中国信通院：2018年工业互联网案例汇编-典型安全解决方案案例(80页).pdf

1、鉎咀兿硑譗襛桑譏 编写说明 编写说明 为落实中国制造 2025规划，工信部明确了工业转型升级的重 点领域和工作要求。 工业互联网作为新一代信息技术与工业系统深度 融合形成的产业和应用生态，是全球工业系统与高级计算、分析、感 应技术以及互联网连接融合的结果。 它通过智能机器间的连接并最终 将人机连接，结合软件和大数据分析，重构全球工业、激发生产力， 让世界更美好、更快速、更安全、更清洁且更经济。工业互联网的发 展得到全球主要国家以及我国政府的高度重视和积极推进， 产业界也 正在加速开展相关探索和实践。 工业互联网广泛应用于能源、交通以及市政等关系国计民生的重 要行业和领域，已成为国家关键信息基础

2、设施的重要组成部分。工业 互联网打破了传统工业相对封闭可信的制造环境，病毒、木马、高级 持续性攻击等安全风险对工业生产的威胁日益加剧， 一旦受到网络攻 击，将会造成巨大经济损失，并可能带来环境灾难和人员伤亡，危及 公众安全和国家安全。 工业互联网自身安全可控是确保其在各生产领 域能够落地实施的前提， 也是产业安全和国家安全的重要基础和保障。 本案例汇编了工业互联网领域十三个典型安全解决方案案例，可 作为工业互联网生态链上下游供应商、工业企业用户等在规划、建设 和运营工业互联网时的安全参照。 本汇编由中国移动通信集团有限公司牵头编制，重点参与单位有 中国信息通信研究院、360 企业安全技术（北京

3、）集团有限公司、北 503 京威努特技术有限公司、中国电子信息产业集团第六研究所、华为公 司、深圳市腾讯计算机系统有限公司、江苏敏捷科技股份有限公司、 长扬科技（北京）有限公司、常州万联网络数据信息安全股份有限公 司。 本报告的参编人：张峰、田慧蓉、陶耀东、吴云峰、王绍杰、张旭 武、侯聪、郭念文、崔君荣、马洁、倪海燕、马驰、王正、翟尤、李 建文、黄超。其中，林欢、闫霞等协助审核了全文，并提出了诸多宝 贵意见，在此一并致谢！ 因为案例汇编内容较多，且时间仓促，难免存在诸多不足之处， 希望业界同仁多提宝贵意见。 工业互联网产业联盟 安全组 二一八年十一月 504 一、一、 工业互联网安全概述 工业

4、互联网安全概述 1.1. 工业互联网安全概况 工业互联网安全概况 工业互联网是涵盖六大重点领域：工业互联网网络、工业传感与控制、工业 互联网软件、工业互联网平台、安全保障以及系统集成服务等。安全作为其中的 重要环节之一，面临着严峻的挑战。一方面，工业领域信息基础设施成为黑客重 点关注和攻击目标，防护压力空前增大。另一方面，相较传统网络安全，工业互 联网安全呈现新的特点，进一步增加了安全防护难度。在此背景下，我国应积极 加强对工业控制系统的安全体系化研究，从安全规划、安全防护、安全运营、安 全测评、应急保障等各方面，提出针对性安全解决方案，积极进行技术试点，探 究技术可行性，逐步形成可推广、可复

5、制的最佳实践，切实提升我国工业互联网 安全技术水平。 2.2. 工业互联网安全相关政策进展 工业互联网安全相关政策进展 近年来，我国从法律法规、战略规划、标准规范等多个层面对工业互联网安 全做出了一系列工作部署，提出了一系列工作要求。 2016 年 12 月国家互联网信息办公室发布的国家网络空间安全战略提出 要 “采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏” 。 中 国制造 2025 提出要 “加强智能制造工业控制系统网络安全保障能力建设， 健全 综合保障体系”。 2017 年 6 月起正式实施的中华人民共和国网络安全法要求对包括工控 系统在内的 “可能严重危害国家安全、 国

6、计民生、 公共利益的关键信息基础设施” 实行重点保护。 2017 年 12 月发布的关于深化“互联网+先进制造业”发展工业互联网的指 导意见以“强化安全保障”为指导思想、“安全可靠”为基本原则，提出“建 立工业互联网安全保障体系、提升安全保障能力”的发展目标，部署“强化安全 保障”的主要任务， 为工业互联网安全保障工作制定了时间表和路线图。 2016 至 2017 年，工业和信息化部陆续发布工业控制系统信息安全防护指 505 南、工控系统信息安全事件应急管理工作指南和工业控制系统信息安全 防护能力评估工作管理办法等政策文件，明确工控安全防护、应急以及能力评 估等工作要求， 构建了工控安全管理体

7、系， 进一步完善了工业信息安全顶层设计。 3.3. 工业互联网典型安全问题 工业互联网典型安全问题 我国工业互联网安全主要面临以下几方面的问题： （1）工业控制系统漏洞频发，脆弱性高 （1）工业控制系统漏洞频发，脆弱性高 工控设备的操作系统较为老旧， 且升级更新周期长， 众多工控系统存在漏洞， 易被恶意病毒或代码感染，脆弱性高。根据国家信息安全漏洞共享平台(CNVD)统 计，2017 年新增信息安全漏洞 4798 个，其中工控系统新增漏洞数 351 个，与 2016 年同期相比，新增数量几乎加倍，工业控制系统漏洞形势严峻且会持续呈 现高发状态。 （2）生产设备大量暴露于互联网 （2）生产设备大

