1、背景介紹

海爾智家以工業(yè)互聯(lián)網(wǎng)為基礎支撐，應用于設計、生產(chǎn)、制造、管理、服務(wù)等諸多環(huán)節，具有高效精準決策、實(shí)時(shí)動(dòng)態(tài)優(yōu)化、敏捷靈活響應等特征。海爾智家的工業(yè)互聯(lián)網(wǎng)依托“人/機/物”的互聯(lián)互通，打通產(chǎn)業(yè)要素、產(chǎn)業(yè)鏈和價(jià)值鏈，推動(dòng)建立工業(yè)生產(chǎn)制造與服務(wù)新體系，奠定了全新工業(yè)生態(tài)和新型應用模式的關(guān)鍵基礎。當前海爾智家的智能制造、工業(yè)互聯(lián)網(wǎng)的實(shí)質(zhì)均是數據驅動(dòng)的智能化，二者融合發(fā)展相得益彰。當前形成以網(wǎng)絡(luò )互聯(lián)為基礎、以工業(yè)互聯(lián)網(wǎng)平臺為核心的信息制造體系，打造了制造業(yè)新生態(tài)，對我國制造業(yè)發(fā)展產(chǎn)生了深遠的影響。

工業(yè)控制系統網(wǎng)絡(luò )技術(shù)的發(fā)展雖然為海爾智家的發(fā)展以及智慧工廠(chǎng)的推行提供了便利，但同時(shí)須面對工業(yè)控制系統安全的嚴峻挑戰。與傳統的基于TCP/IP協(xié)議的傳統網(wǎng)絡(luò )信息系統的安全不同，工業(yè)基礎設施中關(guān)鍵ICS的安全事件會(huì )導致系統性能下降，影響系統可用性、關(guān)鍵控制數據被篡改或丟失、失去控制、環(huán)境災難、人員傷亡、公司聲譽(yù)受損、危及公眾生活及國家安全等危害。

近年來(lái)，智能制造行業(yè)工業(yè)生產(chǎn)系統網(wǎng)絡(luò )安全事件頻發(fā)，大多數工業(yè)安全事件是以生產(chǎn)車(chē)間現場(chǎng)的工業(yè)主機為主要突破口，其中最為典型的就是 WannaCry勒索病毒攻擊事件，2017年“永恒之藍”勒索病毒攻擊事件在全球爆發(fā)，大量的工業(yè)現場(chǎng)主機受到感染，導致工業(yè)主機頻繁出現藍屏死機、文件加密、產(chǎn)線(xiàn)被迫停產(chǎn)等問(wèn)題。因此海爾智家智慧工廠(chǎng)在進(jìn)行安全建設的過(guò)程中，需重點(diǎn)實(shí)現對海爾智家生產(chǎn)車(chē)間的主機進(jìn)行安全防護，打造基于主機安全、設備安全、網(wǎng)絡(luò )安全、數據安全的多層次縱深防御體系，形成工業(yè)企業(yè)安全防護服務(wù)能力。

2、目標與原則

（1）項目建設目標

目標一：搭建工業(yè)主機安全防護體系，部署7000點(diǎn)+工業(yè)白名單軟件

?  工業(yè)主機衛士采用的“白名單+”防護技術(shù)結合惡意文件檢查，能夠有效抵御病毒、木馬、惡意軟件、0-day攻擊等對工控網(wǎng)絡(luò )工作站、服務(wù)器的攻擊與破壞行為。并基于工業(yè)環(huán)境中主機特點(diǎn)進(jìn)行適配和兼容，真正幫助企業(yè)在保證穩定生產(chǎn)的同時(shí)發(fā)現工控網(wǎng)絡(luò )攻擊，減少蠕蟲(chóng)、木馬病毒的攻擊，特別是防止勒索病毒、挖礦病毒的攻擊；

?  工業(yè)主機衛士的主機加固功能，提高系統訪(fǎng)問(wèn)權限，保障數據正常流向，增強操作系統的免疫能力；對外能夠加強對USB存儲/非USB存儲的管控，防止外設帶毒引發(fā)主機中毒危險，提升工業(yè)生產(chǎn)網(wǎng)安全運維。

