1、背景介紹

我國經(jīng)過(guò)四十多年的改革開(kāi)放，已躍升為世界汽車(chē)產(chǎn)銷(xiāo)第一大國，汽車(chē)產(chǎn)業(yè)成為國民經(jīng)濟重要的支柱產(chǎn)業(yè)。在“十四五”時(shí)期，加快數字化發(fā)展，打造數字經(jīng)濟新優(yōu)勢，正在成為我國經(jīng)濟增長(cháng)的新引擎，汽車(chē)產(chǎn)業(yè)作為國民經(jīng)濟重要的產(chǎn)業(yè)之一亟需實(shí)現數字化轉型。當下，國內汽車(chē)產(chǎn)業(yè)的數字化探索已經(jīng)進(jìn)入了攻堅期、深水區，伴隨著(zhù)數字化的加速變革，我國汽車(chē)產(chǎn)業(yè)也將面臨前所未有的全價(jià)值鏈重構。因此車(chē)企的數字化轉型成功與否，不僅關(guān)乎企業(yè)自身的生存與發(fā)展，也決定著(zhù)未來(lái)整個(gè)產(chǎn)業(yè)能否實(shí)現高質(zhì)量發(fā)展。智能制造是貫徹落實(shí)《中國制造2025》的戰略部署，是兩化深度融合的主攻方向，也是增強我國制造業(yè)發(fā)展優(yōu)勢的關(guān)鍵所在；大力發(fā)展智能制造是加快制造強國建設步伐、加速推動(dòng)汽車(chē)產(chǎn)業(yè)由規模速度型向質(zhì)量效益型轉變、實(shí)現數字化轉型的重要途徑。

“工業(yè) 4.0”時(shí)代的來(lái)臨、“互聯(lián)網(wǎng)+”的提出、以及“兩化融合”腳步的加快，汽車(chē)制造工業(yè)自動(dòng)化與控制網(wǎng)絡(luò )也向著(zhù)分布式、智能化的方向迅速發(fā)展，越來(lái)越多基于TCP/IP的通信協(xié)議和接口被采用，然而，在工控系統越來(lái)越開(kāi)放的同時(shí)，也同步削弱了控制系統與外界的隔離和安全保護。因此，汽車(chē)制造企業(yè)在享受網(wǎng)絡(luò )互聯(lián)帶來(lái)的種種便利的同時(shí)，也面臨著(zhù)各種各樣的安全威脅，包括病毒、木馬、黑客以及敵對勢力。

2020年6月，本田汽車(chē)發(fā)現遭受工業(yè)型勒索軟件攻擊，被迫關(guān)閉其位于美國、土耳其、印度和南美部分工廠(chǎng)，導致生產(chǎn)停頓、產(chǎn)量下降。部分生產(chǎn)系統中斷，該事件正在影響其全球范圍內的業(yè)務(wù)。

某汽車(chē)制造業(yè)企業(yè)新建工廠(chǎng)都實(shí)現了數字化的部署，但是在生產(chǎn)制造過(guò)程中面臨這運維過(guò)程缺乏有效管控手段、網(wǎng)絡(luò )區域沒(méi)有進(jìn)行有效隔離，移動(dòng)介質(zhì)不恰當使用等問(wèn)題，導致惡意代碼引入病毒在生產(chǎn)制造網(wǎng)絡(luò )中傳播，影響生產(chǎn)過(guò)程中網(wǎng)絡(luò )的質(zhì)量或者導致關(guān)鍵的主機資源不可用，已經(jīng)影響到了數字化車(chē)間正常生產(chǎn)活動(dòng)的進(jìn)行。

2、目標與原則

解決企業(yè)在生產(chǎn)運行中面臨的安全風(fēng)險并滿(mǎn)足國家對企業(yè)工業(yè)企業(yè)網(wǎng)絡(luò )安全的要求。實(shí)現對數字化車(chē)間主要生產(chǎn)工藝過(guò)程沖、焊、涂、總、分揀車(chē)間所面臨網(wǎng)絡(luò )安全風(fēng)險的有效識別，各個(gè)主要車(chē)間生產(chǎn)區域的網(wǎng)絡(luò )有效隔離，生產(chǎn)過(guò)程中有效的運維管理安全事件的快速響應。為了保障實(shí)施的安全、有效，在建設中重點(diǎn)考慮如何的建設原則：

?  “零修改、無(wú)擾動(dòng)”原則：在安全建設的過(guò)程中，不會(huì )對生產(chǎn)控制系統的運行環(huán)境、配置、參數等進(jìn)行修改，保證生產(chǎn)控制系統運行的可靠性、穩定性和實(shí)時(shí)性。

