久久久91-久久久91精品国产一区二区-久久久91精品国产一区二区三区-久久久999国产精品-久久久999久久久精品

1、背景介紹

海爾智家以工業(yè)互聯(lián)網(wǎng)為基礎(chǔ)支撐，應用于設(shè)計、生產(chǎn)、制造、管理、服務等諸多環(huán)節(jié)，具有高效精準決策、實時動態(tài)優(yōu)化、敏捷靈活響應等特征。海爾智家的工業(yè)互聯(lián)網(wǎng)依托“人/機/物”的互聯(lián)互通，打通產(chǎn)業(yè)要素、產(chǎn)業(yè)鏈和價值鏈，推動建立工業(yè)生產(chǎn)制造與服務新體系，奠定了全新工業(yè)生態(tài)和新型應用模式的關(guān)鍵基礎(chǔ)。當前海爾智家的智能制造、工業(yè)互聯(lián)網(wǎng)的實質(zhì)均是數(shù)據(jù)驅(qū)動的智能化，二者融合發(fā)展相得益彰。當前形成以網(wǎng)絡(luò)互聯(lián)為基礎(chǔ)、以工業(yè)互聯(lián)網(wǎng)平臺為核心的信息制造體系，打造了制造業(yè)新生態(tài)，對我國制造業(yè)發(fā)展產(chǎn)生了深遠的影響。

工業(yè)控制系統(tǒng)網(wǎng)絡(luò)技術(shù)的發(fā)展雖然為海爾智家的發(fā)展以及智慧工廠的推行提供了便利，但同時須面對工業(yè)控制系統(tǒng)安全的嚴峻挑戰(zhàn)。與傳統(tǒng)的基于TCP/IP協(xié)議的傳統(tǒng)網(wǎng)絡(luò)信息系統(tǒng)的安全不同，工業(yè)基礎(chǔ)設(shè)施中關(guān)鍵ICS的安全事件會導致系統(tǒng)性能下降，影響系統(tǒng)可用性、關(guān)鍵控制數(shù)據(jù)被篡改或丟失、失去控制、環(huán)境災難、人員傷亡、公司聲譽受損、危及公眾生活及國家安全等危害。

近年來，智能制造行業(yè)工業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全事件頻發(fā)，大多數(shù)工業(yè)安全事件是以生產(chǎn)車間現(xiàn)場的工業(yè)主機為主要突破口，其中最為典型的就是 WannaCry勒索病毒攻擊事件，2017年“永恒之藍”勒索病毒攻擊事件在全球爆發(fā)，大量的工業(yè)現(xiàn)場主機受到感染，導致工業(yè)主機頻繁出現(xiàn)藍屏死機、文件加密、產(chǎn)線被迫停產(chǎn)等問題。因此海爾智家智慧工廠在進行安全建設(shè)的過程中，需重點實現(xiàn)對海爾智家生產(chǎn)車間的主機進行安全防護，打造基于主機安全、設(shè)備安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全的多層次縱深防御體系，形成工業(yè)企業(yè)安全防護服務能力。

2、目標與原則

（1）項目建設(shè)目標

目標一：搭建工業(yè)主機安全防護體系，部署7000點+工業(yè)白名單軟件

?  工業(yè)主機衛(wèi)士采用的“白名單+”防護技術(shù)結(jié)合惡意文件檢查，能夠有效抵御病毒、木馬、惡意軟件、0-day攻擊等對工控網(wǎng)絡(luò)工作站、服務器的攻擊與破壞行為。并基于工業(yè)環(huán)境中主機特點進行適配和兼容，真正幫助企業(yè)在保證穩(wěn)定生產(chǎn)的同時發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊，減少蠕蟲、木馬病毒的攻擊，特別是防止勒索病毒、挖礦病毒的攻擊；

?  工業(yè)主機衛(wèi)士的主機加固功能，提高系統(tǒng)訪問權(quán)限，保障數(shù)據(jù)正常流向，增強操作系統(tǒng)的免疫能力；對外能夠加強對USB存儲/非USB存儲的管控，防止外設(shè)帶毒引發(fā)主機中毒危險，提升工業(yè)生產(chǎn)網(wǎng)安全運維。

?  工業(yè)主機衛(wèi)士白名單策略只允許可信的白名單程序可運行，從源頭上阻止惡意文件的執(zhí)行和擴散，提升工業(yè)主機的安全穩(wěn)定運行能力；