?  工業(yè)主機衛士白名單策略只允許可信的白名單程序可運行，從源頭上阻止惡意文件的執行和擴散，提升工業(yè)主機的安全穩定運行能力；

?  工業(yè)衛士軟件采用輕量的白名單機制對主機進(jìn)行防護，系統資源占用少，安裝部署后對工控系統零影響，無(wú)需重啟系統。并且支持在不影響使用的情況下對工控軟件的安裝和升級。

目標二：實(shí)現工業(yè)信息安全平臺化管理，部署2級管理平臺聯(lián)動(dòng)體系

?  管理平臺對主機防護軟件的實(shí)時(shí)狀態(tài)、配置下發(fā)歷史、資源消耗、及安全事件統一管理，保障多層級工業(yè)網(wǎng)絡(luò )拓撲的實(shí)時(shí)數據展示，隨時(shí)掌握生產(chǎn)主機的運行情況；

?  管理平臺可實(shí)現單點(diǎn)防護軟件遠程管理，在管理中心可實(shí)現對主機防護全部功能配置下發(fā)，提高安全運維人員工作效率；

?  實(shí)時(shí)掌握生產(chǎn)網(wǎng)絡(luò )安全態(tài)勢，幫助用戶(hù)呈現整體區域資產(chǎn)網(wǎng)絡(luò )拓撲，實(shí)時(shí)掌握企業(yè)安全態(tài)勢，發(fā)生威脅攻擊事件可及時(shí)響應處理；

?  通過(guò)監管平臺實(shí)現自動(dòng)灰過(guò)白，保證工業(yè)主機衛士的白名單的可信性，防止惡意程序偽裝成白名單進(jìn)程，從而破壞主機的正常運轉。

?  通過(guò)中心級與園區級平臺的聯(lián)動(dòng)，可對終端進(jìn)行手工或自動(dòng)創(chuàng )建分組，并將相應的終端加入相應分組，組內管理相對應的終端，中心級平臺可對地區級平臺實(shí)現異地管控?？蓪@區二級安全管理平臺下發(fā)策略，區級安全管理平臺對終端下發(fā)同步策略，實(shí)現工業(yè)主機衛士的多級管理聯(lián)動(dòng)管理。

?  管理平臺可通過(guò)syslog日志進(jìn)行安全日志的轉發(fā)，并可以與未來(lái)的態(tài)勢感知平臺進(jìn)行無(wú)縫對接。

目標三：滿(mǎn)足法律法規要求，逐步完善工控安全防護體系

?  項目建設完成后可滿(mǎn)足等級保護要求構建“一個(gè)中心，三重防護“為網(wǎng)絡(luò )安全技術(shù)設計的總體思路，對安全計算環(huán)境、安全區域邊界、安全通信網(wǎng)絡(luò )進(jìn)行統一管理，同時(shí)滿(mǎn)足未來(lái)監管部門(mén)在信息安全層面上的硬性要求。

?  補充完善部分智慧工廠(chǎng)安全防護技術(shù)措施，所部署產(chǎn)品包括工業(yè)防火墻、工業(yè)網(wǎng)絡(luò )審計、日志審計系統、工業(yè)堡壘機等；

?  管理平臺可對邊界安全防護設備、安全審計設備進(jìn)行統一管控和策略下發(fā)，建立并持續完善生產(chǎn)廠(chǎng)區工控系統安全防護體系。

（2）項目建設原則

對于工控系統信息安全建設，應當以適度安全為核心，以重點(diǎn)保護為原則，從業(yè)務(wù)的角度出發(fā)，重點(diǎn)保護重要的業(yè)務(wù)系統，在方案設計中應當遵循以下的原則：

?  重點(diǎn)保護原則

根據信息系統的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護等級的信息系統，實(shí)現不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統。

?  適度安全原則

任何信息系統都不能做到絕對的安全，過(guò)多的安全要求必將造成易用性降低和運行的復雜性，因此要在安全需求、安全風(fēng)險和易用性之間進(jìn)行平衡和折中。

?  風(fēng)險管理原則

進(jìn)行安全風(fēng)險管理，確認可能影響信息系統的安全風(fēng)險，正確的識別風(fēng)險、合理的管理風(fēng)險，并讓信息系統的安全風(fēng)險降低到可以接受的水平以?xún)取?/p>

