1、背景介绍

海尔智家以工业互联网为基础支撑，应用于设计、生产、制造、管理、服务等诸多环节，具有高效精准决策、实时动态优化、敏捷灵活响应等特征。海尔智家的工业互联网依托“人/机/物”的互联互通，打通产业要素、产业链和价值链，推动建立工业生产制造与服务新体系，奠定了全新工业生态和新型应用模式的关键基础。当前海尔智家的智能制造、工业互联网的实质均是数据驱动的智能化，二者融合发展相得益彰。当前形成以网络互联为基础、以工业互联网平台为核心的信息制造体系，打造了制造业新生态，对我国制造业发展产生了深远的影响。

工业控制系统网络技术的发展虽然为海尔智家的发展以及智慧工厂的推行提供了便利，但同时须面对工业控制系统安全的严峻挑战。与传统的基于TCP/IP协议的传统网络信息系统的安全不同，工业基础设施中关键ICS的安全事件会导致系统性能下降，影响系统可用性、关键控制数据被篡改或丢失、失去控制、环境灾难、人员伤亡、公司声誉受损、危及公众生活及国家安全等危害。

近年来，智能制造行业工业生产系统网络安全事件频发，大多数工业安全事件是以生产车间现场的工业主机为主要突破口，其中最为典型的就是 WannaCry勒索病毒攻击事件，2017年“永恒之蓝”勒索病毒攻击事件在全球爆发，大量的工业现场主机受到感染，导致工业主机频繁出现蓝屏死机、文件加密、产线被迫停产等问题。因此海尔智家智慧工厂在进行安全建设的过程中，需重点实现对海尔智家生产车间的主机进行安全防护，打造基于主机安全、设备安全、网络安全、数据安全的多层次纵深防御体系，形成工业企业安全防护服务能力。

2、目标与原则

（1）项目建设目标

目标一：搭建工业主机安全防护体系，部署7000点+工业白名单软件

Ø  工业主机卫士采用的“白名单+”防护技术结合恶意文件检查，能够有效抵御病毒、木马、恶意软件、0-day攻击等对工控网络工作站、服务器的攻击与破坏行为。并基于工业环境中主机特点进行适配和兼容，真正帮助企业在保证稳定生产的同时发现工控网络攻击，减少蠕虫、木马病毒的攻击，特别是防止勒索病毒、挖矿病毒的攻击；

Ø  工业主机卫士的主机加固功能，提高系统访问权限，保障数据正常流向，增强操作系统的免疫能力；对外能够加强对USB存储/非USB存储的管控，防止外设带毒引发主机中毒危险，提升工业生产网安全运维。

Ø  工业主机卫士白名单策略只允许可信的白名单程序可运行，从源头上阻止恶意文件的执行和扩散，提升工业主机的安全稳定运行能力；

Ø  工业卫士软件采用轻量的白名单机制对主机进行防护，系统资源占用少，安装部署后对工控系统零影响，无需重启系统。并且支持在不影响使用的情况下对工控软件的安装和升级。

目标二：实现工业信息安全平台化管理，部署2级管理平台联动体系

Ø  管理平台对主机防护软件的实时状态、配置下发历史、资源消耗、及安全事件统一管理，保障多层级工业网络拓扑的实时数据展示，随时掌握生产主机的运行情况；

Ø  管理平台可实现单点防护软件远程管理，在管理中心可实现对主机防护全部功能配置下发，提高安全运维人员工作效率；

Ø  实时掌握生产网络安全态势，帮助用户呈现整体区域资产网络拓扑，实时掌握企业安全态势，发生威胁攻击事件可及时响应处理；

Ø  通过监管平台实现自动灰过白，保证工业主机卫士的白名单的可信性，防止恶意程序伪装成白名单进程，从而破坏主机的正常运转。

Ø  通过中心级与园区级平台的联动，可对终端进行手工或自动创建分组，并将相应的终端加入相应分组，组内管理相对应的终端，中心级平台可对地区级平台实现异地管控。可对园区二级安全管理平台下发策略，区级安全管理平台对终端下发同步策略，实现工业主机卫士的多级管理联动管理。

Ø  管理平台可通过syslog日志进行安全日志的转发，并可以与未来的态势感知平台进行无缝对接。

目标三：满足法律法规要求，逐步完善工控安全防护体系

Ø  项目建设完成后可满足等级保护要求构建“一个中心，三重防护“为网络安全技术设计的总体思路，对安全计算环境、安全区域边界、安全通信网络进行统一管理，同时满足未来监管部门在信息安全层面上的硬性要求。