?  工業(yè)衛(wèi)士軟件采用輕量的白名單機制對主機進行防護，系統(tǒng)資源占用少，安裝部署后對工控系統(tǒng)零影響，無需重啟系統(tǒng)。并且支持在不影響使用的情況下對工控軟件的安裝和升級。

目標二：實現(xiàn)工業(yè)信息安全平臺化管理，部署2級管理平臺聯(lián)動體系

?  管理平臺對主機防護軟件的實時狀態(tài)、配置下發(fā)歷史、資源消耗、及安全事件統(tǒng)一管理，保障多層級工業(yè)網(wǎng)絡(luò)拓撲的實時數(shù)據(jù)展示，隨時掌握生產(chǎn)主機的運行情況；

?  管理平臺可實現(xiàn)單點防護軟件遠程管理，在管理中心可實現(xiàn)對主機防護全部功能配置下發(fā)，提高安全運維人員工作效率；

?  實時掌握生產(chǎn)網(wǎng)絡(luò)安全態(tài)勢，幫助用戶呈現(xiàn)整體區(qū)域資產(chǎn)網(wǎng)絡(luò)拓撲，實時掌握企業(yè)安全態(tài)勢，發(fā)生威脅攻擊事件可及時響應處理；

?  通過監(jiān)管平臺實現(xiàn)自動灰過白，保證工業(yè)主機衛(wèi)士的白名單的可信性，防止惡意程序偽裝成白名單進程，從而破壞主機的正常運轉(zhuǎn)。

?  通過中心級與園區(qū)級平臺的聯(lián)動，可對終端進行手工或自動創(chuàng)建分組，并將相應的終端加入相應分組，組內(nèi)管理相對應的終端，中心級平臺可對地區(qū)級平臺實現(xiàn)異地管控。可對園區(qū)二級安全管理平臺下發(fā)策略，區(qū)級安全管理平臺對終端下發(fā)同步策略，實現(xiàn)工業(yè)主機衛(wèi)士的多級管理聯(lián)動管理。

?  管理平臺可通過syslog日志進行安全日志的轉(zhuǎn)發(fā)，并可以與未來的態(tài)勢感知平臺進行無縫對接。

目標三：滿足法律法規(guī)要求，逐步完善工控安全防護體系

?  項目建設(shè)完成后可滿足等級保護要求構(gòu)建“一個中心，三重防護“為網(wǎng)絡(luò)安全技術(shù)設(shè)計的總體思路，對安全計算環(huán)境、安全區(qū)域邊界、安全通信網(wǎng)絡(luò)進行統(tǒng)一管理，同時滿足未來監(jiān)管部門在信息安全層面上的硬性要求。

?  補充完善部分智慧工廠安全防護技術(shù)措施，所部署產(chǎn)品包括工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)審計、日志審計系統(tǒng)、工業(yè)堡壘機等；

?  管理平臺可對邊界安全防護設(shè)備、安全審計設(shè)備進行統(tǒng)一管控和策略下發(fā)，建立并持續(xù)完善生產(chǎn)廠區(qū)工控系統(tǒng)安全防護體系。

（2）項目建設(shè)原則

對于工控系統(tǒng)信息安全建設(shè)，應當以適度安全為核心，以重點保護為原則，從業(yè)務的角度出發(fā)，重點保護重要的業(yè)務系統(tǒng)，在方案設(shè)計中應當遵循以下的原則：

?  重點保護原則

根據(jù)信息系統(tǒng)的重要程度、業(yè)務特點，通過劃分不同安全保護等級的信息系統(tǒng)，實現(xiàn)不同強度的安全保護，集中資源優(yōu)先保護涉及核心業(yè)務或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。

?  適度安全原則

任何信息系統(tǒng)都不能做到絕對的安全，過多的安全要求必將造成易用性降低和運行的復雜性，因此要在安全需求、安全風險和易用性之間進行平衡和折中。

?  風險管理原則

進行安全風險管理，確認可能影響信息系統(tǒng)的安全風險，正確的識別風險、合理的管理風險，并讓信息系統(tǒng)的安全風險降低到可以接受的水平以內(nèi)。

?  分權(quán)制衡原則

在信息系統(tǒng)中，對所有權(quán)限應該進行適當?shù)貏澐?，使每個授權(quán)主體只能擁有其中的一部分權(quán)限，使他們之間相互制約、相互監(jiān)督，共同保證信息系統(tǒng)的安全。

