1、背景介紹

我國經(jīng)過四十多年的改革開放，已躍升為世界汽車產(chǎn)銷第一大國，汽車產(chǎn)業(yè)成為國民經(jīng)濟重要的支柱產(chǎn)業(yè)。在“十四五”時期，加快數(shù)字化發(fā)展，打造數(shù)字經(jīng)濟新優(yōu)勢，正在成為我國經(jīng)濟增長的新引擎，汽車產(chǎn)業(yè)作為國民經(jīng)濟重要的產(chǎn)業(yè)之一亟需實現(xiàn)數(shù)字化轉(zhuǎn)型。當下，國內(nèi)汽車產(chǎn)業(yè)的數(shù)字化探索已經(jīng)進入了攻堅期、深水區(qū)，伴隨著數(shù)字化的加速變革，我國汽車產(chǎn)業(yè)也將面臨前所未有的全價值鏈重構(gòu)。因此車企的數(shù)字化轉(zhuǎn)型成功與否，不僅關(guān)乎企業(yè)自身的生存與發(fā)展，也決定著未來整個產(chǎn)業(yè)能否實現(xiàn)高質(zhì)量發(fā)展。智能制造是貫徹落實《中國制造2025》的戰(zhàn)略部署，是兩化深度融合的主攻方向，也是增強我國制造業(yè)發(fā)展優(yōu)勢的關(guān)鍵所在；大力發(fā)展智能制造是加快制造強國建設(shè)步伐、加速推動汽車產(chǎn)業(yè)由規(guī)模速度型向質(zhì)量效益型轉(zhuǎn)變、實現(xiàn)數(shù)字化轉(zhuǎn)型的重要途徑。

“工業(yè) 4.0”時代的來臨、“互聯(lián)網(wǎng)+”的提出、以及“兩化融合”腳步的加快，汽車制造工業(yè)自動化與控制網(wǎng)絡(luò)也向著分布式、智能化的方向迅速發(fā)展，越來越多基于TCP/IP的通信協(xié)議和接口被采用，然而，在工控系統(tǒng)越來越開放的同時，也同步削弱了控制系統(tǒng)與外界的隔離和安全保護。因此，汽車制造企業(yè)在享受網(wǎng)絡(luò)互聯(lián)帶來的種種便利的同時，也面臨著各種各樣的安全威脅，包括病毒、木馬、黑客以及敵對勢力。

2020年6月，本田汽車發(fā)現(xiàn)遭受工業(yè)型勒索軟件攻擊，被迫關(guān)閉其位于美國、土耳其、印度和南美部分工廠，導致生產(chǎn)停頓、產(chǎn)量下降。部分生產(chǎn)系統(tǒng)中斷，該事件正在影響其全球范圍內(nèi)的業(yè)務。

某汽車制造業(yè)企業(yè)新建工廠都實現(xiàn)了數(shù)字化的部署，但是在生產(chǎn)制造過程中面臨這運維過程缺乏有效管控手段、網(wǎng)絡(luò)區(qū)域沒有進行有效隔離，移動介質(zhì)不恰當使用等問題，導致惡意代碼引入病毒在生產(chǎn)制造網(wǎng)絡(luò)中傳播，影響生產(chǎn)過程中網(wǎng)絡(luò)的質(zhì)量或者導致關(guān)鍵的主機資源不可用，已經(jīng)影響到了數(shù)字化車間正常生產(chǎn)活動的進行。

2、目標與原則

解決企業(yè)在生產(chǎn)運行中面臨的安全風險并滿足國家對企業(yè)工業(yè)企業(yè)網(wǎng)絡(luò)安全的要求。實現(xiàn)對數(shù)字化車間主要生產(chǎn)工藝過程沖、焊、涂、總、分揀車間所面臨網(wǎng)絡(luò)安全風險的有效識別，各個主要車間生產(chǎn)區(qū)域的網(wǎng)絡(luò)有效隔離，生產(chǎn)過程中有效的運維管理安全事件的快速響應。為了保障實施的安全、有效，在建設(shè)中重點考慮如何的建設(shè)原則：

?  “零修改、無擾動”原則：在安全建設(shè)的過程中，不會對生產(chǎn)控制系統(tǒng)的運行環(huán)境、配置、參數(shù)等進行修改，保證生產(chǎn)控制系統(tǒng)運行的可靠性、穩(wěn)定性和實時性。

?  “適度安全”原則：沒有絕對的安全，安全和易用性是矛盾的，需要做到適度安全，找到安全和易用性的平衡點。

?  安全性原則：產(chǎn)品設(shè)計方案要能夠為汽車制造（主機廠）的信息安全提供指導、建設(shè)方向，必須保證其工控信息資源受控、合法、安全地使用。

