安全已“上车”，长扬科技赋能汽车制造行业高质量发展

在汽车制造车间，智能机器人精确执行铆接、滚边、涂胶，每一步分毫不差；喷涂机器人长臂挥舞，为车身披上亮丽“外衣”……如今，随着智能制造不断发展，汽车制造从冲压、焊装、涂装到总装，已广泛应用了自动化总线技术、PLC、变频器、机器人等汽车制造行业的自动化设备。通过将信息管理系统、MES系统、生产线自动化控制系统、WMS物流仓储系统等互联互通，信息共享，生产管理集中管控，实现企业信息管理和生产管理的统一，从而推动汽车制造业实现高质量发展。

正如一枚硬币的正反两面，自动化技术和工业以太网的发展，同时也为工业控制系统带来了一系列工控信息安全的风险和隐患。诸如工业控制系统下的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、生产核心数据被窃取、破坏生产设备等恶意行为，可能会造成生产线的瘫痪，生产数据被破坏、窃取等威胁，从而造成生产安全事故。

作为工业互联网安全行业的第一批践行者，长扬科技已为数千家企业构建集团级工业网络安全保障体系，依托全生命周期安全管理，有力保障系统的持续、安全、稳定运行，有效提升企业安全防护能力，护航企业数字化转型和高质量发展。

在这一背景下，某汽车制造集团信息安全处牵头，委托长扬科技，完成集团下属某工厂工控安全调研，对其工控系统信息安全进行全面分析，从工控系统网络安全技术和安全管理的角度评估现有系统存在的安全风险，以指导后续的工控系统防护建设和管理工作。

需要优化的方面

通过对该工厂工控安全现场调研，发现以下几个方面还需进一步优化：

1.该工厂的生产、办公、开发、测试、运行等网络架构完全混合在一起，没有从工作原理、工艺流程、业务形态、重要程度、安全防护级别等因素出发，采取有效措施实现现场控制、过程监控、生产管理、信息管理的区域划分；

2. 所有生产自动化系统和办公网是混合在一起的，管理信息安全与汽研院、管理信息大区与互联网、管理信息大区与生产控制大区、办公信息区与生产管理区、生产控制大区各系统内部之间、生产自动化无线系统接入等均未实施边界的信息安全逻辑隔离；

3.某工厂的工业生产网络缺乏对病毒以及网络入侵的有效检测手段，无法有效探测到工业生产网络中存在的攻击行为；

4.因防病毒软件的部署不完善，工控自动化系统各设备的USB接口几乎处于无控制措施状态；

5.目前暂未在各控制系统PLC前端部署具备工业协议深度包检测功能的防护设备，限制违法操作和针对控制器的非法指令下达等攻击；

6.防病毒机制不完善，漏洞管理等缺乏相应的管理措施。

建设方案

管理体系统建设：梳理公司工业控制系统安全防护方面的组织机构、管理制度、人员管理、系统建设管理、资源保障、监督检查等方面的信息，建立与公司工控安全管理相适应的工控安全管理体系。

服务体系建设：构建严密的安全服务体系，遵循相关标准规范，建立保障运维的服务体系和机制，提高运维管理服务规范性和主动性。

安全防护建设：

1、整体监控现有生产网络的网络安全设施，满足工业生产网络的安全合规要求；

2、构建工业生产网络的网络安全感知体系；

3、按照业务以及生产工艺合理划分网络区域；

4、对不同属性的网络边界采取安全措施进行相应的隔离；

5、保护工控主机的USB端口；

6、通过白名单机制和可信计算原理，有效防范漏洞风险和非授权进程在工控系统中的运行，保障各生产业务系统安全。

总体架构

实施范围：

此次实施范围涵盖某工厂生产基地的冲压车间、焊接车间、涂装车间、总装车间、检测线车间等的所有工控系统。

实施内容：

（一）安全体系建设：梳理公司工业控制系统安全防护方面的组织机构、管理制度、人员管理、系统建设管理、资源保障、监督检查等方面的信息，建立与公司工控安全管理相适应的工控安全管理体系和服务体系；

（二）边界隔离：根据工厂的网络结构、区域划分，在车间生产网络边界部署工业智能防火墙形成边界安全隔离，实现基于工业协议的安全防护；

（三）流量审计：在核心交换机上旁路部署工业监测审计系统，运用“白名单+黑名单”技术建立工控网络安全通信模型，实时发现攻击和破坏行为；

（四）主机防护：在生产主机和服务器上安装主机工控卫士对主机进程、USB接口，文件系统进行防护，有效切断病毒和木马的破坏路径；

（五）集中管理：

通过统一安全管理平台，对网络中的安全产品及安全事件进行集中管理。实现对全网中安全设备的统一配置、全面监控、实时告警、流量分析等。提高事件响应效率；

通过建立与公司工控安全管理相适应的工控安全管理体系和服务体系，有效提高对信息安全风险的管控能力，提高运维管理服务规范性和主动性；

通过对网络区域划分、流量检测、主机防护等收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型。

建设效果

通过本次项目的实施，能在某工厂工控安全建设方面实现以下效果：

1、 通过项目实施规范企业工控系统网络中的资产和网络行为，有效降低生产网络中的信息安全风险，防止因安全事故造成生产停线，监管工控系统信息安全形势，保障企业生产的连续性和稳定性，以安全保发展，以发展促安全，产生良好的经济效益；

2、 通过总结试点经验，形成可复制、可推广的工控系统安全操作模式、应用机制和安全防护解决方案。通过项目建设，有利于整合公司各生产基地接口规范，孵化行业标准；有利于提升国家及行业监管、企业管理的效率及水平；有利于在汽车领域形成工控及网络安全监管示范效应；

3、 本项目是某公司在网络安全管理体系的重要示范，是规划覆盖整个公司各生产基地工控安全管理的重要支撑，为各生产基地工控系统整体安全稳定运行、管理效率提升树立标杆，并能加速完成公司网络安全和信息化基础设施及技术平台的整合与优化，助力公司快速实现企业智能制造体系和智慧管理体系的建设；

4、有效满足等保、工业控制系统安全防护指南等合规要求。

安全服务体系建设

安全服务是保证设备和系统安全运行的关键防护措施，本次安全服务主要根据现场实际情况与等级保护2.0差距分析报告及整改建议对工控环境的操作系统、数据库、网络设备、安全设备进行安全服务。

客户价值

系统安全加固服务，可为客户带来如下收益：

• 价值1：有效修复、减少系统中存在的高、中危漏洞，降低安全漏洞和隐患带来的安全风险；

• 价值2：有效提升系统自身的安全防护能力；

• 价值3：最大程度保障系统的持续、安全、稳定运行。