1、背景介绍

我国经过四十多年的改革开放，已跃升为世界汽车产销第一大国，汽车产业成为国民经济重要的支柱产业。在“十四五”时期，加快数字化发展，打造数字经济新优势，正在成为我国经济增长的新引擎，汽车产业作为国民经济重要的产业之一亟需实现数字化转型。当下，国内汽车产业的数字化探索已经进入了攻坚期、深水区，伴随着数字化的加速变革，我国汽车产业也将面临前所未有的全价值链重构。因此车企的数字化转型成功与否，不仅关乎企业自身的生存与发展，也决定着未来整个产业能否实现高质量发展。智能制造是贯彻落实《中国制造2025》的战略部署，是两化深度融合的主攻方向，也是增强我国制造业发展优势的关键所在；大力发展智能制造是加快制造强国建设步伐、加速推动汽车产业由规模速度型向质量效益型转变、实现数字化转型的重要途径。

“工业 4.0”时代的来临、“互联网+”的提出、以及“两化融合”脚步的加快，汽车制造工业自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用，然而，在工控系统越来越开放的同时，也同步削弱了控制系统与外界的隔离和安全保护。因此，汽车制造企业在享受网络互联带来的种种便利的同时，也面临着各种各样的安全威胁，包括病毒、木马、黑客以及敌对势力。

2020年6月，本田汽车发现遭受工业型勒索软件攻击，被迫关闭其位于美国、土耳其、印度和南美部分工厂，导致生产停顿、产量下降。部分生产系统中断，该事件正在影响其全球范围内的业务。

某汽车制造业企业新建工厂都实现了数字化的部署，但是在生产制造过程中面临这运维过程缺乏有效管控手段、网络区域没有进行有效隔离，移动介质不恰当使用等问题，导致恶意代码引入病毒在生产制造网络中传播，影响生产过程中网络的质量或者导致关键的主机资源不可用，已经影响到了数字化车间正常生产活动的进行。

2、目标与原则

解决企业在生产运行中面临的安全风险并满足国家对企业工业企业网络安全的要求。实现对数字化车间主要生产工艺过程冲、焊、涂、总、分拣车间所面临网络安全风险的有效识别，各个主要车间生产区域的网络有效隔离，生产过程中有效的运维管理安全事件的快速响应。为了保障实施的安全、有效，在建设中重点考虑如何的建设原则：

Ø  “零修改、无扰动”原则：在安全建设的过程中，不会对生产控制系统的运行环境、配置、参数等进行修改，保证生产控制系统运行的可靠性、稳定性和实时性。

Ø  “适度安全”原则：没有绝对的安全，安全和易用性是矛盾的，需要做到适度安全，找到安全和易用性的平衡点。

Ø  安全性原则：产品设计方案要能够为汽车制造（主机厂）的信息安全提供指导、建设方向，必须保证其工控信息资源受控、合法、安全地使用。

Ø  可靠性原则：产品定制开发应在不影响生产控制系统功能和效率的前提下，做到稳定、可靠地不间断运行。

Ø  动态调整原则：网络安全问题不是静态的，它总是随着管理相关的组织策略、组织架构、信息系统和操作流程的改变而改变，因此必须要跟踪信息系统的变化情况，调整安全保护措施。

Ø  可扩展性原则：定制开发的产品必须允许汽车制造（主机厂）增加新的安全组件与安全功能，必须保证生产控制系统安全性不断增长的需要。

Ø  标准化原则：生产控制系统安全防护产品的安全规划、安全建设、安全整改及建设的各个环节都必须符合国家关于信息安全的法律、法规和相关行业标准。

Ø  可管理性原则：生产控制系统安全防护产品必须可管理，做到分布式安全布控，集中式安全管理。

Ø  经济适用原则，汽车制造（主机厂）工控安全解决方案的设计要从综合成本的角度，针对系统的实际风险，提出对应的保护强度，并按照保护强度进行安全防护系统的设计和建设，从而有效控制成本，安全、经济和适用的性价比合理。