?  分權制衡原則

在信息系統中，對所有權限應該進(jìn)行適當地劃分，使每個(gè)授權主體只能擁有其中的一部分權限，使他們之間相互制約、相互監督，共同保證信息系統的安全。

?  標準化原則

在方案設計和設備選型方面必須遵循國家以及行業(yè)內的相關(guān)標準，并充分考慮不同產(chǎn)品之間的兼容性。

?  統一安全管理原則

在方案設計中主機、網(wǎng)絡(luò )設備、安全設備、應用系統、數據庫等必須遵循統一安全管理的要求。

3、案例實(shí)施與應用情況

（1）項目規劃

基于海爾智家下屬園區企業(yè)的工業(yè)網(wǎng)絡(luò )安全防護需求，依靠工業(yè)信息安全保障建設框架，建設網(wǎng)絡(luò )安全縱深防御體系框架，打造工業(yè)企業(yè)安全運營(yíng)與管理平臺，提升工業(yè)企業(yè)安全與運營(yíng)管理能力，構建多層次一體化工業(yè)網(wǎng)絡(luò )安全防御能力，為工業(yè)企業(yè)的數字化轉型升級提供保障?；谡w安全建設規劃，在當前階段主要優(yōu)先考慮到要針對工業(yè)主機進(jìn)行系統化的安全防護建設，工業(yè)主機做為連接信息世界和物理世界的“橋梁”，做好工業(yè)主機的安全防護和控制是保障工業(yè)互聯(lián)網(wǎng)安全的核心。一旦工業(yè)主機遭受攻擊和破壞，必然會(huì )導致企業(yè)經(jīng)營(yíng)的損失。從工業(yè)企業(yè)現狀來(lái)看，工業(yè)主機主要面臨勒索病毒攻擊、漏洞利用攻擊和外設引入病毒等潛在安全威脅。工業(yè)主機大多數采用 Windows 系統，存在大量的系統漏洞，且無(wú)漏洞補丁可打，工業(yè)主機存在很多的脆弱性風(fēng)險，在眾多的終端安全防護問(wèn)題中，USB 等外設設備濫用的問(wèn)題特別突出，容易遭受病毒攻擊，所以有必要優(yōu)先建立一套完善的主機防護系統。

（2）實(shí)施與應用的詳細情況

該案例至目前為止已覆蓋海爾智家冰箱、洗滌、空氣、熱水器、廚電五大產(chǎn)業(yè)17個(gè)園區52家工廠(chǎng)，涉及產(chǎn)品包括工業(yè)防火墻、工業(yè)網(wǎng)絡(luò )審計、日志審計系統、工業(yè)堡壘機、工業(yè)態(tài)勢感知、統一安全監管平臺等軟硬件一體化設備若干及工業(yè)主機衛士軟件7000+點(diǎn)，生產(chǎn)網(wǎng)絡(luò )中工業(yè)主機基本使用Windows操作系統，還有部分Linux系統，存在大量安全隱患。針對工控安全環(huán)境下的主機安全及等級保護需求，需要針對工業(yè)環(huán)境下的工控主機進(jìn)行安全防護和主機加固，搭建基于工控系統主機的入侵防護機制，提升主機安全防護水平，鑒于工控主機資源配置低、操作系統版本參差不齊，主機防護軟件采用基于“工業(yè)白名單技術(shù)”的工業(yè)主機衛士軟件進(jìn)行安全防護，具備病毒阻止、木馬阻止、惡意程序防護、未授權的應用程序和服務(wù)阻止，能夠及時(shí)識別惡意病毒并告警。此外，需要集成自適應分析學(xué)習功能，通過(guò)控制行為邏輯安全性判斷、分布式邏輯行為的綜合分析等，實(shí)現異?？刂瞥绦?、指令等實(shí)時(shí)分析反饋。

針對工業(yè)現場(chǎng)上位機和服務(wù)器進(jìn)行主機安全監控和加固，集成文件、目錄、注冊表、進(jìn)程、服務(wù)、用戶(hù)、外設多種類(lèi)型的訪(fǎng)問(wèn)控制和防護手段，能確保在工業(yè)環(huán)境下業(yè)務(wù)安全穩定地運行，避免外部安全威脅和非法人員操作，有效地阻斷黑客入侵、敏感信息泄漏等多種安全威脅，將傳統操作系統升級為安全操作系統，彌補了傳統信息安全防護手段的缺陷，為工業(yè)環(huán)境及行業(yè)提供一套完整的主機安全防護和加固方案。

