一、概述

我國制造業(yè)可分為三種類型，一類是輕紡工業(yè)，諸如食品、飲料、煙草、造紙、紡織等等。一類是以資源加工為主，比如石油、化工、化纖、醫(yī)藥、黑色金屬等。一類則是以機械、電子制造為代表，最具代表性的就是裝備、重工制造，不限于機床、專用設備、交通運輸工具、機械設備、儀器儀表等。隨著我國國力的增長，制造業(yè)獲得了長足的發(fā)展，并已成為國家未來發(fā)展主要支撐領域。制造業(yè)是我國國力強盛的最主要特征，其必將成為我國“工業(yè)互聯(lián)網”的重要基礎，制造業(yè)的發(fā)展程度直接影響我國強國夢的實現。

二、風險分析

雖然我國制造業(yè)近幾年獲得了較大發(fā)展，但是整體水平較發(fā)達國家還是有較大差距，制造企業(yè)自身也面臨一系列發(fā)展瓶頸和不足，主要包括：

內部因素：

1、規(guī)模不斷擴大，網絡不斷更新。橫向延伸、DNC網絡越來越龐大，產線不斷擴容，覆蓋面積越來越廣，網絡安全面臨挑戰(zhàn)?？v向擴展、服務器體量越來越大，總體終端數量越來越多，以一個中型的汽車制造企業(yè)為例，其操作終端可多達400~500臺左右，占了辦公終端的近十分之一。如何確保主機終端安全可控面臨巨大挑戰(zhàn)；

2、隨著市場需求多樣化，生產分工越來越精細化、功能性控制器（PLC、機床功能板卡等）程多樣化，設計端對DNC服務器及產線的干預（本地監(jiān)控站甚至機床本身）越來越多，未知風險愈來愈難以掌控；

3、隨著國家“工業(yè)互聯(lián)網”建設推進，作為“數據采集基礎”中的基礎-“企業(yè)中各種服務器和管理終端設備”，往往存在大量未知風險，面臨被淘汰、虛擬化趨勢。但企業(yè)、行業(yè)工業(yè)APP、工業(yè)云PaaS平臺建設緩慢，很長一段時間內，現有設備仍是生產主力，主要依賴對象。尋求既可滿足生產實際需求，也可保障設備自身安全的方案，是每個企業(yè)面臨的首要問題。

外部因素：

2017年，是我國工控安全的轉折點，這一年“勒索病毒-永恒之藍”肆虐，波及制造業(yè)（比如著名的臺積電事件）、油氣中下游產業(yè)鏈，醫(yī)療、海關、政府辦公等等行業(yè)，被業(yè)內人士稱為“網絡的512地震”。勒索病毒主要感染對象為操作主機，因此未來一段時間勒索病毒仍是制造業(yè)面臨的主要威脅。

三、國家政策導向

2016年5月13日，國務院就已頒發(fā)《國務院關于深化制造業(yè)與互聯(lián)網融合發(fā)展的指導意見》（國發(fā)〔2016〕28號）文件，推出關于深化制造業(yè)與互聯(lián)網融合發(fā)展的指導意見，進一步強調制造業(yè)是國民經濟的主體，是實施“互聯(lián)網+”行動的主戰(zhàn)場，明確提出“提高工業(yè)信息系統(tǒng)安全水平”建設任務。

可見我國在制造業(yè)已加大力度，打造工業(yè)強國不遺余力，及時解決制造業(yè)目前所面臨的問題，對于“工業(yè)互聯(lián)網”安全生態(tài)環(huán)境至關重要?；A安全是互聯(lián)的前提，終端安全是根本。

四、解決方案

從制造業(yè)本身特點來看，除了網絡的必要防護之外（比如邊界隔離、入侵檢測、網絡審計等），其最核心的應當是主機安全防護了，畢竟人的因素才是最根本的。由于生產網絡龐大，操作節(jié)點眾多且分散，任何一個節(jié)點遭到攻擊都會造成網絡的局部、甚至全網癱瘓。從對企業(yè)實際情況的調研來看，無論操作員站、工程師站、服務器等都面臨一些共性問題，為了解決問題，需要從以下幾個方面去解決：

