一、概述

我國制造業(yè)可分為三種類型，一類是輕紡工業(yè)，諸如食品、飲料、煙草、造紙、紡織等等。一類是以資源加工為主，比如石油、化工、化纖、醫(yī)藥、黑色金屬等。一類則是以機械、電子制造為代表，最具代表性的就是裝備、重工制造，不限于機床、專用設(shè)備、交通運輸工具、機械設(shè)備、儀器儀表等。隨著我國國力的增長，制造業(yè)獲得了長足的發(fā)展，并已成為國家未來發(fā)展主要支撐領(lǐng)域。制造業(yè)是我國國力強盛的最主要特征，其必將成為我國“工業(yè)互聯(lián)網(wǎng)”的重要基礎(chǔ)，制造業(yè)的發(fā)展程度直接影響我國強國夢的實現(xiàn)。

二、風險分析

雖然我國制造業(yè)近幾年獲得了較大發(fā)展，但是整體水平較發(fā)達國家還是有較大差距，制造企業(yè)自身也面臨一系列發(fā)展瓶頸和不足，主要包括：

內(nèi)部因素：

1、規(guī)模不斷擴大，網(wǎng)絡(luò)不斷更新。橫向延伸、DNC網(wǎng)絡(luò)越來越龐大，產(chǎn)線不斷擴容，覆蓋面積越來越廣，網(wǎng)絡(luò)安全面臨挑戰(zhàn)?？v向擴展、服務(wù)器體量越來越大，總體終端數(shù)量越來越多，以一個中型的汽車制造企業(yè)為例，其操作終端可多達400~500臺左右，占了辦公終端的近十分之一。如何確保主機終端安全可控面臨巨大挑戰(zhàn)；

2、隨著市場需求多樣化，生產(chǎn)分工越來越精細化、功能性控制器（PLC、機床功能板卡等）程多樣化，設(shè)計端對DNC服務(wù)器及產(chǎn)線的干預(yù)（本地監(jiān)控站甚至機床本身）越來越多，未知風險愈來愈難以掌控；

3、隨著國家“工業(yè)互聯(lián)網(wǎng)”建設(shè)推進，作為“數(shù)據(jù)采集基礎(chǔ)”中的基礎(chǔ)-“企業(yè)中各種服務(wù)器和管理終端設(shè)備”，往往存在大量未知風險，面臨被淘汰、虛擬化趨勢。但企業(yè)、行業(yè)工業(yè)APP、工業(yè)云PaaS平臺建設(shè)緩慢，很長一段時間內(nèi)，現(xiàn)有設(shè)備仍是生產(chǎn)主力，主要依賴對象。尋求既可滿足生產(chǎn)實際需求，也可保障設(shè)備自身安全的方案，是每個企業(yè)面臨的首要問題。

外部因素：

2017年，是我國工控安全的轉(zhuǎn)折點，這一年“勒索病毒-永恒之藍”肆虐，波及制造業(yè)（比如著名的臺積電事件）、油氣中下游產(chǎn)業(yè)鏈，醫(yī)療、海關(guān)、政府辦公等等行業(yè)，被業(yè)內(nèi)人士稱為“網(wǎng)絡(luò)的512地震”。勒索病毒主要感染對象為操作主機，因此未來一段時間勒索病毒仍是制造業(yè)面臨的主要威脅。

三、國家政策導(dǎo)向

2016年5月13日，國務(wù)院就已頒發(fā)《國務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》（國發(fā)〔2016〕28號）文件，推出關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見，進一步強調(diào)制造業(yè)是國民經(jīng)濟的主體，是實施“互聯(lián)網(wǎng)+”行動的主戰(zhàn)場，明確提出“提高工業(yè)信息系統(tǒng)安全水平”建設(shè)任務(wù)。

可見我國在制造業(yè)已加大力度，打造工業(yè)強國不遺余力，及時解決制造業(yè)目前所面臨的問題，對于“工業(yè)互聯(lián)網(wǎng)”安全生態(tài)環(huán)境至關(guān)重要。基礎(chǔ)安全是互聯(lián)的前提，終端安全是根本。

四、解決方案

從制造業(yè)本身特點來看，除了網(wǎng)絡(luò)的必要防護之外（比如邊界隔離、入侵檢測、網(wǎng)絡(luò)審計等），其最核心的應(yīng)當是主機安全防護了，畢竟人的因素才是最根本的。由于生產(chǎn)網(wǎng)絡(luò)龐大，操作節(jié)點眾多且分散，任何一個節(jié)點遭到攻擊都會造成網(wǎng)絡(luò)的局部、甚至全網(wǎng)癱瘓。從對企業(yè)實際情況的調(diào)研來看，無論操作員站、工程師站、服務(wù)器等都面臨一些共性問題，為了解決問題，需要從以下幾個方面去解決：