?  標準化原則

在方案設(shè)計和設(shè)備選型方面必須遵循國家以及行業(yè)內(nèi)的相關(guān)標準，并充分考慮不同產(chǎn)品之間的兼容性。

?  統(tǒng)一安全管理原則

在方案設(shè)計中主機、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應用系統(tǒng)、數(shù)據(jù)庫等必須遵循統(tǒng)一安全管理的要求。

3、案例實施與應用情況

（1）項目規(guī)劃

基于海爾智家下屬園區(qū)企業(yè)的工業(yè)網(wǎng)絡(luò)安全防護需求，依靠工業(yè)信息安全保障建設(shè)框架，建設(shè)網(wǎng)絡(luò)安全縱深防御體系框架，打造工業(yè)企業(yè)安全運營與管理平臺，提升工業(yè)企業(yè)安全與運營管理能力，構(gòu)建多層次一體化工業(yè)網(wǎng)絡(luò)安全防御能力，為工業(yè)企業(yè)的數(shù)字化轉(zhuǎn)型升級提供保障?；谡w安全建設(shè)規(guī)劃，在當前階段主要優(yōu)先考慮到要針對工業(yè)主機進行系統(tǒng)化的安全防護建設(shè)，工業(yè)主機做為連接信息世界和物理世界的“橋梁”，做好工業(yè)主機的安全防護和控制是保障工業(yè)互聯(lián)網(wǎng)安全的核心。一旦工業(yè)主機遭受攻擊和破壞，必然會導致企業(yè)經(jīng)營的損失。從工業(yè)企業(yè)現(xiàn)狀來看，工業(yè)主機主要面臨勒索病毒攻擊、漏洞利用攻擊和外設(shè)引入病毒等潛在安全威脅。工業(yè)主機大多數(shù)采用 Windows 系統(tǒng)，存在大量的系統(tǒng)漏洞，且無漏洞補丁可打，工業(yè)主機存在很多的脆弱性風險，在眾多的終端安全防護問題中，USB 等外設(shè)設(shè)備濫用的問題特別突出，容易遭受病毒攻擊，所以有必要優(yōu)先建立一套完善的主機防護系統(tǒng)。

（2）實施與應用的詳細情況

該案例至目前為止已覆蓋海爾智家冰箱、洗滌、空氣、熱水器、廚電五大產(chǎn)業(yè)17個園區(qū)52家工廠，涉及產(chǎn)品包括工業(yè)防火墻、工業(yè)網(wǎng)絡(luò)審計、日志審計系統(tǒng)、工業(yè)堡壘機、工業(yè)態(tài)勢感知、統(tǒng)一安全監(jiān)管平臺等軟硬件一體化設(shè)備若干及工業(yè)主機衛(wèi)士軟件7000+點，生產(chǎn)網(wǎng)絡(luò)中工業(yè)主機基本使用Windows操作系統(tǒng)，還有部分Linux系統(tǒng)，存在大量安全隱患。針對工控安全環(huán)境下的主機安全及等級保護需求，需要針對工業(yè)環(huán)境下的工控主機進行安全防護和主機加固，搭建基于工控系統(tǒng)主機的入侵防護機制，提升主機安全防護水平，鑒于工控主機資源配置低、操作系統(tǒng)版本參差不齊，主機防護軟件采用基于“工業(yè)白名單技術(shù)”的工業(yè)主機衛(wèi)士軟件進行安全防護，具備病毒阻止、木馬阻止、惡意程序防護、未授權(quán)的應用程序和服務阻止，能夠及時識別惡意病毒并告警。此外，需要集成自適應分析學習功能，通過控制行為邏輯安全性判斷、分布式邏輯行為的綜合分析等，實現(xiàn)異常控制程序、指令等實時分析反饋。

針對工業(yè)現(xiàn)場上位機和服務器進行主機安全監(jiān)控和加固，集成文件、目錄、注冊表、進程、服務、用戶、外設(shè)多種類型的訪問控制和防護手段，能確保在工業(yè)環(huán)境下業(yè)務安全穩(wěn)定地運行，避免外部安全威脅和非法人員操作，有效地阻斷黑客入侵、敏感信息泄漏等多種安全威脅，將傳統(tǒng)操作系統(tǒng)升級為安全操作系統(tǒng)，彌補了傳統(tǒng)信息安全防護手段的缺陷，為工業(yè)環(huán)境及行業(yè)提供一套完整的主機安全防護和加固方案。

