一、概述

我國(guó)制造業(yè)可分為三種類型，一類是輕紡工業(yè)，諸如食品、飲料、煙草、造紙、紡織等等。一類是以資源加工為主，比如石油、化工、化纖、醫(yī)藥、黑色金屬等。一類則是以機(jī)械、電子制造為代表，最具代表性的就是裝備、重工制造，不限于機(jī)床、專用設(shè)備、交通運(yùn)輸工具、機(jī)械設(shè)備、儀器儀表等。隨著我國(guó)國(guó)力的增長(zhǎng)，制造業(yè)獲得了長(zhǎng)足的發(fā)展，并已成為國(guó)家未來發(fā)展主要支撐領(lǐng)域。制造業(yè)是我國(guó)國(guó)力強(qiáng)盛的最主要特征，其必將成為我國(guó)“工業(yè)互聯(lián)網(wǎng)”的重要基礎(chǔ)，制造業(yè)的發(fā)展程度直接影響我國(guó)強(qiáng)國(guó)夢(mèng)的實(shí)現(xiàn)。

二、風(fēng)險(xiǎn)分析

雖然我國(guó)制造業(yè)近幾年獲得了較大發(fā)展，但是整體水平較發(fā)達(dá)國(guó)家還是有較大差距，制造企業(yè)自身也面臨一系列發(fā)展瓶頸和不足，主要包括：

內(nèi)部因素：

1、規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)不斷更新。橫向延伸、DNC網(wǎng)絡(luò)越來越龐大，產(chǎn)線不斷擴(kuò)容，覆蓋面積越來越廣，網(wǎng)絡(luò)安全面臨挑戰(zhàn)?？v向擴(kuò)展、服務(wù)器體量越來越大，總體終端數(shù)量越來越多，以一個(gè)中型的汽車制造企業(yè)為例，其操作終端可多達(dá)400~500臺(tái)左右，占了辦公終端的近十分之一。如何確保主機(jī)終端安全可控面臨巨大挑戰(zhàn)；

2、隨著市場(chǎng)需求多樣化，生產(chǎn)分工越來越精細(xì)化、功能性控制器（PLC、機(jī)床功能板卡等）程多樣化，設(shè)計(jì)端對(duì)DNC服務(wù)器及產(chǎn)線的干預(yù)（本地監(jiān)控站甚至機(jī)床本身）越來越多，未知風(fēng)險(xiǎn)愈來愈難以掌控；

3、隨著國(guó)家“工業(yè)互聯(lián)網(wǎng)”建設(shè)推進(jìn)，作為“數(shù)據(jù)采集基礎(chǔ)”中的基礎(chǔ)-“企業(yè)中各種服務(wù)器和管理終端設(shè)備”，往往存在大量未知風(fēng)險(xiǎn)，面臨被淘汰、虛擬化趨勢(shì)。但企業(yè)、行業(yè)工業(yè)APP、工業(yè)云PaaS平臺(tái)建設(shè)緩慢，很長(zhǎng)一段時(shí)間內(nèi)，現(xiàn)有設(shè)備仍是生產(chǎn)主力，主要依賴對(duì)象。尋求既可滿足生產(chǎn)實(shí)際需求，也可保障設(shè)備自身安全的方案，是每個(gè)企業(yè)面臨的首要問題。

外部因素：

2017年，是我國(guó)工控安全的轉(zhuǎn)折點(diǎn)，這一年“勒索病毒-永恒之藍(lán)”肆虐，波及制造業(yè)（比如著名的臺(tái)積電事件）、油氣中下游產(chǎn)業(yè)鏈，醫(yī)療、海關(guān)、政府辦公等等行業(yè)，被業(yè)內(nèi)人士稱為“網(wǎng)絡(luò)的512地震”。勒索病毒主要感染對(duì)象為操作主機(jī)，因此未來一段時(shí)間勒索病毒仍是制造業(yè)面臨的主要威脅。