Ø  补充完善部分智慧工厂安全防护技术措施，所部署产品包括工业防火墙、工业网络审计、日志审计系统、工业堡垒机等；

Ø  管理平台可对边界安全防护设备、安全审计设备进行统一管控和策略下发，建立并持续完善生产厂区工控系统安全防护体系。

（2）项目建设原则

对于工控系统信息安全建设，应当以适度安全为核心，以重点保护为原则，从业务的角度出发，重点保护重要的业务系统，在方案设计中应当遵循以下的原则：

Ø  重点保护原则

根据信息系统的重要程度、业务特点，通过划分不同安全保护等级的信息系统，实现不同强度的安全保护，集中资源优先保护涉及核心业务或关键信息资产的信息系统。

Ø  适度安全原则

任何信息系统都不能做到绝对的安全，过多的安全要求必将造成易用性降低和运行的复杂性，因此要在安全需求、安全风险和易用性之间进行平衡和折中。

Ø  风险管理原则

进行安全风险管理，确认可能影响信息系统的安全风险，正确的识别风险、合理的管理风险，并让信息系统的安全风险降低到可以接受的水平以内。

Ø  分权制衡原则

在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。

Ø  标准化原则

在方案设计和设备选型方面必须遵循国家以及行业内的相关标准，并充分考虑不同产品之间的兼容性。

Ø  统一安全管理原则

在方案设计中主机、网络设备、安全设备、应用系统、数据库等必须遵循统一安全管理的要求。

3、案例实施与应用情况

（1）项目规划

基于海尔智家下属园区企业的工业网络安全防护需求，依靠工业信息安全保障建设框架，建设网络安全纵深防御体系框架，打造工业企业安全运营与管理平台，提升工业企业安全与运营管理能力，构建多层次一体化工业网络安全防御能力，为工业企业的数字化转型升级提供保障。基于整体安全建设规划，在当前阶段主要优先考虑到要针对工业主机进行系统化的安全防护建设，工业主机做为连接信息世界和物理世界的“桥梁”，做好工业主机的安全防护和控制是保障工业互联网安全的核心。一旦工业主机遭受攻击和破坏，必然会导致企业经营的损失。从工业企业现状来看，工业主机主要面临勒索病毒攻击、漏洞利用攻击和外设引入病毒等潜在安全威胁。工业主机大多数采用 Windows 系统，存在大量的系统漏洞，且无漏洞补丁可打，工业主机存在很多的脆弱性风险，在众多的终端安全防护问题中，USB 等外设设备滥用的问题特别突出，容易遭受病毒攻击，所以有必要优先建立一套完善的主机防护系统。

（2）实施与应用的详细情况

该案例至目前为止已覆盖海尔智家冰箱、洗涤、空气、热水器、厨电五大产业17个园区52家工厂，涉及产品包括工业防火墙、工业网络审计、日志审计系统、工业堡垒机、工业态势感知、统一安全监管平台等软硬件一体化设备若干及工业主机卫士软件7000+点，生产网络中工业主机基本使用Windows操作系统，还有部分Linux系统，存在大量安全隐患。针对工控安全环境下的主机安全及等级保护需求，需要针对工业环境下的工控主机进行安全防护和主机加固，搭建基于工控系统主机的入侵防护机制，提升主机安全防护水平，鉴于工控主机资源配置低、操作系统版本参差不齐，主机防护软件采用基于“工业白名单技术”的工业主机卫士软件进行安全防护，具备病毒阻止、木马阻止、恶意程序防护、未授权的应用程序和服务阻止，能够及时识别恶意病毒并告警。此外，需要集成自适应分析学习功能，通过控制行为逻辑安全性判断、分布式逻辑行为的综合分析等，实现异常控制程序、指令等实时分析反馈。

针对工业现场上位机和服务器进行主机安全监控和加固，集成文件、目录、注册表、进程、服务、用户、外设多种类型的访问控制和防护手段，能确保在工业环境下业务安全稳定地运行，避免外部安全威胁和非法人员操作，有效地阻断黑客入侵、敏感信息泄漏等多种安全威胁，将传统操作系统升级为安全操作系统，弥补了传统信息安全防护手段的缺陷，为工业环境及行业提供一套完整的主机安全防护和加固方案。

部署示意图

在每个园区分厂的工控机上部署工业主机卫士软件，防止恶意程序启动。提供完全适用于工业互联网络环境的专业主机安全防护，能有效防护IT网络病毒和工控病毒如勒索病毒、“震网”病毒，控制不明程序、移动存储介质和网络通信的滥用，有效提高工控网络的综合“免疫”能力。工业工业主机卫士软件部署在工控内网Windows工作站或服务器，配合安全管理中心监管平台可进行多节点下发策略、实时告警、日志汇总和统一管理。所有工业主机卫士软件通过网络连接到统一管理平台，管理员可对所有工业主机卫士软件客户端下发规则和策略，并进行日志分析统计。

（3）案例创新性

功能亮点

ž   代理模式：此特色功能代理模式，工业卫士支持通过代理模式进行管理，满足多个隔离网络的集中配置管理，可在隔离网络中进行单向数据接收。能够解决海尔生产现场测试发现的工厂主机网络受限情况，通过其他厂区内其他未受限主机外联至管理平台，实现平台对受限主机的纳管，保障平台对所有主机的纳管能力。