?  “適度安全”原則：沒(méi)有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點(diǎn)。

?  安全性原則：產(chǎn)品設計方案要能夠為汽車(chē)制造（主機廠(chǎng)）的信息安全提供指導、建設方向，必須保證其工控信息資源受控、合法、安全地使用。

?  可靠性原則：產(chǎn)品定制開(kāi)發(fā)應在不影響生產(chǎn)控制系統功能和效率的前提下，做到穩定、可靠地不間斷運行。

?  動(dòng)態(tài)調整原則：網(wǎng)絡(luò )安全問(wèn)題不是靜態(tài)的，它總是隨著(zhù)管理相關(guān)的組織策略、組織架構、信息系統和操作流程的改變而改變，因此必須要跟蹤信息系統的變化情況，調整安全保護措施。

?  可擴展性原則：定制開(kāi)發(fā)的產(chǎn)品必須允許汽車(chē)制造（主機廠(chǎng)）增加新的安全組件與安全功能，必須保證生產(chǎn)控制系統安全性不斷增長(cháng)的需要。

?  標準化原則：生產(chǎn)控制系統安全防護產(chǎn)品的安全規劃、安全建設、安全整改及建設的各個(gè)環(huán)節都必須符合國家關(guān)于信息安全的法律、法規和相關(guān)行業(yè)標準。

?  可管理性原則：生產(chǎn)控制系統安全防護產(chǎn)品必須可管理，做到分布式安全布控，集中式安全管理。

?  經(jīng)濟適用原則，汽車(chē)制造（主機廠(chǎng)）工控安全解決方案的設計要從綜合成本的角度，針對系統的實(shí)際風(fēng)險，提出對應的保護強度，并按照保護強度進(jìn)行安全防護系統的設計和建設，從而有效控制成本，安全、經(jīng)濟和適用的性?xún)r(jià)比合理。

?  統籌規劃、分步實(shí)施的原則：汽車(chē)制造（主機廠(chǎng)）工控安全防護產(chǎn)品的現場(chǎng)實(shí)施將做好統籌規劃工作，制訂總體方案，邊開(kāi)發(fā)、邊服務(wù)的分步實(shí)施方針，避免因防護產(chǎn)品不能有效發(fā)揮作用而影響投資的效益。

?  技術(shù)管理并重原則：網(wǎng)絡(luò )安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為網(wǎng)絡(luò )安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋系統所有的網(wǎng)絡(luò )安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結合起來(lái)，更有效的保障信息系統的整體安全性，形成技術(shù)和管理兩個(gè)部分的解決方案。

?  成熟性原則：本方案設計采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗確實(shí)能夠解決安全問(wèn)題并在很多項目中有成功應用的。

3、案例實(shí)施與應用情況

本次案例中我們將實(shí)現的技術(shù)結構模型進(jìn)行了抽象，劃分為七層，由低到高分別是基礎設施層、安全防護層、數據采集層、數據存儲層、建模分析層、平臺功能層、大屏展示層。

技術(shù)結構模型圖

第一層：基礎設施層是工控集成廠(chǎng)商為汽車(chē)制造企業(yè)構建的重要信息系統，其中涉及到的產(chǎn)品有PLC、交換機、路由器、操作系統、數據庫、中間件和應用系統等軟硬件設備，基礎設施層是確保汽車(chē)制造企業(yè)正常開(kāi)展業(yè)務(wù)工作的基礎；

第二層：安全防護層是在確保系統能夠正常完成業(yè)務(wù)工作的情況下運用多種技術(shù)手段、安全配置和安全產(chǎn)品保障網(wǎng)絡(luò )和系統運行的安全性，包括邊界防護和綜合防護，形成縱深防御體系；

第三層：數據采集層針對系統網(wǎng)絡(luò )中的各個(gè)安全控制節點(diǎn)，分別部署相應的探針，探針用于對各個(gè)安全控制節點(diǎn)的日志、數據、流量等信息進(jìn)行統一收集并上傳；

第四層：數據存儲層將數據采集層中部署的探針所收集到的日志、事件、流量、syslog、snmp等數據統一收集后進(jìn)行數據范式化再進(jìn)行存儲，以此法構建一套當前工控系統網(wǎng)絡(luò )安全的范式化數據庫；

第五層：建模分析層將工控系統網(wǎng)絡(luò )安全范式化數據庫中的各種數據與互聯(lián)網(wǎng)中的威脅情報互相關(guān)聯(lián)并進(jìn)行建模分析，通過(guò)對網(wǎng)絡(luò )、資產(chǎn)、日志、流量、業(yè)務(wù)數據等信息進(jìn)行綜合分析后對當前的網(wǎng)絡(luò )情況進(jìn)行判斷和預警；