三、國(guó)家政策導(dǎo)向

2016年5月13日，國(guó)務(wù)院就已頒發(fā)《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國(guó)發(fā)〔2016〕28號(hào)）文件，推出關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見，進(jìn)一步強(qiáng)調(diào)制造業(yè)是國(guó)民經(jīng)濟(jì)的主體，是實(shí)施“互聯(lián)網(wǎng)+”行動(dòng)的主戰(zhàn)場(chǎng)，明確提出“提高工業(yè)信息系統(tǒng)安全水平”建設(shè)任務(wù)。

可見我國(guó)在制造業(yè)已加大力度，打造工業(yè)強(qiáng)國(guó)不遺余力，及時(shí)解決制造業(yè)目前所面臨的問題，對(duì)于“工業(yè)互聯(lián)網(wǎng)”安全生態(tài)環(huán)境至關(guān)重要。基礎(chǔ)安全是互聯(lián)的前提，終端安全是根本。

四、解決方案

從制造業(yè)本身特點(diǎn)來看，除了網(wǎng)絡(luò)的必要防護(hù)之外（比如邊界隔離、入侵檢測(cè)、網(wǎng)絡(luò)審計(jì)等），其最核心的應(yīng)當(dāng)是主機(jī)安全防護(hù)了，畢竟人的因素才是最根本的。由于生產(chǎn)網(wǎng)絡(luò)龐大，操作節(jié)點(diǎn)眾多且分散，任何一個(gè)節(jié)點(diǎn)遭到攻擊都會(huì)造成網(wǎng)絡(luò)的局部、甚至全網(wǎng)癱瘓。從對(duì)企業(yè)實(shí)際情況的調(diào)研來看，無論操作員站、工程師站、服務(wù)器等都面臨一些共性問題，為了解決問題，需要從以下幾個(gè)方面去解決：

1) 調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置數(shù)據(jù)中轉(zhuǎn)及操作專屬設(shè)備（或被稱為DMZ區(qū)），規(guī)范訪問路徑、限制操作行為，禁止非授權(quán)對(duì)終端主機(jī)的訪問和操作；

2） 對(duì)辦公網(wǎng)主機(jī)進(jìn)行安全加固和補(bǔ)丁修補(bǔ)，預(yù)防再次中毒的危險(xiǎn)；利用“白名單技術(shù)”對(duì)生產(chǎn)網(wǎng)工控主機(jī)，建立主機(jī)安全運(yùn)行環(huán)境；

1、①號(hào)位置進(jìn)行主機(jī)加固，封堵不必要的通訊端口，例如139、445等，同時(shí)依據(jù)相關(guān)技術(shù)要求，建立主機(jī)安全基線。辦公網(wǎng)主機(jī)由于其特殊性，存在大量的網(wǎng)絡(luò)操作和訪問，隨時(shí)會(huì)產(chǎn)生大量新的程序和文件，不適用主機(jī)白名單防護(hù)；

2、②號(hào)位置，由于其系統(tǒng)及操作相對(duì)固定，不會(huì)頻繁更新和升級(jí)，適合主機(jī)白名單防護(hù)機(jī)制；

3、③號(hào)位置，其操作系統(tǒng)固定，系統(tǒng)及軟件更新不頻繁，適合主機(jī)白名單機(jī)制防護(hù)。但是考慮到現(xiàn)場(chǎng)經(jīng)常有就地組態(tài)更新，這里主要有兩種情況：一是如果是技術(shù)參數(shù)調(diào)整不會(huì)影響主機(jī)安全衛(wèi)士的運(yùn)行，且主機(jī)衛(wèi)士也不會(huì)進(jìn)行攔截。二是如果進(jìn)行組態(tài)更新，涉及到整個(gè)文件后綴名發(fā)生變化，或者增加新的文件（白名單中不存在的），則可以通過統(tǒng)一管理平臺(tái)將該臺(tái)主機(jī)白名單暫時(shí)放開即可；

