汽車(chē)產(chǎn)業(yè)是我國(guó)工業(yè)體系的重要支柱產(chǎn)業(yè)，汽車(chē)制造業(yè)的自動(dòng)化系統(tǒng)和IT系統(tǒng)功能日益強(qiáng)大，技術(shù)融合度越來(lái)越高，高度智能化制造技術(shù)將會(huì)成為未來(lái)的發(fā)展方向。隨著自動(dòng)化技術(shù)和工業(yè)以太網(wǎng)的發(fā)展，給工業(yè)控制系統(tǒng)帶來(lái)了一些工控信息安全的風(fēng)險(xiǎn)和隱患。諸如工業(yè)控制系統(tǒng)下的生產(chǎn)工藝易受到非法入侵、木馬病毒攻擊、非授權(quán)訪(fǎng)問(wèn)、生產(chǎn)核心數(shù)據(jù)被竊取、破壞生產(chǎn)設(shè)備等惡意行為，可能會(huì)造成生產(chǎn)線(xiàn)的癱瘓，生產(chǎn)數(shù)據(jù)被破壞、竊取等威脅，從而造成生產(chǎn)安全事故。

某汽車(chē)制造廠(chǎng)家使用了高度自動(dòng)化、智能化和網(wǎng)絡(luò)化的生產(chǎn)線(xiàn)控制和管理系統(tǒng)，廣泛地應(yīng)用了自動(dòng)化總線(xiàn)技術(shù)、PLC、變頻器、機(jī)器人等汽車(chē)制造行業(yè)的自動(dòng)化設(shè)備。通過(guò)將信息管理系統(tǒng)、MES系統(tǒng)、生產(chǎn)線(xiàn)自動(dòng)化控制系統(tǒng)、WMS物流倉(cāng)儲(chǔ)系統(tǒng)等互聯(lián)互通，信息共享，生產(chǎn)管理集中管控，實(shí)現(xiàn)企業(yè)信息管理和生產(chǎn)管理的統(tǒng)一。

該廠(chǎng)的上級(jí)集團(tuán)公司信息安全要求，結(jié)合公司生產(chǎn)控制系統(tǒng)信息安全需求的實(shí)際情況，需要加強(qiáng)公司工業(yè)控制系統(tǒng)的安全防護(hù)工作，加大安全管理力度，保障安全生產(chǎn)，杜絕安全隱患的發(fā)生。

2017年下半年，該汽車(chē)制造廠(chǎng)家生產(chǎn)線(xiàn)頻頻出現(xiàn)終端主機(jī)死機(jī)、藍(lán)屏等異常現(xiàn)象，經(jīng)從生產(chǎn)安全及傳統(tǒng)信息安全角度，歷時(shí)半年的排查，均未發(fā)現(xiàn)問(wèn)題根源所在。

威努特臨危受命，委派北京總部專(zhuān)家，緊急召集上海分公司專(zhuān)業(yè)技術(shù)人員連夜奮戰(zhàn)，經(jīng)過(guò)了解客戶(hù)現(xiàn)場(chǎng)網(wǎng)絡(luò)環(huán)境和異常現(xiàn)象、進(jìn)行現(xiàn)場(chǎng)網(wǎng)絡(luò)環(huán)境勘察、制定檢查計(jì)劃及應(yīng)急預(yù)案、采用監(jiān)測(cè)審計(jì)平臺(tái)定位異常主機(jī)、對(duì)鎖定的異常主機(jī)進(jìn)行針對(duì)性的病毒檢測(cè)。最終為廠(chǎng)家查清了問(wèn)題所在，并提供了全套工控信息安全解決方案。以此為例，為大家分享該工業(yè)控制系統(tǒng)安全檢測(cè)實(shí)例。     

首先，與動(dòng)態(tài)變化的傳統(tǒng)信息網(wǎng)絡(luò)相比，工業(yè)控制網(wǎng)絡(luò)由于生產(chǎn)工藝長(zhǎng)時(shí)間保持一致，網(wǎng)絡(luò)流量比較平穩(wěn)，一般的病毒傳播或黑客攻擊都會(huì)造成工業(yè)控制網(wǎng)絡(luò)的流量較大變化。因此，在工業(yè)控制網(wǎng)絡(luò)中通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)流量，就可以有效發(fā)現(xiàn)工業(yè)控制網(wǎng)絡(luò)中的異常行為。威努特通過(guò)監(jiān)測(cè)審計(jì)平臺(tái)分析網(wǎng)絡(luò)實(shí)時(shí)流量，查看流量波動(dòng)情況，如下圖： 

圖一 網(wǎng)絡(luò)實(shí)時(shí)流量圖

其次，針對(duì)實(shí)時(shí)流量異常波動(dòng)的情況，進(jìn)行更詳細(xì)的流量統(tǒng)計(jì)分析，從而鎖定異常主機(jī)范圍，如下圖：

圖二 流量統(tǒng)計(jì)圖

再次，對(duì)異常范圍內(nèi)主機(jī)的端口進(jìn)行統(tǒng)計(jì)分析，如下圖：

圖三 端口統(tǒng)計(jì)圖

最后，對(duì)鎖定的異常主機(jī)進(jìn)行針對(duì)性的病毒檢測(cè)，如下圖：

圖四 檢測(cè)結(jié)果

發(fā)現(xiàn)的主要問(wèn)題及分析：

發(fā)現(xiàn)現(xiàn)場(chǎng)上位機(jī)發(fā)送大量數(shù)據(jù)包，經(jīng)分析是由于上位機(jī)的DLL文件被篡改，造成廣播探測(cè)，探測(cè)的目的疑似向外網(wǎng)發(fā)送內(nèi)部信息。

終端主機(jī)發(fā)送大量廣播報(bào)文，經(jīng)分析是由于終端感染病毒所造成的。

通過(guò)對(duì)終端主機(jī)硬盤(pán)的病毒篩查，發(fā)現(xiàn)了大量惡意軟件。

通過(guò)專(zhuān)業(yè)的工控安全產(chǎn)品的檢查，在檢查過(guò)程中發(fā)現(xiàn)了生產(chǎn)網(wǎng)缺乏分區(qū)分域措施和機(jī)制、工控系統(tǒng)安全漏洞、缺乏工控安全審計(jì)、生產(chǎn)網(wǎng)中存在大量的惡意軟件，充分說(shuō)明了工業(yè)控制系統(tǒng)安全防護(hù)工作已迫在眉睫。