部署示意圖

在每個園區(qū)分廠的工控機上部署工業(yè)主機衛(wèi)士軟件，防止惡意程序啟動。提供完全適用于工業(yè)互聯(lián)網(wǎng)絡(luò)環(huán)境的專業(yè)主機安全防護，能有效防護IT網(wǎng)絡(luò)病毒和工控病毒如勒索病毒、“震網(wǎng)”病毒，控制不明程序、移動存儲介質(zhì)和網(wǎng)絡(luò)通信的濫用，有效提高工控網(wǎng)絡(luò)的綜合“免疫”能力。工業(yè)工業(yè)主機衛(wèi)士軟件部署在工控內(nèi)網(wǎng)Windows工作站或服務器，配合安全管理中心監(jiān)管平臺可進行多節(jié)點下發(fā)策略、實時告警、日志匯總和統(tǒng)一管理。所有工業(yè)主機衛(wèi)士軟件通過網(wǎng)絡(luò)連接到統(tǒng)一管理平臺，管理員可對所有工業(yè)主機衛(wèi)士軟件客戶端下發(fā)規(guī)則和策略，并進行日志分析統(tǒng)計。

（3）案例創(chuàng)新性

功能亮點

?   代理模式：此特色功能代理模式，工業(yè)衛(wèi)士支持通過代理模式進行管理，滿足多個隔離網(wǎng)絡(luò)的集中配置管理，可在隔離網(wǎng)絡(luò)中進行單向數(shù)據(jù)接收。能夠解決海爾生產(chǎn)現(xiàn)場測試發(fā)現(xiàn)的工廠主機網(wǎng)絡(luò)受限情況，通過其他廠區(qū)內(nèi)其他未受限主機外聯(lián)至管理平臺，實現(xiàn)平臺對受限主機的納管，保障平臺對所有主機的納管能力。

?   白名單追蹤：此功能能夠減少運維人員后期維護的工作量，并提高工業(yè)主機運行穩(wěn)定性。對于白名單內(nèi)的程序如有更新升級或釋放腳本，可對升級、新產(chǎn)生的文件自動追蹤加入白名單，避免了生產(chǎn)現(xiàn)場程序出錯與反復多次掃描添加白名單。

?   安全基線檢查與加固：此功能應國家等保三級標準要求，可對主機安全進行加固，提升了工業(yè)主機的安全防護能力，檢查工控主機操作系統(tǒng)的安全配置是否合規(guī)，能否達到預期的網(wǎng)絡(luò)安全基本要求。

?   管理平臺跳轉(zhuǎn)主機衛(wèi)士：此功能支持通過監(jiān)管平臺可遠程跳轉(zhuǎn)至對應主機的衛(wèi)士界面，便于遠程調(diào)整安全配置，避免安全運維管理人員頻繁生產(chǎn)車間走動現(xiàn)場調(diào)試，提高了后期運維效率。

?   工業(yè)組態(tài)管理：此功能通過工業(yè)主機作為探針，能夠自動獲取終端上的組態(tài)信息，并上傳到管理平臺，實現(xiàn)對PLC等控制設(shè)備的監(jiān)控和管理，便于海爾智家對PLC等設(shè)備的統(tǒng)一信息收納與匯總。

性能亮點

?   資源占用低、部署不重啟：工業(yè)衛(wèi)士軟件采用輕量的白名單機制對主機進行防護，系統(tǒng)資源占用少，安裝部署后對工控系統(tǒng)零影響，無需重啟系統(tǒng)。支持在不影響使用的情況下對工控軟件的安裝和后臺升級，能夠適應海爾生產(chǎn)現(xiàn)場部分工業(yè)終端的配置較低的情況。

?   操作系統(tǒng)、工業(yè)軟件兼容廣：工業(yè)衛(wèi)士收集大量工控現(xiàn)場使用的不同操作系統(tǒng)及常見工控軟件，配置內(nèi)置白名單庫。其中操作系統(tǒng)包括Win sever 2008、Win sever 2012、Win sever 2018、Win2000、Win XP、Win 7、Win10、Linux、Unix、銀河麒麟、麒麟信安、統(tǒng)信、凝思等；適配工控系統(tǒng)軟件包括西門子WINCC、施耐德Intouch/Citech、GE Ifix/Cimplcity、羅克韋爾Rsview、北京亞控Kingview、力控Forcecontrol等國內(nèi)外主流工控廠商工業(yè)應用軟件。能夠保障衛(wèi)士與工控軟件及操作系統(tǒng)良好的兼容性，對海爾生產(chǎn)制造業(yè)務零影響。