第六層：平臺功能層被定義為工控安全預警平臺的人機交互界面，將建模分析層中所發(fā)現的網(wǎng)絡(luò )安全風(fēng)險節點(diǎn)、異常事件、僵尸資產(chǎn)等情況，以圖表的形式統一進(jìn)行展示，提供對平臺不同功能模塊的展示頁(yè)面，便于運維人員更好的查看與分析當前網(wǎng)絡(luò )環(huán)境中的弱點(diǎn)；

第七層：大屏展示層是在平臺功能上的升華，以大屏方式展示平臺功能。

汽車(chē)制造（主機廠(chǎng)）典型網(wǎng)絡(luò )拓撲圖

汽車(chē)制造（主機廠(chǎng)）整體網(wǎng)絡(luò )按照工控系統典型架構模型可以分為五層：分別為現場(chǎng)設備層、現場(chǎng)控制層、過(guò)程監控層、生產(chǎn)管理層和企業(yè)資源層。主要有四大生產(chǎn)車(chē)間：沖壓、焊裝、涂裝、總裝，部分車(chē)間可能存在多條生產(chǎn)線(xiàn)。

邊界防護：

在各生產(chǎn)業(yè)務(wù)系統間冗余部署工控防火墻，實(shí)現區域邊界的邏輯隔離防護和訪(fǎng)問(wèn)控制；在生產(chǎn)網(wǎng)和企業(yè)網(wǎng)之間部署工業(yè)網(wǎng)閘，實(shí)現兩大區域邊界的強邏輯隔離防護和訪(fǎng)問(wèn)控制。通過(guò)自學(xué)習的功能，對于流經(jīng)邊界的通信行為進(jìn)行分析，發(fā)現通信行為之間的關(guān)聯(lián)關(guān)系，形成基于行為上下文的安全管控。

在生產(chǎn)管理區的關(guān)鍵網(wǎng)絡(luò )節點(diǎn)處旁路部署1套工控入侵檢測，對MES系統網(wǎng)絡(luò )中存在的異常威脅、漏洞利用行為、惡意攻擊行為進(jìn)行實(shí)時(shí)檢測。

針對主機和網(wǎng)絡(luò )設備的安全配置缺失問(wèn)題，通過(guò)安全加固服務(wù)對主機和網(wǎng)絡(luò )設備進(jìn)行安全配置的加固工作，此安全加固服務(wù)需在與系統集成廠(chǎng)商核實(shí)相應配置內容后，且在現場(chǎng)有廠(chǎng)商技術(shù)人員的情況下開(kāi)展。防止安全策略實(shí)施后，導致生產(chǎn)業(yè)務(wù)系統的數據無(wú)法正常傳輸。

在生產(chǎn)現場(chǎng)和生產(chǎn)管理系統中的操作員站、工程師站以及通信站、服務(wù)器等工業(yè)主機上部署主機安全衛士客戶(hù)端，在網(wǎng)絡(luò )中部署1臺主機安全衛士服務(wù)器，實(shí)現對工業(yè)主機的安全防護。利用主機安全衛士機器自學(xué)習白名單建模技術(shù)，對工控系統應用程序、進(jìn)程、服務(wù)以及外設接口進(jìn)行管控，以及利用主機加固功能對重要文件、注冊表、進(jìn)程進(jìn)行加固保護，解決工業(yè)主機入侵檢測、惡意代碼防范能力不強的問(wèn)題。

在生產(chǎn)線(xiàn)環(huán)網(wǎng)交換機旁路部署工控安全審計系統（輕量版），在車(chē)間環(huán)網(wǎng)交換機上旁路部署工控安全審計系統，對網(wǎng)絡(luò )內傳輸的流量進(jìn)行字段級的解析，建立協(xié)議基線(xiàn)、流量基線(xiàn)、鏈路基線(xiàn)，對異常操作、非法入侵、惡意代碼執行等行為進(jìn)行事中告警、事后審計。

在生產(chǎn)管理系統的交換機旁路部署1套日志審計系統，實(shí)現對網(wǎng)絡(luò )設備、安全設備、工控設備以及操作系統、數據庫、應用系統的日志信息進(jìn)行集中收集與分析。解決網(wǎng)絡(luò )運行日志、操作系統運行日志、數據庫訪(fǎng)問(wèn)日志、業(yè)務(wù)系統運行日志以及安全設備運行日志等日志信息未進(jìn)行集中收集與分析問(wèn)題。