ž   白名单追踪：此功能能够减少运维人员后期维护的工作量，并提高工业主机运行稳定性。对于白名单内的程序如有更新升级或释放脚本，可对升级、新产生的文件自动追踪加入白名单，避免了生产现场程序出错与反复多次扫描添加白名单。

ž   安全基线检查与加固：此功能应国家等保三级标准要求，可对主机安全进行加固，提升了工业主机的安全防护能力，检查工控主机操作系统的安全配置是否合规，能否达到预期的网络安全基本要求。

ž   管理平台跳转主机卫士：此功能支持通过监管平台可远程跳转至对应主机的卫士界面，便于远程调整安全配置，避免安全运维管理人员频繁生产车间走动现场调试，提高了后期运维效率。

ž   工业组态管理：此功能通过工业主机作为探针，能够自动获取终端上的组态信息，并上传到管理平台，实现对PLC等控制设备的监控和管理，便于海尔智家对PLC等设备的统一信息收纳与汇总。

性能亮点

ž   资源占用低、部署不重启：工业卫士软件采用轻量的白名单机制对主机进行防护，系统资源占用少，安装部署后对工控系统零影响，无需重启系统。支持在不影响使用的情况下对工控软件的安装和后台升级，能够适应海尔生产现场部分工业终端的配置较低的情况。

ž   操作系统、工业软件兼容广：工业卫士收集大量工控现场使用的不同操作系统及常见工控软件，配置内置白名单库。其中操作系统包括Win sever 2008、Win sever 2012、Win sever 2018、Win2000、Win XP、Win 7、Win10、Linux、Unix、银河麒麟、麒麟信安、统信、凝思等；适配工控系统软件包括西门子WINCC、施耐德Intouch/Citech、GE Ifix/Cimplcity、罗克韦尔Rsview、北京亚控Kingview、力控Forcecontrol等国内外主流工控厂商工业应用软件。能够保障卫士与工控软件及操作系统良好的兼容性，对海尔生产制造业务零影响。

运维亮点

ž   多重管理方式：针对工控主机操作系统老旧，界面和鼠标操作困难，以及主机锁在玻璃柜中，主机位置特殊，触摸屏不易操作等问题。工业卫士支持远程web界面登陆且功能界面完全一致，能方便用户实时远程设置白名单、查看审计事件、配置主机加固策略、进行用户管理等。对于多主机的集群部署，还可通过监管平台进行远程运维管理。

ž   多集群高可靠：可通过监管平台对工业卫士进行远程运维管理，且兼容冗余双环网结构，工业卫士支持双链路主备模式和多集群模式，工业卫士支持向两个集群地址发送数据，向三个日志服务器发送日志，充分保证数据备份与安全。

（4）交付过程中典型技术问题及解决思路

ž   更新MES系统不可用

现场情况：采用的MES系统，经常会通过内部网络向工业主机传送新的文件程序，在交付工业卫士时发现，启动白名单后会导致其MES更新失败导致不可使用，但客户又需要将MES程序纳入白名单进行防护。

解决思路：通过对MES程序下发定位分析，其更新程序是通过推送传输至工业主机，非程序主动释放的组件，所以工业卫士的白名单自动跟踪功能无法跟踪，通过工业卫士的目录白名单解决这一问题，将MES系统更新文件路径目录追加为目录白名单，其余任采用文件白名单，能够保证在整体白名单防护的情况下MES系统更新文件的识别，不影响MES系统更新。

ž   在防护模式下拦截MTT集线器，导致触摸不可用

现场情况：在防护模式下拦截MTT集线器，导致触摸不可用，该外设较特殊，无法被自动扫描到，须手动对相关主机MTT集线器加入外设白名单。

解决思路：手动重启主机并扫描每台含有MTT集线器设备，确保外设已加白名单。

4、应用价值与效益

（1）工业主机安全防护能力大幅提升

实现对工业主机的威胁分析和预警，能够有效抵御勒索病毒、蠕虫病毒、木马、恶意软件、0-day攻击等对工控网络主机的攻击与破坏行为，自目前为止累计7700+个病毒文件被清除，主要样本为tasksche、svchost、mssecsvr、mssecsvc等木马、勒索类病毒等。基于工业环境中主机特点进行适配和兼容，帮助企业在保证稳定生产的同时发现工控网络攻击。同时提高系统访问权限，保障数据正常流向，增强操作系统的免疫能力；对外能够加强对 USB 存储/非 USB 存储的管控，防止外设带毒引发主机中毒危险，提升工业生产网安全运维，实现工业主机从启动、加载、运行等过程全生命周期的安全防护。

（2）满足法律法规要求，逐步完善工控安全防护体系

部分智慧工厂可满足等级保护“一个中心，三重防护”相关要求，补充完善部分智慧工厂安全防护技术措施，管理平台已实现对边界安全防护设备、安全审计设备进行统一管控和策略下发，建立并持续完善生产厂区工控系统安全防护体系。