一、项目背景

某集团公司一直非常重视产线智能化的推进，通过一系列技术改造项目，建立了智能化无人生产车间。在生产过程中，自动仓储物流单元、自动柔性生产线实现了全程无人智能操控，实现了从生产到管理的整体智能化。在该集团承接某重大交通基础设施建设项目中，各个部件的生产、质量控制都需要纳入平台监管。工程项目部需要实时监测整个制造生产过程中自动化生产车间的生产设备的各项参数。

由于生产网络中的监测数据需要实时上传，生产网络需要与外部网络互联，对应着生产网络中的工业控制系统将面临更为复杂的网络环境，安全风险将大大增加。为了保障重大交通基础设施项目，作为项目主要承包方，该集团公司智能化生产线需要进行安全防护建设。

二、安全风险分析

该集团的生产设备主要是各种自动化的机床和搬运物料的机械手臂，通过现场控制层的工控主机控制。工控主机通过车间部署的工业互联网接入生产网汇聚交换机，与核心交换机连接。生产车间的视频监控网络同时接入核心交换机，通过磁盘整列存储。企业管理层连接外部互联网，具备外部网络访问的权限。如下图所示：

图一网络结构示意图

通过现场调研和安全分析，安全建设需求汇总如下：

1

网络边界隔离要求

生产控制网络与车间视频监控网络没有严格区分，视频存储区、管理网络等网络接入到同一个核心交换机，区域之间无任何安全隔离和访问控制措施。生产车间的设备各项参数需要通过外部网络上传，生产网不可避免的暴露在公网，通过外部网络及办公等其他区域的网络，可以直接访问生产设备，非法读取、修改生产设备的数据，下发各种非法指令，破坏生产业务的正常稳定运行。

需要建立生产网络与其他区域的安全边界，需要在生产网络边界实现工业控制协议指令和值域级的访问控制，确保生产设备参数只读权限，避免非法对生产设备写入参数，防止生产业务遭到破坏，生产质量受到影响。

2

网络内部恶意行为代码的监测要求

生产网络分为多个车间及工艺，不同的车间及设备，接入到汇聚交换机。对于各个车间之间的通信行为，缺乏监测手段，一旦其中任意一台主机感染了病毒、木马，在网络内部横向传播，或者非授权的设备接入了网络，将极大增加生产网络面临的安全风险。

同时核心交换机连接了生产网络与视频安防区、办公区、服务器区、视频存储区、视频监控操作区，各个区域之间的跨区通信，缺乏相应的监测手段。

需要建立针对网络内部和网络边界的恶意代码、网络入侵、关键事件等网络行为的监测机制，及时发现非法入侵、恶意代码、区域内横向跨区的攻击行为等。

3

病毒防护要求

生产网络现场操作员站、工程师站等工控主机没有任何针对病毒、木马的防护措施，均为Windows操作系统，系统没有更新最新的补丁，137、138、139、445、3389等高危端口没有关闭，工控主机外设接口的使用没有任何管理措施。在生产网络内部，生产工艺程序文件都是通过U盘等移动介质进行拷贝，U盘的使用缺乏管控措施。

针对生产车间现场的工控主机面临的风险，需要建立针对病毒、木马的防护措施，需要针对主机的外设使用进行管控。

4

安全管理要求

生产网内控制主机超过60台，涉及多个个车间，较为分散。需要针对性的建立对各个车间、主机的安全事件、告警信息收集和关联分析，安全策略的统一配置下发。提高维护工作效率，提升针对网络安全事件的分析及应对能力。

三、项目建设内容及防护关键点

根据该集团网络的基本现状和需求，结合《信息安全技术 网络安全等级保护基本要求》、工信部颁发《工业控制系统信息安全防护指南》等规范的要求，方案对包含生产网网络与其他网络系统边界、网络通信传输和主机防护层面进行安全防御体系建设，建设安全管理中心，对网络中的安全设备进行统一管理，保护工业控制系统不受病毒、木马、恶意程序的侵害，保护生产设备不受非授权的访问，对误操作、恶意操作等威胁进行防范。

通过此次安全建设项目，解决工控系统网络安全风险问题，提高工控网络的整体纵深安全防御能力。安全建设方案如下图所示：

图二 生产网络工控安全建设方案

1、边界防护关键点：建立生产网络与其他区域的安全边界。

将整个现场控制层和现场设备层作为一个整体的安全域。通过在生产网络汇聚交换机与核心交换机之间部署工业防火墙，对其他区域和外部网络过来的流量进行过滤，建立生产网络的安全边界。

外部网络只能读取生产网络内部的焊接、搬运机器人的参数，可以在工控防火墙上设置Modbus协议只读的流量白名单，满足了生产设备数据的外发同时确保了生产过程的控制安全。