針對資產(chǎn)漏洞情況未知的問(wèn)題，可以通過(guò)現場(chǎng)安全評估服務(wù)，并借助工控漏洞掃描和工業(yè)網(wǎng)絡(luò )安全合規評估工具，對生產(chǎn)現場(chǎng)和生產(chǎn)管理區的資產(chǎn)進(jìn)行脆弱性和威脅識別，并形成分析報告；也可以通過(guò)在生產(chǎn)管理區部署1套工控漏洞掃描工具和/或1套工業(yè)網(wǎng)絡(luò )安全合規評估工具，定期進(jìn)行脆弱性檢查（對生產(chǎn)現場(chǎng)設備進(jìn)行離線(xiàn)掃描，防止影響業(yè)務(wù)正常運行），包括漏洞、基線(xiàn)配置等，及時(shí)了解系統的薄弱環(huán)節和資產(chǎn)脆弱性，并有針對性地進(jìn)行預防與加固。

劃分出獨立的安全設備管理區域，將生產(chǎn)現場(chǎng)和生產(chǎn)管理系統內的所有安全設備通過(guò)帶外管理口進(jìn)行集中管控，生產(chǎn)現場(chǎng)和生產(chǎn)管理區的邊界部署防火墻進(jìn)行邏輯隔離和訪(fǎng)問(wèn)控制。在生產(chǎn)管理區內設置“安全管理中心”區域，對所有安全設備進(jìn)行集中的系統管理操作、安全審計操作和安全管理操作。

在生產(chǎn)管理區的“安全管理中心”區域內部署運維安全管理系統（堡壘機）1臺，進(jìn)行集中賬號管理、集中登錄認證、集中用戶(hù)授權和集中操作審計。實(shí)現對運維人員的操作行為審計，違規操作、非法訪(fǎng)問(wèn)等行為的有效監督，為事后追溯提供依據。解決廠(chǎng)內運維行為無(wú)法監控問(wèn)題以及訪(fǎng)問(wèn)系統資源、操作記錄的過(guò)程中無(wú)法做到安全審計，導致事后無(wú)法追溯等問(wèn)題。

在生產(chǎn)管理區的“安全管理中心”區域內部署1套安全管理平臺，對安全設備、網(wǎng)絡(luò )設備、主機設備的日志和告警進(jìn)行歸一化采集和關(guān)聯(lián)分析，展現安全態(tài)勢和預警，全面提升安全防護效率和安全管理能力。在生產(chǎn)管理區的“安全管理中心”區域內部署1套工業(yè)安全預警平臺，建立工控安全的態(tài)勢感知和預警檢測。

該方案解決了汽車(chē)制造業(yè)智能工廠(chǎng)所面臨的安全風(fēng)險的感知與防護，為汽車(chē)制造數字化工廠(chǎng)的運行提供有效的安全保障。落地方案中通過(guò)在各個(gè)車(chē)間接入側部署工業(yè)防火墻實(shí)現不同接入區之間的安全隔離，只允許限定的行為可以跨域區域邊界。通過(guò)對汽車(chē)制造主要過(guò)程中通信過(guò)程的監測結合汽車(chē)業(yè)務(wù)工藝過(guò)程關(guān)鍵業(yè)務(wù)通信內容的限定，實(shí)現對生產(chǎn)網(wǎng)絡(luò )中隱匿在通信過(guò)程中的安全威脅進(jìn)行有效感知，通過(guò)聯(lián)動(dòng)不同區域和邊界的安全策略實(shí)現對確定性業(yè)務(wù)過(guò)程的安全管控；通過(guò)主機與管理中心之間的安全聯(lián)動(dòng)，在柔性制造環(huán)節中通過(guò)獲取變更后軟件的關(guān)鍵特征，更好了解決在生產(chǎn)線(xiàn)柔性制造過(guò)程中的動(dòng)態(tài)適配與快速響應；通過(guò)工業(yè)態(tài)勢感知感知平臺對各類(lèi)安全設備數據進(jìn)行安全分析，感知潛在的安全風(fēng)險或者及時(shí)對安全風(fēng)險進(jìn)行處置。

4、應用價(jià)值與效益

合規達標，風(fēng)險可控：滿(mǎn)足國家、行業(yè)法律法規以及政策標準等合規方面的要求，將網(wǎng)絡(luò )安全風(fēng)險降低到可控范圍內。趨勢預警，成果可視：通過(guò)威脅情報和態(tài)勢感知等新技術(shù)達到趨勢預警，網(wǎng)絡(luò )安全成果可在平臺進(jìn)行展示。平穩運行，業(yè)務(wù)可靠：解決方案的部署方式對生產(chǎn)業(yè)務(wù)零影響，保障汽車(chē)制造企業(yè)生產(chǎn)控制系統平穩運行，生產(chǎn)業(yè)務(wù)可靠?？v深防御，安全可信：通過(guò)各類(lèi)安全設備構建電力柵格狀立體縱深防線(xiàn)，實(shí)現汽車(chē)制造企業(yè)生產(chǎn)控制系統網(wǎng)絡(luò )安全的縱深防御、綜合防護，設備之間協(xié)同聯(lián)動(dòng)、安全可信。