?  可靠性原則：產(chǎn)品定制開發(fā)應在不影響生產(chǎn)控制系統(tǒng)功能和效率的前提下，做到穩(wěn)定、可靠地不間斷運行。

?  動態(tài)調(diào)整原則：網(wǎng)絡(luò)安全問題不是靜態(tài)的，它總是隨著管理相關(guān)的組織策略、組織架構(gòu)、信息系統(tǒng)和操作流程的改變而改變，因此必須要跟蹤信息系統(tǒng)的變化情況，調(diào)整安全保護措施。

?  可擴展性原則：定制開發(fā)的產(chǎn)品必須允許汽車制造（主機廠）增加新的安全組件與安全功能，必須保證生產(chǎn)控制系統(tǒng)安全性不斷增長的需要。

?  標準化原則：生產(chǎn)控制系統(tǒng)安全防護產(chǎn)品的安全規(guī)劃、安全建設(shè)、安全整改及建設(shè)的各個環(huán)節(jié)都必須符合國家關(guān)于信息安全的法律、法規(guī)和相關(guān)行業(yè)標準。

?  可管理性原則：生產(chǎn)控制系統(tǒng)安全防護產(chǎn)品必須可管理，做到分布式安全布控，集中式安全管理。

?  經(jīng)濟適用原則，汽車制造（主機廠）工控安全解決方案的設(shè)計要從綜合成本的角度，針對系統(tǒng)的實際風險，提出對應的保護強度，并按照保護強度進行安全防護系統(tǒng)的設(shè)計和建設(shè)，從而有效控制成本，安全、經(jīng)濟和適用的性價比合理。

?  統(tǒng)籌規(guī)劃、分步實施的原則：汽車制造（主機廠）工控安全防護產(chǎn)品的現(xiàn)場實施將做好統(tǒng)籌規(guī)劃工作，制訂總體方案，邊開發(fā)、邊服務的分步實施方針，避免因防護產(chǎn)品不能有效發(fā)揮作用而影響投資的效益。

?  技術(shù)管理并重原則：網(wǎng)絡(luò)安全問題從來就不是單純的技術(shù)問題，把防范黑客入侵和病毒感染理解為網(wǎng)絡(luò)安全問題的全部是片面的，僅僅通過部署安全產(chǎn)品很難完全覆蓋系統(tǒng)所有的網(wǎng)絡(luò)安全問題，因此必須要把技術(shù)措施和管理措施結(jié)合起來，更有效的保障信息系統(tǒng)的整體安全性，形成技術(shù)和管理兩個部分的解決方案。

?  成熟性原則：本方案設(shè)計采取的安全措施和產(chǎn)品，在技術(shù)上是成熟的，是被檢驗確實能夠解決安全問題并在很多項目中有成功應用的。

3、案例實施與應用情況

本次案例中我們將實現(xiàn)的技術(shù)結(jié)構(gòu)模型進行了抽象，劃分為七層，由低到高分別是基礎(chǔ)設(shè)施層、安全防護層、數(shù)據(jù)采集層、數(shù)據(jù)存儲層、建模分析層、平臺功能層、大屏展示層。

技術(shù)結(jié)構(gòu)模型圖

第一層：基礎(chǔ)設(shè)施層是工控集成廠商為汽車制造企業(yè)構(gòu)建的重要信息系統(tǒng)，其中涉及到的產(chǎn)品有PLC、交換機、路由器、操作系統(tǒng)、數(shù)據(jù)庫、中間件和應用系統(tǒng)等軟硬件設(shè)備，基礎(chǔ)設(shè)施層是確保汽車制造企業(yè)正常開展業(yè)務工作的基礎(chǔ)；

第二層：安全防護層是在確保系統(tǒng)能夠正常完成業(yè)務工作的情況下運用多種技術(shù)手段、安全配置和安全產(chǎn)品保障網(wǎng)絡(luò)和系統(tǒng)運行的安全性，包括邊界防護和綜合防護，形成縱深防御體系；

第三層：數(shù)據(jù)采集層針對系統(tǒng)網(wǎng)絡(luò)中的各個安全控制節(jié)點，分別部署相應的探針，探針用于對各個安全控制節(jié)點的日志、數(shù)據(jù)、流量等信息進行統(tǒng)一收集并上傳；

第四層：數(shù)據(jù)存儲層將數(shù)據(jù)采集層中部署的探針所收集到的日志、事件、流量、syslog、snmp等數(shù)據(jù)統(tǒng)一收集后進行數(shù)據(jù)范式化再進行存儲，以此法構(gòu)建一套當前工控系統(tǒng)網(wǎng)絡(luò)安全的范式化數(shù)據(jù)庫；