图三 工业防火墙手动添加工控协议只读规则白名单

2、网络防护关键点：建立网络内部流量监测及预警机制。

2.1 在生产网络汇聚交换机旁路部署工控安全监测与审计系统，对生产网络内部流量进行审计。

工控安全监测与审计系统通过监听交换机镜像流量，纯物理单向审计，对工业生产过程“零风险”。

图四 工控安全监测与审计系统单向审计

基于对现场所采用的Modbus TCP协议通信报文进行深度解析（DPI，Deep Packet Inspection），能够实时检测该公司生产网络内部各个车间之间和外部访问生产网络的通信流量，实时检测针对该集团生产网络的网络攻击、误操作、违规操作、非法设备接入以及蠕虫、病毒等恶意软件的传播并实时报警，同时详实记录一切网络通信行为，包括指令级的工业控制协议通信记录。

图五 工控安全监测与审计系统工业协议白名单

图六 工控安全监测与审计系统网络会话审计

图七工控安全监测与审计系统工控协议审计

2.2 在核心交换机旁路部署入侵检测系统，对核心交换机内部转发流量即时监测。

通过部署入侵检测系统，可以分析该集团办公区、服务器区、视频监控区、存储服务器区和生产网各区域之间的访问流量，结合特征库进行相应的行为匹配，实现入侵行为检测、病毒恶意代码告警等。

图八 入侵检测系统入侵行为统计

图九 入侵检测系统入侵日志详情

3、计算环境防护关键点：提升工控主机对病毒、木马等恶意代码的防范能力。

在车间现场工控机部署工控主机卫士，通过基于白名单主动防御技术提升工控主机的安全性。

工控主机卫士颠覆了传统防病毒软件的“黑名单”思想，通过文件白名单、网络白名单，将现场生产控制系统的程序加入白名单，保证了只有跟生产业务相关的程序才能在工控主机上运行，只有跟数据采集相关的程序才能使用网络访问权限。工控主机卫士支持对操作系统的安全基线的一键检查，可以协助该集团定期进行的网络安全检查，一键生成主机安全风险报告。同时通过外设管控功能，实现了工控主机外设读写权限管控及移动介质的安全规范使用。

图十 工控主机卫士程序白名单

图十一 工控主机卫士系统安全基线加固

图十二 工控主机卫士移动存储介质管控

图十三 工控主机卫士系统安全检查

4、安全管理建设关键点：建立安全集中管控和告警分析能力。

在汇聚交换机处部署统一安全管理平台，对网络中部署的安全设备进行策略集中配置下发，对告警进行统一收集和分析，及时发现并处理生产网络中的安全事件，提升运维效率，降低维护工作量。

图十四 统一安全管理平台安全事件概览

图十五 统一安全管理平台告警统计及详情

图十六 统一安全管理平台告警分析

四、方案创新

1、全面提升该公司生产网络安全性，满足了数据外发需求的情况下生产系统安全性的整体提升。

基于外网系统需要读取生产设备各项参数的需求，通过此次安全建设项目，确保生产网络在与外部网络进行数据交互的情况下，保证了设备、系统、网络的稳定、可靠。

2、以“白环境”的防护理念，兼容了现有工控系统和网络架构，做到无感知的对现有系统进行保护，同时具备对各种未知威胁的防护能力。

网络流量采用白名单过滤机制，在生产网络边界设置只读的工业协议白名单，确保外部网络只能读取生产设备数据而不能采取任何操作。网络内部流量采用基于自主学习建立的通信行为模型进行检测。主机防护采用程序白名单，确保只有生产控制相关的程序才能在现场工控主机上执行。基于“白环境”的主动防护机制，不依赖于特征库、病毒库，不依赖于威胁情报，可以针对各种已知、未知的威胁、0-day漏洞进行防护。通过有限的资源，应对无限的威胁。

3、建立安全管理中心，可以对分散在四个车间里面的工控主机及其他安全设备进行安全策略的集中配置和下发，在提升运维工作效率的同时，有助于运维人员对网络内部的安全状态有全局的把握，对安全事件集中的关联分析，迅速定位安全风险点，快速响应及处置。

威努特简介

北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者，是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。

威努特依托率先独创的工业网络“白环境”核心技术理念，以自主研发的全系列工控安全产品为基础，为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务，迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。

作为中国工控安全国家队，威努特积极推动产业集群建设构建生态圈发展，牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作，始终以保护我国关键信息基础设施网络空间安全为己任，致力成为建设网络强国的中坚力量!

渠道合作咨询   陈女士 15611262709

稿件合作   微信:shushu12121

原文始发于微信公众号（威努特工控安全）：案例精选丨无人智能车间的网络安全风险分析及防护关键点