智能制造是貫徹落實(shí)《中國制造2025》的戰(zhàn)略部署，是兩化深度融合的主攻方向，也是增強(qiáng)我國制造業(yè)發(fā)展優(yōu)勢的關(guān)鍵所在；大力發(fā)展智能制造是加快制造強(qiáng)國建設(shè)步伐、加速推動汽車產(chǎn)業(yè)由規(guī)模速度型向質(zhì)量效益型轉(zhuǎn)變、實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型的重要途徑。

02安全風(fēng)險

在汽車制造企業(yè)進(jìn)行數(shù)字化、智能化轉(zhuǎn)型過程中，工業(yè)現(xiàn)場將部署大量的智能機(jī)器人、智能裝置、IoT設(shè)備，幫助企業(yè)解決目前面臨的成本高、效率低、客戶個性化定制要求不斷提高等問題，同時也為企業(yè)的制造過程帶來了安全風(fēng)險，主要體現(xiàn)在以下幾個方面：

在汽車制造企業(yè)未做整體工業(yè)安全防護(hù)建設(shè)前，很少去考慮工業(yè)控制網(wǎng)、工業(yè)管理網(wǎng)絡(luò)的橫向和縱向網(wǎng)絡(luò)邊界防護(hù)，極容易引起網(wǎng)絡(luò)安全風(fēng)險外溢，影響相鄰網(wǎng)絡(luò)，甚至影響生產(chǎn)控制系統(tǒng)的連續(xù)穩(wěn)定運(yùn)行。而且在數(shù)字化轉(zhuǎn)型過程中會打通研發(fā)、生產(chǎn)和管理，建設(shè)智能制造管理平臺，形成一個互聯(lián)互通的智能工廠，工業(yè)網(wǎng)絡(luò)邊界的防護(hù)就變得非常重要。

汽車制造生產(chǎn)控制系統(tǒng)缺少威脅入侵檢測以及異常行為、網(wǎng)絡(luò)運(yùn)行狀態(tài)監(jiān)測手段。對生產(chǎn)網(wǎng)絡(luò)中存在的威脅行為、漏洞利用行為、誤操作、違規(guī)操作以及關(guān)鍵動作，不能實(shí)時感知。

在工業(yè)網(wǎng)絡(luò)中工業(yè)主機(jī)常用來搭載工控系統(tǒng)的上位機(jī)軟件，由于殺毒軟件可能對工控軟件的一些程序或腳本存在誤報誤殺的情況（不含工控廠家認(rèn)證過的殺毒軟件），工控軟件對常用的殺毒軟件比較排斥，導(dǎo)致普遍惡意代碼防范能力弱，工業(yè)主機(jī)變成了僵木蠕病毒的“樂園”。此外，還存在操作系統(tǒng)版本老、漏洞多、基線弱等問題以及存儲介質(zhì)亂插現(xiàn)象。

汽車制造的現(xiàn)場設(shè)備、控制軟件等軟硬件產(chǎn)品專業(yè)性強(qiáng)，通常需要專業(yè)維護(hù)人員通過向日葵、VNC、TeamViewer等互聯(lián)網(wǎng)工具進(jìn)行遠(yuǎn)程運(yùn)維，但運(yùn)維過程無任何管控措施，出現(xiàn)問題無法定位、追責(zé)。

部分員工在工作過程中通常會將一些生產(chǎn)報表、財務(wù)報表、檢測結(jié)果等電子版文件通過微信、QQ等軟件上交或轉(zhuǎn)發(fā)，在方便文件傳輸?shù)耐瑫r也帶來了數(shù)據(jù)泄露的風(fēng)險，無論是被不法網(wǎng)絡(luò)技術(shù)人員截取，還是內(nèi)部人員的不經(jīng)意的轉(zhuǎn)發(fā)，或者是存儲文件的U盤不小心丟失，都有很大可能性導(dǎo)致不良影響。還缺少相關(guān)的數(shù)據(jù)審計(jì)措施，無法對用戶的惡意操作、資源濫用和敏感數(shù)據(jù)泄露等違規(guī)行為進(jìn)行審計(jì)、定位、溯源。

汽車制造現(xiàn)場環(huán)境惡劣、復(fù)雜，相關(guān)人員只有生產(chǎn)安全意識，并無網(wǎng)絡(luò)安全意識，而且網(wǎng)絡(luò)安全組織、崗位、人員、職責(zé)、制度等普遍缺失或不成體系。

03解決方案

在《國家智能制造標(biāo)準(zhǔn)體系建設(shè)指南(2021版) 》、等級保護(hù)、關(guān)基保護(hù)條例等政策、標(biāo)準(zhǔn)的指引下，綠盟科技綜合考慮汽車制造過程實(shí)際面臨的工業(yè)網(wǎng)絡(luò)安全風(fēng)險，推出綠盟汽車智能制造安全解決方案：從組織管理、安全技術(shù)兩大維度進(jìn)行體系化建設(shè)，構(gòu)建汽車制造安全綜合防御體系，提升縱深防御、監(jiān)測預(yù)警和應(yīng)急響應(yīng)能力；通過常態(tài)化運(yùn)營，形成分析預(yù)測、威脅防護(hù)、持續(xù)監(jiān)測、響應(yīng)處置的閉環(huán)體系。