第五層：建模分析層將工控系統(tǒng)網(wǎng)絡(luò)安全范式化數(shù)據(jù)庫中的各種數(shù)據(jù)與互聯(lián)網(wǎng)中的威脅情報互相關(guān)聯(lián)并進行建模分析，通過對網(wǎng)絡(luò)、資產(chǎn)、日志、流量、業(yè)務數(shù)據(jù)等信息進行綜合分析后對當前的網(wǎng)絡(luò)情況進行判斷和預警；

第六層：平臺功能層被定義為工控安全預警平臺的人機交互界面，將建模分析層中所發(fā)現(xiàn)的網(wǎng)絡(luò)安全風險節(jié)點、異常事件、僵尸資產(chǎn)等情況，以圖表的形式統(tǒng)一進行展示，提供對平臺不同功能模塊的展示頁面，便于運維人員更好的查看與分析當前網(wǎng)絡(luò)環(huán)境中的弱點；

第七層：大屏展示層是在平臺功能上的升華，以大屏方式展示平臺功能。

汽車制造（主機廠）典型網(wǎng)絡(luò)拓撲圖

汽車制造（主機廠）整體網(wǎng)絡(luò)按照工控系統(tǒng)典型架構(gòu)模型可以分為五層：分別為現(xiàn)場設(shè)備層、現(xiàn)場控制層、過程監(jiān)控層、生產(chǎn)管理層和企業(yè)資源層。主要有四大生產(chǎn)車間：沖壓、焊裝、涂裝、總裝，部分車間可能存在多條生產(chǎn)線。

邊界防護：

在各生產(chǎn)業(yè)務系統(tǒng)間冗余部署工控防火墻，實現(xiàn)區(qū)域邊界的邏輯隔離防護和訪問控制；在生產(chǎn)網(wǎng)和企業(yè)網(wǎng)之間部署工業(yè)網(wǎng)閘，實現(xiàn)兩大區(qū)域邊界的強邏輯隔離防護和訪問控制。通過自學習的功能，對于流經(jīng)邊界的通信行為進行分析，發(fā)現(xiàn)通信行為之間的關(guān)聯(lián)關(guān)系，形成基于行為上下文的安全管控。

在生產(chǎn)管理區(qū)的關(guān)鍵網(wǎng)絡(luò)節(jié)點處旁路部署1套工控入侵檢測，對MES系統(tǒng)網(wǎng)絡(luò)中存在的異常威脅、漏洞利用行為、惡意攻擊行為進行實時檢測。

針對主機和網(wǎng)絡(luò)設(shè)備的安全配置缺失問題，通過安全加固服務對主機和網(wǎng)絡(luò)設(shè)備進行安全配置的加固工作，此安全加固服務需在與系統(tǒng)集成廠商核實相應配置內(nèi)容后，且在現(xiàn)場有廠商技術(shù)人員的情況下開展。防止安全策略實施后，導致生產(chǎn)業(yè)務系統(tǒng)的數(shù)據(jù)無法正常傳輸。

在生產(chǎn)現(xiàn)場和生產(chǎn)管理系統(tǒng)中的操作員站、工程師站以及通信站、服務器等工業(yè)主機上部署主機安全衛(wèi)士客戶端，在網(wǎng)絡(luò)中部署1臺主機安全衛(wèi)士服務器，實現(xiàn)對工業(yè)主機的安全防護。利用主機安全衛(wèi)士機器自學習白名單建模技術(shù)，對工控系統(tǒng)應用程序、進程、服務以及外設(shè)接口進行管控，以及利用主機加固功能對重要文件、注冊表、進程進行加固保護，解決工業(yè)主機入侵檢測、惡意代碼防范能力不強的問題。

在生產(chǎn)線環(huán)網(wǎng)交換機旁路部署工控安全審計系統(tǒng)（輕量版），在車間環(huán)網(wǎng)交換機上旁路部署工控安全審計系統(tǒng)，對網(wǎng)絡(luò)內(nèi)傳輸?shù)牧髁窟M行字段級的解析，建立協(xié)議基線、流量基線、鏈路基線，對異常操作、非法入侵、惡意代碼執(zhí)行等行為進行事中告警、事后審計。

在生產(chǎn)管理系統(tǒng)的交換機旁路部署1套日志審計系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、工控設(shè)備以及操作系統(tǒng)、數(shù)據(jù)庫、應用系統(tǒng)的日志信息進行集中收集與分析。解決網(wǎng)絡(luò)運行日志、操作系統(tǒng)運行日志、數(shù)據(jù)庫訪問日志、業(yè)務系統(tǒng)運行日志以及安全設(shè)備運行日志等日志信息未進行集中收集與分析問題。