Ø  统筹规划、分步实施的原则：汽车制造（主机厂）工控安全防护产品的现场实施将做好统筹规划工作，制订总体方案，边开发、边服务的分步实施方针，避免因防护产品不能有效发挥作用而影响投资的效益。

Ø  技术管理并重原则：网络安全问题从来就不是单纯的技术问题，把防范黑客入侵和病毒感染理解为网络安全问题的全部是片面的，仅仅通过部署安全产品很难完全覆盖系统所有的网络安全问题，因此必须要把技术措施和管理措施结合起来，更有效的保障信息系统的整体安全性，形成技术和管理两个部分的解决方案。

Ø  成熟性原则：本方案设计采取的安全措施和产品，在技术上是成熟的，是被检验确实能够解决安全问题并在很多项目中有成功应用的。

3、案例实施与应用情况

本次案例中我们将实现的技术结构模型进行了抽象，划分为七层，由低到高分别是基础设施层、安全防护层、数据采集层、数据存储层、建模分析层、平台功能层、大屏展示层。

技术结构模型图

第一层：基础设施层是工控集成厂商为汽车制造企业构建的重要信息系统，其中涉及到的产品有PLC、交换机、路由器、操作系统、数据库、中间件和应用系统等软硬件设备，基础设施层是确保汽车制造企业正常开展业务工作的基础；

第二层：安全防护层是在确保系统能够正常完成业务工作的情况下运用多种技术手段、安全配置和安全产品保障网络和系统运行的安全性，包括边界防护和综合防护，形成纵深防御体系；

第三层：数据采集层针对系统网络中的各个安全控制节点，分别部署相应的探针，探针用于对各个安全控制节点的日志、数据、流量等信息进行统一收集并上传；

第四层：数据存储层将数据采集层中部署的探针所收集到的日志、事件、流量、syslog、snmp等数据统一收集后进行数据范式化再进行存储，以此法构建一套当前工控系统网络安全的范式化数据库；

第五层：建模分析层将工控系统网络安全范式化数据库中的各种数据与互联网中的威胁情报互相关联并进行建模分析，通过对网络、资产、日志、流量、业务数据等信息进行综合分析后对当前的网络情况进行判断和预警；

第六层：平台功能层被定义为工控安全预警平台的人机交互界面，将建模分析层中所发现的网络安全风险节点、异常事件、僵尸资产等情况，以图表的形式统一进行展示，提供对平台不同功能模块的展示页面，便于运维人员更好的查看与分析当前网络环境中的弱点；

第七层：大屏展示层是在平台功能上的升华，以大屏方式展示平台功能。

汽车制造（主机厂）典型网络拓扑图

汽车制造（主机厂）整体网络按照工控系统典型架构模型可以分为五层：分别为现场设备层、现场控制层、过程监控层、生产管理层和企业资源层。主要有四大生产车间：冲压、焊装、涂装、总装，部分车间可能存在多条生产线。

边界防护：

在各生产业务系统间冗余部署工控防火墙，实现区域边界的逻辑隔离防护和访问控制；在生产网和企业网之间部署工业网闸，实现两大区域边界的强逻辑隔离防护和访问控制。通过自学习的功能，对于流经边界的通信行为进行分析，发现通信行为之间的关联关系，形成基于行为上下文的安全管控。

在生产管理区的关键网络节点处旁路部署1套工控入侵检测，对MES系统网络中存在的异常威胁、漏洞利用行为、恶意攻击行为进行实时检测。

针对主机和网络设备的安全配置缺失问题，通过安全加固服务对主机和网络设备进行安全配置的加固工作，此安全加固服务需在与系统集成厂商核实相应配置内容后，且在现场有厂商技术人员的情况下开展。防止安全策略实施后，导致生产业务系统的数据无法正常传输。

在生产现场和生产管理系统中的操作员站、工程师站以及通信站、服务器等工业主机上部署主机安全卫士客户端，在网络中部署1台主机安全卫士服务器，实现对工业主机的安全防护。利用主机安全卫士机器自学习白名单建模技术，对工控系统应用程序、进程、服务以及外设接口进行管控，以及利用主机加固功能对重要文件、注册表、进程进行加固保护，解决工业主机入侵检测、恶意代码防范能力不强的问题。