運維亮點

?   多重管理方式：針對工控主機操作系統(tǒng)老舊，界面和鼠標操作困難，以及主機鎖在玻璃柜中，主機位置特殊，觸摸屏不易操作等問題。工業(yè)衛(wèi)士支持遠程web界面登陸且功能界面完全一致，能方便用戶實時遠程設(shè)置白名單、查看審計事件、配置主機加固策略、進行用戶管理等。對于多主機的集群部署，還可通過監(jiān)管平臺進行遠程運維管理。

?   多集群高可靠：可通過監(jiān)管平臺對工業(yè)衛(wèi)士進行遠程運維管理，且兼容冗余雙環(huán)網(wǎng)結(jié)構(gòu)，工業(yè)衛(wèi)士支持雙鏈路主備模式和多集群模式，工業(yè)衛(wèi)士支持向兩個集群地址發(fā)送數(shù)據(jù)，向三個日志服務器發(fā)送日志，充分保證數(shù)據(jù)備份與安全。

（4）交付過程中典型技術(shù)問題及解決思路

?   更新MES系統(tǒng)不可用

現(xiàn)場情況：采用的MES系統(tǒng)，經(jīng)常會通過內(nèi)部網(wǎng)絡(luò)向工業(yè)主機傳送新的文件程序，在交付工業(yè)衛(wèi)士時發(fā)現(xiàn)，啟動白名單后會導致其MES更新失敗導致不可使用，但客戶又需要將MES程序納入白名單進行防護。

解決思路：通過對MES程序下發(fā)定位分析，其更新程序是通過推送傳輸至工業(yè)主機，非程序主動釋放的組件，所以工業(yè)衛(wèi)士的白名單自動跟蹤功能無法跟蹤，通過工業(yè)衛(wèi)士的目錄白名單解決這一問題，將MES系統(tǒng)更新文件路徑目錄追加為目錄白名單，其余任采用文件白名單，能夠保證在整體白名單防護的情況下MES系統(tǒng)更新文件的識別，不影響MES系統(tǒng)更新。

?   在防護模式下攔截MTT集線器，導致觸摸不可用

現(xiàn)場情況：在防護模式下攔截MTT集線器，導致觸摸不可用，該外設(shè)較特殊，無法被自動掃描到，須手動對相關(guān)主機MTT集線器加入外設(shè)白名單。

解決思路：手動重啟主機并掃描每臺含有MTT集線器設(shè)備，確保外設(shè)已加白名單。

4、應用價值與效益

（1）工業(yè)主機安全防護能力大幅提升

實現(xiàn)對工業(yè)主機的威脅分析和預警，能夠有效抵御勒索病毒、蠕蟲病毒、木馬、惡意軟件、0-day攻擊等對工控網(wǎng)絡(luò)主機的攻擊與破壞行為，自目前為止累計7700+個病毒文件被清除，主要樣本為tasksche、svchost、mssecsvr、mssecsvc等木馬、勒索類病毒等?；诠I(yè)環(huán)境中主機特點進行適配和兼容，幫助企業(yè)在保證穩(wěn)定生產(chǎn)的同時發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊。同時提高系統(tǒng)訪問權(quán)限，保障數(shù)據(jù)正常流向，增強操作系統(tǒng)的免疫能力；對外能夠加強對 USB 存儲/非 USB 存儲的管控，防止外設(shè)帶毒引發(fā)主機中毒危險，提升工業(yè)生產(chǎn)網(wǎng)安全運維，實現(xiàn)工業(yè)主機從啟動、加載、運行等過程全生命周期的安全防護。

（2）滿足法律法規(guī)要求，逐步完善工控安全防護體系

部分智慧工廠可滿足等級保護“一個中心，三重防護”相關(guān)要求，補充完善部分智慧工廠安全防護技術(shù)措施，管理平臺已實現(xiàn)對邊界安全防護設(shè)備、安全審計設(shè)備進行統(tǒng)一管控和策略下發(fā)，建立并持續(xù)完善生產(chǎn)廠區(qū)工控系統(tǒng)安全防護體系。