澳门永利皇宫官网入口立即响应，并派出安全专家奔赴现场。经过现场调查取证和询问，发现涉事服务器出现并非由用户方人员创建的异常账户，并且该账户相关的日志事件已经被清除。经过深入分析、现场勘验、日志分析、网络抓包、特征比对等一系列措施，澳门永利皇宫官网入口安全专家判断本次故障的直接原因为紫狐rootkit病毒，该病毒寄宿冷轧厂产线主机并通过黑客部署的跳板机横向渗透传播，恶意修改目标主机Windows系统DLL文件，执行网络扫描，导致主机操作系统蓝屏。黑客的一系列攻击包括暴力破解、横向渗透、后门植入、消除行踪等操作。澳门永利皇宫官网入口安全专家随即现场开发专杀脚本并进行应急处置，在清除恶意代码后，产线恢复正常生产。

图：失陷服务器被非法创建后门账号

图：事件分析过程截图

2023年初，热轧厂再次爆发“永恒之蓝”勒索病毒，造成部分产线电脑蓝屏重启，澳门永利皇宫官网入口再次进行了快速响应和处置，经过两次病毒事件，公司的专业能力得到了信息部门和自动化部门的高度认可，两次及时有效的安全手段处理，切实帮助该企业避免因停产而造成的巨大损失。同时客户管理层也深刻意识到问题的严重性和广泛性，决定将本次工控安全建设范围扩大到冷轧厂、热轧厂和固溶厂三个厂区，并要求加快项目进度尽快完成防护措施的部署上线。

由于现实威胁的驱动，以及客户各主管部门的重视，项目进入到了正式实施建设阶段，澳门永利皇宫官网入口一步一脚印，夯实基础，通过技术+服务为某新材料企业构筑工控安全整体防护体系。

在厂级工控安全基础防护层面，通过部署工业防火墙、工业网闸、工控监测审计系统、工控主机卫士等措施，初步建立厂级纵深防护体系，实现威胁检测和处置；并通过部署数据采集探针，实现对厂级的工控网络安全态势数据采集。

图：冷轧厂工控安全防护体系拓扑图

 图：热轧厂工控安全防护体系拓扑图

 图：固溶厂工控安全防护体系拓扑图

在企业本部层面，通过建立安全管理中心，并部署工控安全管理平台、安全运维管理平台实现对冷轧厂、热轧厂、固溶厂3个分厂工控安全资产的统一管控。另外，通过部署工业互联网态势感知平台，对全局工控网络安全态势进行集中呈现，并建立多角色多权限管理组织，实现安全事件监测、处置任务下发、事件处置过程跟踪的全闭环上下协同机制，实现生产网络安全态势一张图，满足联防联控、整体防控的安全需求。

图：公司本部署安全管理中心拓扑图

此外，澳门永利皇宫官网入口在项目实施过程中派驻专业的安全服务专家，对冷轧厂和热轧厂近200台产线主机进行病毒检测和清除服务，消除可能驻留的后门和隐患，为构建工控系统主机安全白名单打下基础，并结合本项目新增的安全防护系统和设备，最终帮助客户建立了一套有效完善的工控安全防护体系。

本次项目针对该新材料企业自身的业务特点，构建各厂站工控系统纵深防御体系，保护关键生产业务系统，解决安全事件多发的问题。在建立厂级工控安全防护体系的基础上，通过在企业本部建设工业互联网态势感知平台，强化安全集中监测能力，实现上下协同，及时响应和处置工控安全事件，形成工控安全整体联防联控能力。

项目完成交付至今，该企业工控系统未再出现计算机病毒感染事件，有效地保障了其生产经营的安全开展，实现各类新型材料的稳定供应，为新质生产力建设打造了“不锈的守护之翼”。该项目成为客户企业内首个工控安全防护建设成功案例，为后续其余分厂乃至集团、各分公司的工控安全防护建设积累良好的经验，并起到良好的试点示范作用。