針對資產(chǎn)漏洞情況未知的問題，可以通過現(xiàn)場安全評估服務，并借助工控漏洞掃描和工業(yè)網(wǎng)絡(luò)安全合規(guī)評估工具，對生產(chǎn)現(xiàn)場和生產(chǎn)管理區(qū)的資產(chǎn)進行脆弱性和威脅識別，并形成分析報告；也可以通過在生產(chǎn)管理區(qū)部署1套工控漏洞掃描工具和/或1套工業(yè)網(wǎng)絡(luò)安全合規(guī)評估工具，定期進行脆弱性檢查（對生產(chǎn)現(xiàn)場設(shè)備進行離線掃描，防止影響業(yè)務正常運行），包括漏洞、基線配置等，及時了解系統(tǒng)的薄弱環(huán)節(jié)和資產(chǎn)脆弱性，并有針對性地進行預防與加固。

劃分出獨立的安全設(shè)備管理區(qū)域，將生產(chǎn)現(xiàn)場和生產(chǎn)管理系統(tǒng)內(nèi)的所有安全設(shè)備通過帶外管理口進行集中管控，生產(chǎn)現(xiàn)場和生產(chǎn)管理區(qū)的邊界部署防火墻進行邏輯隔離和訪問控制。在生產(chǎn)管理區(qū)內(nèi)設(shè)置“安全管理中心”區(qū)域，對所有安全設(shè)備進行集中的系統(tǒng)管理操作、安全審計操作和安全管理操作。

在生產(chǎn)管理區(qū)的“安全管理中心”區(qū)域內(nèi)部署運維安全管理系統(tǒng)（堡壘機）1臺，進行集中賬號管理、集中登錄認證、集中用戶授權(quán)和集中操作審計。實現(xiàn)對運維人員的操作行為審計，違規(guī)操作、非法訪問等行為的有效監(jiān)督，為事后追溯提供依據(jù)。解決廠內(nèi)運維行為無法監(jiān)控問題以及訪問系統(tǒng)資源、操作記錄的過程中無法做到安全審計，導致事后無法追溯等問題。

在生產(chǎn)管理區(qū)的“安全管理中心”區(qū)域內(nèi)部署1套安全管理平臺，對安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機設(shè)備的日志和告警進行歸一化采集和關(guān)聯(lián)分析，展現(xiàn)安全態(tài)勢和預警，全面提升安全防護效率和安全管理能力。在生產(chǎn)管理區(qū)的“安全管理中心”區(qū)域內(nèi)部署1套工業(yè)安全預警平臺，建立工控安全的態(tài)勢感知和預警檢測。

該方案解決了汽車制造業(yè)智能工廠所面臨的安全風險的感知與防護，為汽車制造數(shù)字化工廠的運行提供有效的安全保障。落地方案中通過在各個車間接入側(cè)部署工業(yè)防火墻實現(xiàn)不同接入?yún)^(qū)之間的安全隔離，只允許限定的行為可以跨域區(qū)域邊界。通過對汽車制造主要過程中通信過程的監(jiān)測結(jié)合汽車業(yè)務工藝過程關(guān)鍵業(yè)務通信內(nèi)容的限定，實現(xiàn)對生產(chǎn)網(wǎng)絡(luò)中隱匿在通信過程中的安全威脅進行有效感知，通過聯(lián)動不同區(qū)域和邊界的安全策略實現(xiàn)對確定性業(yè)務過程的安全管控；通過主機與管理中心之間的安全聯(lián)動，在柔性制造環(huán)節(jié)中通過獲取變更后軟件的關(guān)鍵特征，更好了解決在生產(chǎn)線柔性制造過程中的動態(tài)適配與快速響應；通過工業(yè)態(tài)勢感知感知平臺對各類安全設(shè)備數(shù)據(jù)進行安全分析，感知潛在的安全風險或者及時對安全風險進行處置。

4、應用價值與效益

合規(guī)達標，風險可控：滿足國家、行業(yè)法律法規(guī)以及政策標準等合規(guī)方面的要求，將網(wǎng)絡(luò)安全風險降低到可控范圍內(nèi)。趨勢預警，成果可視：通過威脅情報和態(tài)勢感知等新技術(shù)達到趨勢預警，網(wǎng)絡(luò)安全成果可在平臺進行展示。平穩(wěn)運行，業(yè)務可靠：解決方案的部署方式對生產(chǎn)業(yè)務零影響，保障汽車制造企業(yè)生產(chǎn)控制系統(tǒng)平穩(wěn)運行，生產(chǎn)業(yè)務可靠。縱深防御，安全可信：通過各類安全設(shè)備構(gòu)建電力柵格狀立體縱深防線，實現(xiàn)汽車制造企業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡(luò)安全的縱深防御、綜合防護，設(shè)備之間協(xié)同聯(lián)動、安全可信。