部署示意圖

在每個(gè)園區分廠(chǎng)的工控機上部署工業(yè)主機衛士軟件，防止惡意程序啟動(dòng)。提供完全適用于工業(yè)互聯(lián)網(wǎng)絡(luò )環(huán)境的專(zhuān)業(yè)主機安全防護，能有效防護IT網(wǎng)絡(luò )病毒和工控病毒如勒索病毒、“震網(wǎng)”病毒，控制不明程序、移動(dòng)存儲介質(zhì)和網(wǎng)絡(luò )通信的濫用，有效提高工控網(wǎng)絡(luò )的綜合“免疫”能力。工業(yè)工業(yè)主機衛士軟件部署在工控內網(wǎng)Windows工作站或服務(wù)器，配合安全管理中心監管平臺可進(jìn)行多節點(diǎn)下發(fā)策略、實(shí)時(shí)告警、日志匯總和統一管理。所有工業(yè)主機衛士軟件通過(guò)網(wǎng)絡(luò )連接到統一管理平臺，管理員可對所有工業(yè)主機衛士軟件客戶(hù)端下發(fā)規則和策略，并進(jìn)行日志分析統計。

（3）案例創(chuàng )新性

功能亮點(diǎn)

?   代理模式：此特色功能代理模式，工業(yè)衛士支持通過(guò)代理模式進(jìn)行管理，滿(mǎn)足多個(gè)隔離網(wǎng)絡(luò )的集中配置管理，可在隔離網(wǎng)絡(luò )中進(jìn)行單向數據接收。能夠解決海爾生產(chǎn)現場(chǎng)測試發(fā)現的工廠(chǎng)主機網(wǎng)絡(luò )受限情況，通過(guò)其他廠(chǎng)區內其他未受限主機外聯(lián)至管理平臺，實(shí)現平臺對受限主機的納管，保障平臺對所有主機的納管能力。

?   白名單追蹤：此功能能夠減少運維人員后期維護的工作量，并提高工業(yè)主機運行穩定性。對于白名單內的程序如有更新升級或釋放腳本，可對升級、新產(chǎn)生的文件自動(dòng)追蹤加入白名單，避免了生產(chǎn)現場(chǎng)程序出錯與反復多次掃描添加白名單。

?   安全基線(xiàn)檢查與加固：此功能應國家等保三級標準要求，可對主機安全進(jìn)行加固，提升了工業(yè)主機的安全防護能力，檢查工控主機操作系統的安全配置是否合規，能否達到預期的網(wǎng)絡(luò )安全基本要求。

?   管理平臺跳轉主機衛士：此功能支持通過(guò)監管平臺可遠程跳轉至對應主機的衛士界面，便于遠程調整安全配置，避免安全運維管理人員頻繁生產(chǎn)車(chē)間走動(dòng)現場(chǎng)調試，提高了后期運維效率。

?   工業(yè)組態(tài)管理：此功能通過(guò)工業(yè)主機作為探針，能夠自動(dòng)獲取終端上的組態(tài)信息，并上傳到管理平臺，實(shí)現對PLC等控制設備的監控和管理，便于海爾智家對PLC等設備的統一信息收納與匯總。

性能亮點(diǎn)

?   資源占用低、部署不重啟：工業(yè)衛士軟件采用輕量的白名單機制對主機進(jìn)行防護，系統資源占用少，安裝部署后對工控系統零影響，無(wú)需重啟系統。支持在不影響使用的情況下對工控軟件的安裝和后臺升級，能夠適應海爾生產(chǎn)現場(chǎng)部分工業(yè)終端的配置較低的情況。

?   操作系統、工業(yè)軟件兼容廣：工業(yè)衛士收集大量工控現場(chǎng)使用的不同操作系統及常見(jiàn)工控軟件，配置內置白名單庫。其中操作系統包括Win sever 2008、Win sever 2012、Win sever 2018、Win2000、Win XP、Win 7、Win10、Linux、Unix、銀河麒麟、麒麟信安、統信、凝思等；適配工控系統軟件包括西門(mén)子WINCC、施耐德Intouch/Citech、GE Ifix/Cimplcity、羅克韋爾Rsview、北京亞控Kingview、力控Forcecontrol等國內外主流工控廠(chǎng)商工業(yè)應用軟件。能夠保障衛士與工控軟件及操作系統良好的兼容性，對海爾生產(chǎn)制造業(yè)務(wù)零影響。

