在数字化转型道路上乘风破浪，用安全点亮一座座灯塔工厂

“我们这个行业最大的痛点就是行业周期影响大，我们工程机械的发展受国家基建投资和宏观经济环境影响很大，这也是我们下定决心全面推进数字化与智能化转型的重要原因。”

在与某大型机械制造企业的信息化与智能化建设与网络安全的需求与目标沟通时，BP&IT(质量与流程IT管理部)负责人和我们聊到了工程机械行业的痛点。并且告诉我们，除了面向行业的发展痛点外，还面临伴随数字化与智能化转型过程中的工业互联网伴生的风险防御与检测需求，他表示，“从2008年开始我们发布《XX集团制造技术方案大纲》以来，高度的工业互联场景下我们不得不考虑工业互联网与数据安全问题，因此进行一场彻底的面向工业互联网的安全规划与建设尤其重要。”

图某大型机械制造企业试点工厂

一、数字化智能制造工厂率先启动，安全风险随之而来

2013年开始，该机械制造企业开启流程信息化改造，深化信息化变革，开始建设数字化工厂平台。也就是在这个阶段，依托工信部支持的“国家两化融合智能制造专项”科技项目，该机械制造企业启动打造了首个全球数字化智能制造工厂——试点工厂，建设和实施了智能加工中心与生产线、智能化仓储与运输配送、计划与执行等6个子系统。

“试点工厂建成投产以后，生产方式从将传统的人工作业、机械作业、单点自动化转向高度集成自动化、数控化以及智能化设备转变，我们逐渐开始对智能化场景中的端、点设备安全变得敏感。尤其是一些进口的高端精密设备，一旦遭受网络攻击，损失会非常大，甚至威胁工厂正常生产。然而此时此刻我们就发现工厂内的部分工控机有病毒存在。”BP&IT网络安全组相关负责人向我们表达了原始诉求。

关键设备突破产能瓶颈是该机械制造企业提升效能的重要环节，而关键设备的保护，涉及控制设备与执行设备的漏洞风险、控制协议脆弱性风险、控制主机病毒入侵风险以及网络通信风险急需得到有效处理。

在试点先行、同步规划的指导思想下，该机械制造企业选择以试点厂房为试点开始进行第一轮咨询与评估。针对试点厂房的下料、成型、机加、装配、涂装、AGV物流、立库与焊装8大工艺系统进行现场技术和管理层面的评估。

评估结果显示，在工业控制系统运行的11大类、129个细项的检查中，总体安全符合度有77项，占比60%，去掉不适用部分10项8%之外，风险暴露部分占比超过30%。其中以威胁和外联无法管控为主要部分。

根据该机械制造企业的网络安全管理办法，禁止一切不符合标准的工控机访问互联网，需要通过远程访问方式进入内网调试需通过堡垒机。在试点工厂的评估过程中，发现有工控终端设备通过私人远程工具对厂家提供远程桌面服务，且不受时间与监管限制，对此BP&IT部门提出强烈要求，必须禁止行为、严格管控、加强措施！

另外，该机械制造企业还通过流量分析技术，发现工控网络中存在安全威胁，经分析总结发现安全威胁12个，紧急风险2个，高风险1个，中风险5个。其中包括了挖矿蠕虫、Artemis Botnet C&C活动事件以及其他相关漏洞。

图发现一些设备存在风险

二、基于白名单防护理念，构筑整体工控安全体系

“我们做了大量的流程化管理设计，也将传统的MES升级成为MOM管理系统，皆在建立智能化工厂的统一管理平台，安全需要这样做。”

在集团统一的管理目标之下，结合已经发现的问题，当务之急便是充分理解该机械制造企业的业务现状及发展方向，制定出满足能面向全国包括28家灯塔工厂以及近百座普通工厂的风险可控、威胁可视、流程闭环的安全管理平台。

时间线回到2020年，计算机病毒犹如COVID-19一样，开始在该企业试点工厂肆虐传播，对工厂一线生产造成了很大的困扰。问题初始，BP&IT开始组织资源进行病毒处置工作，一方面要对病毒进行删除，对文件进行修复，另一方面还需要对操作系统进行保护，避免影响到重要的生产活动。然而事与愿违，BP&IT同事在做了充分的准备情况之下，还是出现了因为病毒处置导致的操作系统蓝屏事件，而且多次出现，这就意味着面向工业控制主机的病毒处置任务失败。

“后来我们了解到，工业主机这类场景应该采用白名单的防护思路，于是我们进行了多家安全厂商的相关产品测试工作，最后奇安信的产品解决了我们的问题。”BP&IT相关专家这样表示。