整體安全技術(shù)架構(gòu)設(shè)計(jì)如下：

圖 1 汽車智能制造整體安全技術(shù)架構(gòu)設(shè)計(jì)圖

注：本文以汽車整車制造廠為例，著重于介紹工業(yè)生產(chǎn)相關(guān)網(wǎng)絡(luò)的安全防護(hù)，其他系統(tǒng)不做重點(diǎn)描述。

按照縱向分域、橫向分區(qū)的原則進(jìn)行區(qū)域劃分，在原有架構(gòu)基礎(chǔ)上新建一個獨(dú)立的安全管理區(qū)，對分布在網(wǎng)絡(luò)中的安全設(shè)備進(jìn)行集中管控。

在安全管理區(qū)部署工控漏掃和配置核查工具，通過安全評估服務(wù)，借助這兩款設(shè)備對沖壓、焊接、涂裝、總裝、MES、APS、LES等業(yè)務(wù)系統(tǒng)，進(jìn)行資產(chǎn)識別、脆弱性識別和威脅識別。從而建立全面的資產(chǎn)清單、威脅清單和脆弱性清單，形成整改建設(shè)依據(jù)。并且定期進(jìn)行健康檢查，包括漏洞、安全配置等，及時了解汽車制造企業(yè)生產(chǎn)網(wǎng)絡(luò)的薄弱環(huán)節(jié)，進(jìn)行針對性的預(yù)防與加固。

企業(yè)整體網(wǎng)絡(luò)分為管理網(wǎng)和生產(chǎn)網(wǎng)，在企業(yè)管理域與制造執(zhí)行域之間部署冗余的工業(yè)網(wǎng)閘，對工業(yè)協(xié)議報文拆包、內(nèi)容剝離、安全過濾、單向傳輸、協(xié)議重組等，保障只有生產(chǎn)數(shù)據(jù)從生產(chǎn)網(wǎng)傳輸?shù)焦芾砭W(wǎng)，禁止管理網(wǎng)違規(guī)訪問生產(chǎn)網(wǎng)，實(shí)現(xiàn)生產(chǎn)網(wǎng)與管理網(wǎng)之間的大邊界安全防護(hù)。

整車制造廠一般有沖壓、焊接、涂裝和總裝四個車間，在各生產(chǎn)車間的網(wǎng)絡(luò)出口處部署冗余的工業(yè)防火墻，實(shí)現(xiàn)對各生產(chǎn)車間之間的橫向邊界防護(hù)和與制造執(zhí)行層的縱向邊界防護(hù)，并對工業(yè)通訊協(xié)議進(jìn)行深度解析，對途經(jīng)防火墻的工業(yè)協(xié)議字段與數(shù)據(jù)值進(jìn)行檢查。

各生產(chǎn)車間內(nèi)部網(wǎng)絡(luò)分為有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)，在有線網(wǎng)和無線網(wǎng)的網(wǎng)絡(luò)出口處分別部署工業(yè)防火墻，實(shí)現(xiàn)對車間內(nèi)部的橫向邊界防護(hù)，生產(chǎn)管理層與企業(yè)管理層之間部署冗余的工業(yè)防火墻，并對工業(yè)通訊協(xié)議進(jìn)行深度解析，對途經(jīng)防火墻的工業(yè)協(xié)議字段與數(shù)據(jù)值進(jìn)行檢查。

企業(yè)管理域劃分出辦公接入?yún)^(qū)、服務(wù)器管控區(qū)和安全管理區(qū)，其中在安全管理區(qū)的邊界處部署防火墻，在保障安全管理區(qū)邊界安全的前提下，通過配置策略放行安全產(chǎn)品所需的通訊連接；在服務(wù)器管控區(qū)的邊界處部署WAF，實(shí)現(xiàn)對WEB應(yīng)用服務(wù)器的防護(hù)。

企業(yè)網(wǎng)絡(luò)通過運(yùn)營商專線與集團(tuán)公司進(jìn)行數(shù)據(jù)傳輸和業(yè)務(wù)交互，在邊界處部署防火墻，實(shí)現(xiàn)邊界防護(hù)和訪問限制。

在生產(chǎn)管理層和過程監(jiān)控層的核心旁路部署工業(yè)入侵檢測，對汽車制造生產(chǎn)網(wǎng)絡(luò)中存在的異常威脅、漏洞利用行為、惡意攻擊進(jìn)行實(shí)時檢測。