1) 調(diào)整網(wǎng)絡(luò)結(jié)構(gòu)，設(shè)置數(shù)據(jù)中轉(zhuǎn)及操作專屬設(shè)備（或被稱為DMZ區(qū)），規(guī)范訪問路徑、限制操作行為，禁止非授權(quán)對終端主機的訪問和操作；

2） 對辦公網(wǎng)主機進行安全加固和補丁修補，預(yù)防再次中毒的危險；利用“白名單技術(shù)”對生產(chǎn)網(wǎng)工控主機，建立主機安全運行環(huán)境；

1、①號位置進行主機加固，封堵不必要的通訊端口，例如139、445等，同時依據(jù)相關(guān)技術(shù)要求，建立主機安全基線。辦公網(wǎng)主機由于其特殊性，存在大量的網(wǎng)絡(luò)操作和訪問，隨時會產(chǎn)生大量新的程序和文件，不適用主機白名單防護；

2、②號位置，由于其系統(tǒng)及操作相對固定，不會頻繁更新和升級，適合主機白名單防護機制；

3、③號位置，其操作系統(tǒng)固定，系統(tǒng)及軟件更新不頻繁，適合主機白名單機制防護。但是考慮到現(xiàn)場經(jīng)常有就地組態(tài)更新，這里主要有兩種情況：一是如果是技術(shù)參數(shù)調(diào)整不會影響主機安全衛(wèi)士的運行，且主機衛(wèi)士也不會進行攔截。二是如果進行組態(tài)更新，涉及到整個文件后綴名發(fā)生變化，或者增加新的文件（白名單中不存在的），則可以通過統(tǒng)一管理平臺將該臺主機白名單暫時放開即可；

4、由于現(xiàn)場操作的存在，一定要保證專用調(diào)試工具的安全，這可以通過工具管理實現(xiàn)，參考工控安全管理規(guī)范；

5、與主機衛(wèi)士配套使用的還有安全授權(quán)U盤，專業(yè)維護工具也可安裝白名單軟件，對應(yīng)安全授權(quán)U盤，實現(xiàn)數(shù)據(jù)安全擺渡。

部署工控主機衛(wèi)士對系統(tǒng)內(nèi)主機進行防護，主機衛(wèi)士采用“白名單”管理技術(shù)，通過對數(shù)據(jù)采集和分析，其內(nèi)置智能學(xué)習模塊會自動生成工業(yè)控制軟件正常行為的白名單，與現(xiàn)網(wǎng)中的實時傳輸數(shù)據(jù)進行比較、匹配、判斷。如果發(fā)現(xiàn)其用戶節(jié)點的行為不符合白名單中的行為特征，其主機安全防護系統(tǒng)將會對此行為進行阻斷或告警，以此避免主機網(wǎng)絡(luò)受到未知漏洞威脅，同時還可以有效地阻止操作人員異常操作帶來的危害。

在控制網(wǎng)區(qū)域控制室各操作員站，工程師站，服務(wù)器部署工控主機衛(wèi)士對主機注冊表，操作系統(tǒng)，以及運行在主機上的工控軟件進行保護，拒絕任何未經(jīng)授權(quán)的安裝、修改、卸載、刪除操作，從而做到斬斷病毒、惡意代碼的運行傳播，起到加固控制網(wǎng)主機的作用。

在采用智能主動防御基礎(chǔ)上，融合主機加固功能，滿足GB/T 20272-2006《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》對操作系統(tǒng)安全技術(shù)要求。它不用更改操作系統(tǒng)就可以安裝，操作方便。同時在操作系統(tǒng)的基礎(chǔ)安全功能之上提供安全保護層，通過截取系統(tǒng)調(diào)用來實現(xiàn)對文件系統(tǒng)的訪問控制，提高操作系統(tǒng)的安全性。它具有完整的用戶身份鑒別、訪問權(quán)限控制、外設(shè)控制、完整性校驗、日志審計的功能，并且采用集中式管理，克服了分布式系統(tǒng)在管理上的諸多問題。

3） 利用統(tǒng)一管理平臺，對主機進行雙因子認證、外設(shè)監(jiān)管、非法外聯(lián)監(jiān)控、軟體防火墻告警、主機流量、多種日志審計、存儲和管理等。

五、可解決問題

主要包括：

1) 主機操作系統(tǒng)純凈，不適合頻繁升級、打補丁的問題；

2) 目前國內(nèi)還沒有一款針對工業(yè)主機的專用殺毒軟件，即使有也存在一定安全隱患，比如病毒庫升級問題；

3) 由于特殊使用環(huán)境，主機應(yīng)用軟件存在一定漏洞，但又不敢輕易打補丁，白名單技術(shù)，固化主機運行環(huán)境，解決主機升級、打補丁煩惱；

4) 絕大部分主機缺少必要的安全策略和管理規(guī)劃，主機安全衛(wèi)士融合主機加固技術(shù)，解決安全基線建設(shè)不足問題。