于是，该机械制造企业在选定的试点工厂，开始进行评估工作、病毒处置工作以及规划建设工作。

建设内容主要包括：

集团构建以工业安全管理与分析系统为中心的整体工控安全体系，形成以长沙为管控总部的工控安全运营中心；

在总部与各分子公司的工厂汇聚交换机和接入工业防火墙和工业安全监测系统进行管理，同时对核心工业主机安装主机防护；

工业安全管理与分析系统采集工业安全设备日志，进行安全状态的分析，同时对安全设备进行性能监测和设备基本管理。

为了实现良好的使用效果，奇安信工程师多次到现场交流，了解现场情况和问题，并特别提供了工业安全运营人员，协助现场运维工程师进行资产梳理和安全配置，并对运维工程师进行安全培训和赋能，使运维工程师能够完成工控安全的日常运营，处置安全事件。

在整体建设原则方面，以安全分区、主动防御、异常监测和集中管控为核心。

“安全分区”：根据评估结果和现有网络情况进行梳理，将办公网与工控网络分离开来，进行安全分区，工控网络内部再根据不同工序进行安全域划分，形成更为细致合理的安全区域。根据划分的安全区、安全域制定区间、域间防护措施，部署安全防护设备实现区域之间的安全隔离。

“主动防御”：结合安全区、安全域划分结果，在各安全区、安全域之间部署适当的安全防护设备，如工业安全网关，形成从办公网生产网的纵向安全隔离防护，同时形成生产网各车间网络之间的横向隔离防护，以及各网络内部安全区域之间的安全隔离防护，主动阻断来自网络上的病毒传播以及恶意入侵，并在安全区、安全域内各工业主机(包括上位机和服务器)上部署应用程序白名单安全防护软件，实现对异常行为、恶意代码的检测和防护，主动阻断已知未知病毒及恶意软件的感染入侵，多种技术手段结合形成从外到内、从点到面的主动防御体系。

“异常监测”：针对各安全区、安全域内工业控制设备的运行情况及数据交互、网络流量，持续进行网络流量采集和分析，实时掌握工控设备运行情况，以便出现问题时及时预警。

“集中监控”：针对各安全区、安全域的网络流量、工业设备运行情况、安全设备运行情况、工控设备资产分布情况建立数据采集机制，统一监测各网络区域的工业控制系统的运营日志并进行综合分析，通过对包括全网流量、设备运行状态、数据交互、终端运行安全状态等海量数据的关联分析，发现生产网络存在的安全风险并及时告警，并给出详细的统计报表和攻击路径溯源，形成企业内部的工业安全监控中心，将生产网络安全运行情况进行集中展示，提供资产威胁视图、安全告警视图、资产安全监控视图、资产统计视图等直观数据统计界面，协助用户全面掌握工业控制系统的安全态势并及时做出应对。

某机械制造企业整体防护拓扑图

三、“三现”“四表”“互联”防护，全数转型管理提效

2016年开始，该机械制造企业与树根互联共同打造工业互联网平台，实现从研发到后市场服务的全价值链数字化转型。依托树根互联“数字化转型新基座”，该机械制造企业完成了5.5万个“三现四表互联”。其中，“三现”指现场、现实、现物，“四表”是水、电、气、油表，而“互联”则是围绕以上三个现场，将“四表”的交流管理搬到树根互联的根云平台。

据介绍，现阶段安全防护实现了对全网的“三现四表”设备的状态监测与入侵攻击检查，有效避免来自信息网络的安全隐患对生产控制网络的威胁。

通过两网之间的隔离措施，

实现了

生产网内各业务系统之间的横向逻辑隔离和安全防护，阻止来自区域之间的越权访问，入侵攻击和非法访问；

实现了

对上位机、工程师站、各系统服务器系统的安全加固，通过白名单机制构建安全基线，防止病毒木马、恶意软件对系统的破坏；

实现了

对生产网络及生产设备的监测审计，及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象；

实现了

对所有工控安全防护设备及系统的统一管理，降低运维管理成本；

实现了

对生产网络、生产设备、安全防护设备情况的综合运营管理，协助用户全面掌握工业控制系统的安全态势并及时做出应对。

在集团数字化转型取得初步成功的基础上，该机械制造企业与奇安信一起，对数字化转型的工厂做了持续的检测与梳理。

其中在工业资产层面，按组织和生产工艺，划分为冲压车间、焊装车间、涂装车间、总装车间、动力总成和质检VQ，并分网段进行管理。利用工业安全管理与分析系统将工业主机防护系统、工业安全监测审计系统以及工业防火墙产品作为资产识别数据源，并配置资产运营优先策略，经过人工审核和确认，形成一套资产台账，为后期运营打下良好基础。