在生产线环网交换机旁路部署工控安全审计系统（轻量版），在车间环网交换机上旁路部署工控安全审计系统，对网络内传输的流量进行字段级的解析，建立协议基线、流量基线、链路基线，对异常操作、非法入侵、恶意代码执行等行为进行事中告警、事后审计。

在生产管理系统的交换机旁路部署1套日志审计系统，实现对网络设备、安全设备、工控设备以及操作系统、数据库、应用系统的日志信息进行集中收集与分析。解决网络运行日志、操作系统运行日志、数据库访问日志、业务系统运行日志以及安全设备运行日志等日志信息未进行集中收集与分析问题。

针对资产漏洞情况未知的问题，可以通过现场安全评估服务，并借助工控漏洞扫描和工业网络安全合规评估工具，对生产现场和生产管理区的资产进行脆弱性和威胁识别，并形成分析报告；也可以通过在生产管理区部署1套工控漏洞扫描工具和/或1套工业网络安全合规评估工具，定期进行脆弱性检查（对生产现场设备进行离线扫描，防止影响业务正常运行），包括漏洞、基线配置等，及时了解系统的薄弱环节和资产脆弱性，并有针对性地进行预防与加固。

划分出独立的安全设备管理区域，将生产现场和生产管理系统内的所有安全设备通过带外管理口进行集中管控，生产现场和生产管理区的边界部署防火墙进行逻辑隔离和访问控制。在生产管理区内设置“安全管理中心”区域，对所有安全设备进行集中的系统管理操作、安全审计操作和安全管理操作。

在生产管理区的“安全管理中心”区域内部署运维安全管理系统（堡垒机）1台，进行集中账号管理、集中登录认证、集中用户授权和集中操作审计。实现对运维人员的操作行为审计，违规操作、非法访问等行为的有效监督，为事后追溯提供依据。解决厂内运维行为无法监控问题以及访问系统资源、操作记录的过程中无法做到安全审计，导致事后无法追溯等问题。

在生产管理区的“安全管理中心”区域内部署1套安全管理平台，对安全设备、网络设备、主机设备的日志和告警进行归一化采集和关联分析，展现安全态势和预警，全面提升安全防护效率和安全管理能力。在生产管理区的“安全管理中心”区域内部署1套工业安全预警平台，建立工控安全的态势感知和预警检测。

该方案解决了汽车制造业智能工厂所面临的安全风险的感知与防护，为汽车制造数字化工厂的运行提供有效的安全保障。落地方案中通过在各个车间接入侧部署工业防火墙实现不同接入区之间的安全隔离，只允许限定的行为可以跨域区域边界。通过对汽车制造主要过程中通信过程的监测结合汽车业务工艺过程关键业务通信内容的限定，实现对生产网络中隐匿在通信过程中的安全威胁进行有效感知，通过联动不同区域和边界的安全策略实现对确定性业务过程的安全管控；通过主机与管理中心之间的安全联动，在柔性制造环节中通过获取变更后软件的关键特征，更好了解决在生产线柔性制造过程中的动态适配与快速响应；通过工业态势感知感知平台对各类安全设备数据进行安全分析，感知潜在的安全风险或者及时对安全风险进行处置。

4、应用价值与效益

合规达标，风险可控：满足国家、行业法律法规以及政策标准等合规方面的要求，将网络安全风险降低到可控范围内。趋势预警，成果可视：通过威胁情报和态势感知等新技术达到趋势预警，网络安全成果可在平台进行展示。平稳运行，业务可靠：解决方案的部署方式对生产业务零影响，保障汽车制造企业生产控制系统平稳运行，生产业务可靠。纵深防御，安全可信：通过各类安全设备构建电力栅格状立体纵深防线，实现汽车制造企业生产控制系统网络安全的纵深防御、综合防护，设备之间协同联动、安全可信。