4、由于現(xiàn)場(chǎng)操作的存在，一定要保證專用調(diào)試工具的安全，這可以通過工具管理實(shí)現(xiàn)，參考工控安全管理規(guī)范；

5、與主機(jī)衛(wèi)士配套使用的還有安全授權(quán)U盤，專業(yè)維護(hù)工具也可安裝白名單軟件，對(duì)應(yīng)安全授權(quán)U盤，實(shí)現(xiàn)數(shù)據(jù)安全擺渡。

部署工控主機(jī)衛(wèi)士對(duì)系統(tǒng)內(nèi)主機(jī)進(jìn)行防護(hù)，主機(jī)衛(wèi)士采用“白名單”管理技術(shù)，通過對(duì)數(shù)據(jù)采集和分析，其內(nèi)置智能學(xué)習(xí)模塊會(huì)自動(dòng)生成工業(yè)控制軟件正常行為的白名單，與現(xiàn)網(wǎng)中的實(shí)時(shí)傳輸數(shù)據(jù)進(jìn)行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點(diǎn)的行為不符合白名單中的行為特征，其主機(jī)安全防護(hù)系統(tǒng)將會(huì)對(duì)此行為進(jìn)行阻斷或告警，以此避免主機(jī)網(wǎng)絡(luò)受到未知漏洞威脅，同時(shí)還可以有效地阻止操作人員異常操作帶來的危害。

在控制網(wǎng)區(qū)域控制室各操作員站，工程師站，服務(wù)器部署工控主機(jī)衛(wèi)士對(duì)主機(jī)注冊(cè)表，操作系統(tǒng)，以及運(yùn)行在主機(jī)上的工控軟件進(jìn)行保護(hù)，拒絕任何未經(jīng)授權(quán)的安裝、修改、卸載、刪除操作，從而做到斬?cái)嗖《?、惡意代碼的運(yùn)行傳播，起到加固控制網(wǎng)主機(jī)的作用。

在采用智能主動(dòng)防御基礎(chǔ)上，融合主機(jī)加固功能，滿足GB/T 20272-2006《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》對(duì)操作系統(tǒng)安全技術(shù)要求。它不用更改操作系統(tǒng)就可以安裝，操作方便。同時(shí)在操作系統(tǒng)的基礎(chǔ)安全功能之上提供安全保護(hù)層，通過截取系統(tǒng)調(diào)用來實(shí)現(xiàn)對(duì)文件系統(tǒng)的訪問控制，提高操作系統(tǒng)的安全性。它具有完整的用戶身份鑒別、訪問權(quán)限控制、外設(shè)控制、完整性校驗(yàn)、日志審計(jì)的功能，并且采用集中式管理，克服了分布式系統(tǒng)在管理上的諸多問題。

3） 利用統(tǒng)一管理平臺(tái)，對(duì)主機(jī)進(jìn)行雙因子認(rèn)證、外設(shè)監(jiān)管、非法外聯(lián)監(jiān)控、軟體防火墻告警、主機(jī)流量、多種日志審計(jì)、存儲(chǔ)和管理等。

五、可解決問題

主要包括：

1) 主機(jī)操作系統(tǒng)純凈，不適合頻繁升級(jí)、打補(bǔ)丁的問題；

2) 目前國(guó)內(nèi)還沒有一款針對(duì)工業(yè)主機(jī)的專用殺毒軟件，即使有也存在一定安全隱患，比如病毒庫(kù)升級(jí)問題；

3) 由于特殊使用環(huán)境，主機(jī)應(yīng)用軟件存在一定漏洞，但又不敢輕易打補(bǔ)丁，白名單技術(shù)，固化主機(jī)運(yùn)行環(huán)境，解決主機(jī)升級(jí)、打補(bǔ)丁煩惱；

4) 絕大部分主機(jī)缺少必要的安全策略和管理規(guī)劃，主機(jī)安全衛(wèi)士融合主機(jī)加固技術(shù)，解決安全基線建設(shè)不足問題。