在各車間旁路部署工控安全審計(jì)，對流經(jīng)各車間生產(chǎn)控制系統(tǒng)的網(wǎng)絡(luò)流量進(jìn)行審計(jì)。對上位機(jī)與下位機(jī)之間的工業(yè)協(xié)議識別，并進(jìn)行深度解析，對違規(guī)操作、誤操作以及關(guān)鍵操作（如下載、上傳、組態(tài)變更以及CPU啟停）等進(jìn)行監(jiān)測，實(shí)時了解生產(chǎn)網(wǎng)絡(luò)的安全狀態(tài)，為事后追溯、定位提供證據(jù)。

在安全管理區(qū)部署主機(jī)衛(wèi)士服務(wù)器，在工業(yè)主機(jī)上部署主機(jī)衛(wèi)士系統(tǒng)客戶端，通過應(yīng)用白名單、USB管控等技術(shù)實(shí)現(xiàn)對工業(yè)主機(jī)的安全防護(hù)，增強(qiáng)未知威脅防范能力。

在安全管理區(qū)部署殺毒軟件服務(wù)器，在非工業(yè)主機(jī)上部署殺毒軟件客戶端，實(shí)現(xiàn)對非工業(yè)主機(jī)的惡意代碼防護(hù)。

在安全管理區(qū)部署數(shù)據(jù)庫審計(jì)設(shè)備，建立數(shù)據(jù)庫操作的風(fēng)險特征與審計(jì)行為的映射規(guī)則，對常見的工業(yè)實(shí)時數(shù)據(jù)庫以及關(guān)系型數(shù)據(jù)庫進(jìn)行審計(jì)。

在企業(yè)管理域的核心旁路部署數(shù)據(jù)防泄露，對出口流量進(jìn)行內(nèi)容審計(jì)，實(shí)現(xiàn)數(shù)據(jù)敏感信息識別、網(wǎng)絡(luò)數(shù)據(jù)泄漏監(jiān)控預(yù)警、事件審計(jì)及業(yè)務(wù)分析，防止通信網(wǎng)絡(luò)中傳輸、存儲、處理的數(shù)據(jù)信息丟失、泄露或者被篡改、刪除。

在安全管理區(qū)部署運(yùn)維堡壘機(jī)，通過在防火墻上設(shè)置ACL訪問策略或其他技術(shù)手段保障運(yùn)維數(shù)據(jù)流只能經(jīng)過堡壘機(jī)到達(dá)運(yùn)維資源，對運(yùn)維過程進(jìn)行錄屏、鍵盤記錄，并進(jìn)行審計(jì)，保障遠(yuǎn)程運(yùn)維安全。

在安全管理區(qū)部署廠級工業(yè)態(tài)勢感知平臺，對部署的安全、網(wǎng)絡(luò)以及關(guān)鍵業(yè)務(wù)系統(tǒng)進(jìn)行操作日志、運(yùn)行日志以及告警日志的集中采集、泛化和關(guān)聯(lián)分析，并從整體視角進(jìn)行實(shí)時感知、事件分析、研判等，提升企業(yè)整體安全防護(hù)預(yù)警水平。

通過級聯(lián)部署方式，在集團(tuán)管理域部署集團(tuán)級工業(yè)態(tài)勢感知平臺，集中收集各個分廠的工業(yè)網(wǎng)絡(luò)安全態(tài)勢，實(shí)現(xiàn)統(tǒng)一的態(tài)勢感知、趨勢預(yù)警。

首先，進(jìn)行組織治理。明確網(wǎng)絡(luò)安全負(fù)責(zé)人和管理組織，企業(yè)主要負(fù)責(zé)人是網(wǎng)絡(luò)安全的第一責(zé)任人，明確關(guān)鍵崗位和職責(zé)，關(guān)鍵崗位人員簽署網(wǎng)絡(luò)安全責(zé)任書等。

其次，進(jìn)行管理制度建設(shè)。主要從四個層級進(jìn)行建設(shè)，包括：

① 一級文件：網(wǎng)絡(luò)安全方針、戰(zhàn)略等綱領(lǐng)性文件；

② 二級文件：網(wǎng)絡(luò)安全管理規(guī)定、辦法等規(guī)范性文件；

③ 三級文件：操作流程、規(guī)范、作業(yè)指導(dǎo)書、模板等指導(dǎo)性文件；

④ 四級文件：各類表單、記錄日志、報告等記錄類文件。

最后，對這些制度文件進(jìn)行評審、修訂、發(fā)布、執(zhí)行等管理，并定期根據(jù)國家、行業(yè)和企業(yè)的動態(tài)對制度文件的合理性和適用性進(jìn)行定期論證、審定，不足之處進(jìn)行修訂改進(jìn)。

04客戶價值

（1）全面提升汽車制造、智能工廠的合規(guī)性，符合國家主管部門、行業(yè)監(jiān)管部門以及上級單位的安全防護(hù)要求；

（2）全面提升汽車制造生產(chǎn)控制系統(tǒng)、生產(chǎn)管理系統(tǒng)等業(yè)務(wù)系統(tǒng)的安全防護(hù)與監(jiān)測預(yù)警能力，助力汽車產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型；

（3）全面提升汽車制造相關(guān)業(yè)務(wù)人員的安全意識、安全技術(shù)水平和安全管理水平。