1) 調整網絡結構，設置數據中轉及操作專屬設備（或被稱為DMZ區(qū)），規(guī)范訪問路徑、限制操作行為，禁止非授權對終端主機的訪問和操作；

2） 對辦公網主機進行安全加固和補丁修補，預防再次中毒的危險；利用“白名單技術”對生產網工控主機，建立主機安全運行環(huán)境；

1、①號位置進行主機加固，封堵不必要的通訊端口，例如139、445等，同時依據相關技術要求，建立主機安全基線。辦公網主機由于其特殊性，存在大量的網絡操作和訪問，隨時會產生大量新的程序和文件，不適用主機白名單防護；

2、②號位置，由于其系統(tǒng)及操作相對固定，不會頻繁更新和升級，適合主機白名單防護機制；

3、③號位置，其操作系統(tǒng)固定，系統(tǒng)及軟件更新不頻繁，適合主機白名單機制防護。但是考慮到現場經常有就地組態(tài)更新，這里主要有兩種情況：一是如果是技術參數調整不會影響主機安全衛(wèi)士的運行，且主機衛(wèi)士也不會進行攔截。二是如果進行組態(tài)更新，涉及到整個文件后綴名發(fā)生變化，或者增加新的文件（白名單中不存在的），則可以通過統(tǒng)一管理平臺將該臺主機白名單暫時放開即可；

4、由于現場操作的存在，一定要保證專用調試工具的安全，這可以通過工具管理實現，參考工控安全管理規(guī)范；

5、與主機衛(wèi)士配套使用的還有安全授權U盤，專業(yè)維護工具也可安裝白名單軟件，對應安全授權U盤，實現數據安全擺渡。

部署工控主機衛(wèi)士對系統(tǒng)內主機進行防護，主機衛(wèi)士采用“白名單”管理技術，通過對數據采集和分析，其內置智能學習模塊會自動生成工業(yè)控制軟件正常行為的白名單，與現網中的實時傳輸數據進行比較、匹配、判斷。如果發(fā)現其用戶節(jié)點的行為不符合白名單中的行為特征，其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警，以此避免主機網絡受到未知漏洞威脅，同時還可以有效地阻止操作人員異常操作帶來的危害。

在控制網區(qū)域控制室各操作員站，工程師站，服務器部署工控主機衛(wèi)士對主機注冊表，操作系統(tǒng)，以及運行在主機上的工控軟件進行保護，拒絕任何未經授權的安裝、修改、卸載、刪除操作，從而做到斬斷病毒、惡意代碼的運行傳播，起到加固控制網主機的作用。

在采用智能主動防御基礎上，融合主機加固功能，滿足GB/T 20272-2006《信息安全技術 操作系統(tǒng)安全技術要求》對操作系統(tǒng)安全技術要求。它不用更改操作系統(tǒng)就可以安裝，操作方便。同時在操作系統(tǒng)的基礎安全功能之上提供安全保護層，通過截取系統(tǒng)調用來實現對文件系統(tǒng)的訪問控制，提高操作系統(tǒng)的安全性。它具有完整的用戶身份鑒別、訪問權限控制、外設控制、完整性校驗、日志審計的功能，并且采用集中式管理，克服了分布式系統(tǒng)在管理上的諸多問題。

3） 利用統(tǒng)一管理平臺，對主機進行雙因子認證、外設監(jiān)管、非法外聯(lián)監(jiān)控、軟體防火墻告警、主機流量、多種日志審計、存儲和管理等。

五、可解決問題

主要包括：

1) 主機操作系統(tǒng)純凈，不適合頻繁升級、打補丁的問題；

2) 目前國內還沒有一款針對工業(yè)主機的專用殺毒軟件，即使有也存在一定安全隱患，比如病毒庫升級問題；

3) 由于特殊使用環(huán)境，主機應用軟件存在一定漏洞，但又不敢輕易打補丁，白名單技術，固化主機運行環(huán)境，解決主機升級、打補丁煩惱；

4) 絕大部分主機缺少必要的安全策略和管理規(guī)劃，主機安全衛(wèi)士融合主機加固技術，解決安全基線建設不足問題。