運維亮點(diǎn)

?   多重管理方式：針對工控主機操作系統老舊，界面和鼠標操作困難，以及主機鎖在玻璃柜中，主機位置特殊，觸摸屏不易操作等問(wèn)題。工業(yè)衛士支持遠程web界面登陸且功能界面完全一致，能方便用戶(hù)實(shí)時(shí)遠程設置白名單、查看審計事件、配置主機加固策略、進(jìn)行用戶(hù)管理等。對于多主機的集群部署，還可通過(guò)監管平臺進(jìn)行遠程運維管理。

?   多集群高可靠：可通過(guò)監管平臺對工業(yè)衛士進(jìn)行遠程運維管理，且兼容冗余雙環(huán)網(wǎng)結構，工業(yè)衛士支持雙鏈路主備模式和多集群模式，工業(yè)衛士支持向兩個(gè)集群地址發(fā)送數據，向三個(gè)日志服務(wù)器發(fā)送日志，充分保證數據備份與安全。

（4）交付過(guò)程中典型技術(shù)問(wèn)題及解決思路

?   更新MES系統不可用

現場(chǎng)情況：采用的MES系統，經(jīng)常會(huì )通過(guò)內部網(wǎng)絡(luò )向工業(yè)主機傳送新的文件程序，在交付工業(yè)衛士時(shí)發(fā)現，啟動(dòng)白名單后會(huì )導致其MES更新失敗導致不可使用，但客戶(hù)又需要將MES程序納入白名單進(jìn)行防護。

解決思路：通過(guò)對MES程序下發(fā)定位分析，其更新程序是通過(guò)推送傳輸至工業(yè)主機，非程序主動(dòng)釋放的組件，所以工業(yè)衛士的白名單自動(dòng)跟蹤功能無(wú)法跟蹤，通過(guò)工業(yè)衛士的目錄白名單解決這一問(wèn)題，將MES系統更新文件路徑目錄追加為目錄白名單，其余任采用文件白名單，能夠保證在整體白名單防護的情況下MES系統更新文件的識別，不影響MES系統更新。

?   在防護模式下攔截MTT集線(xiàn)器，導致觸摸不可用

現場(chǎng)情況：在防護模式下攔截MTT集線(xiàn)器，導致觸摸不可用，該外設較特殊，無(wú)法被自動(dòng)掃描到，須手動(dòng)對相關(guān)主機MTT集線(xiàn)器加入外設白名單。

解決思路：手動(dòng)重啟主機并掃描每臺含有MTT集線(xiàn)器設備，確保外設已加白名單。

4、應用價(jià)值與效益

（1）工業(yè)主機安全防護能力大幅提升

實(shí)現對工業(yè)主機的威脅分析和預警，能夠有效抵御勒索病毒、蠕蟲(chóng)病毒、木馬、惡意軟件、0-day攻擊等對工控網(wǎng)絡(luò )主機的攻擊與破壞行為，自目前為止累計7700+個(gè)病毒文件被清除，主要樣本為tasksche、svchost、mssecsvr、mssecsvc等木馬、勒索類(lèi)病毒等?；诠I(yè)環(huán)境中主機特點(diǎn)進(jìn)行適配和兼容，幫助企業(yè)在保證穩定生產(chǎn)的同時(shí)發(fā)現工控網(wǎng)絡(luò )攻擊。同時(shí)提高系統訪(fǎng)問(wèn)權限，保障數據正常流向，增強操作系統的免疫能力；對外能夠加強對 USB 存儲/非 USB 存儲的管控，防止外設帶毒引發(fā)主機中毒危險，提升工業(yè)生產(chǎn)網(wǎng)安全運維，實(shí)現工業(yè)主機從啟動(dòng)、加載、運行等過(guò)程全生命周期的安全防護。

（2）滿(mǎn)足法律法規要求，逐步完善工控安全防護體系

部分智慧工廠(chǎng)可滿(mǎn)足等級保護“一個(gè)中心，三重防護”相關(guān)要求，補充完善部分智慧工廠(chǎng)安全防護技術(shù)措施，管理平臺已實(shí)現對邊界安全防護設備、安全審計設備進(jìn)行統一管控和策略下發(fā)，建立并持續完善生產(chǎn)廠(chǎng)區工控系統安全防護體系。