8、量暴露于互联网 传统工业生产设备以机械设备为主，随着工业互联网的发展，越来越多的机 械设备进行数字化、信息化、网络化改造，但同时，安全防护建设速度落后于数 字化信息化建设速度，导致越来越多的机械设备暴露于互联网中。暴露的设备一 旦被攻击者扫描发现，可被远程操控或被利用成为“肉鸡”武器进行 DDoS 攻击 等，危害巨大。 （3）企业内网安全性低，易作为跳板渗透工业系统控制层 （3）企业内网安全性低，易作为跳板渗透工业系统控制层 2018 年 5 月份，Positive Technologies 公司发布的2018 工业企业攻击 向量报告中指出 73的工业企业办公网络边界防护不严，且普遍存在安全漏

9、 洞，容易被黑客利用作为跳板渗透工业系统控制层。企业内网成为黑客突破工业 网络的最佳入口之一。 （4）数据安全问题 （4）数据安全问题 工业互联网的核心是工业数据采集，但目前数据接口、数据格式标准不一导 致数据采集难度加大。且工业互联网的数据体量大、种类多、结构复杂，数据通 信缺乏加密认证，数据的存储、传输、分析与共享存在安全风险。 506 二、二、 安全解决方案典型案例 安全解决方案典型案例 案例一 基于威胁情报和白名单的轨道交通安全解决方案 1. 案例一 基于威胁情报和白名单的轨道交通安全解决方案 1. 方案概述 方案概述 2012 年 10 月开工建设的西成高铁， 是第一条穿越秦岭进入四

10、川的高速铁路， 堪称名副其实的“高速蜀道”，于 2017 年 12 月 6 日全线开通运营。我国高速铁 路信号系统基于 CTCS （中国列车运行控制系统） 规范， 包括计算机联锁系统 （CBI） 、 列车自动防护系统(ATP)、 列车控制中心(TCC)、 无线闭塞中心(RBC)等系统组成。 随着这些数字化、网络化设备在高速铁路上的应用，基于通信传输的网络设 备已经成为信号设备中非常重要的一部分。 随着高铁信号系统各个子系统之间互 联互通，工业控制系统内部网络开放性提高，网络管理系统（网管系统）成为高 速铁路中不可或缺的网络检测设备。此系统虽然采用了一些安全防护措施，但仍 面临日益严峻的信息安全

11、风险。 2.2. 典型安全问题 典型安全问题 高铁信号系统网管子系统可能面对的信息安全风险包括： 1) 操作人员违规使用移动存储设备 各地方铁路公司一般对在信号系统中使用移动存储设备有比较严格的信息 安全管理措施。但在系统升级、数据备份等过程中仍存在违规操作风险，把病毒 引入系统。 2) 系统组件的供应链污染 各铁路信号系统集成商一般都建立了比较严格的信息安全管控流程。 但由于 系统组件多，生产供应链长，在组件采购、生产、安装、调试过程中易受到病毒 或恶意代码感染。 3.3. 安全解决方案 安全解决方案 首先用工业信息安全检查评估工具箱和工业临检 U 盘对信号系统的网管子 507 系统进行 A

12、PT 攻击和病毒检测。确认无毒后，部署 360 工业安全管理系统、360 主机安全防护软件，进行安全防护。 360 工业信息安全检查评估工具箱结合威胁情报知识库和异常行为检测模 型对实时数据和历史数据进行威胁分析与检测， 可为高铁信号系统网管子系统进 行安全检查、风险评估、等保测评、项目管理、合规性检查、工控资产发现、工 控漏洞扫描、工控流量分析、威胁情报分析、安全事件、行为日志、报告自动生 成等服务。该工具箱依据对原始流量数据的采集、存储、分析、挖掘和可视化展 示，实现对攻击的快速检测和持续分析。此外，360 工业安全检查评估工具箱为 便携式产品，带有高清显示屏幕，便于在多个单位进行现场快速

13、分析，接入镜像 流量即可，无需复杂配置。 利用工业临检 U 盘对信号系统的网管子系统客户端进行病毒检测， 通过终端 的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估。同时，引入 360 病毒检测能力和威胁情报， 在不影响高铁信号系统网管子系统正常运行的前提下， 帮助用户去检测、评估、自查本身终端安全威胁和风险。一旦检测到攻击可形成 可量化评估报告，为高铁信号系统安全加固，提供防护能力。即插即用的临检 U 盘设备采用国密芯片，是国家密码管理局认证通过的安全芯片，摒弃了传统的数 据加解密处理方式， 使数据流加解密速度大幅提升， 特别适用于高速数据流加密。 图 1 问题处理及安全防护示意图 为

14、解决病毒、恶意程序攻击等问题，在高铁信号系统网管子系统主机、服务 508 器部署基于白名单机制的 360 主机安全防护软件。该软件基于轻量级“应用程序 白名单”技术，能够智能学习并自动生成工业主机操作系统及专用工业软件正常 行为模式的“白名单”防护基线，放行正常的操作系统进程及专用工业软件，主 动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，为高铁网管系统工业 主机创建干净安全的运行环境。 对更好对部署的工控安全设备和系统进行管理， 对高铁信号系统网管子系统 部署 360 工业安全管理系统，全面记录工业网络中的工业主机安全日志等情况， 为高铁信号系统网管子系统提供管理体系。 经过以上操作，

15、高速铁路信息安全防护得到极大提高，西成高铁顺利开通运 营。 4.4. 创新点和应用价值 创新点和应用价值 1)1) 先进性及创新点 先进性及创新点 该案例解决方案基于威胁情报大数据和白名单技术对高铁信号系统网管子 系统进行安全防护。工业信息安全检查评估工具箱能够快速发现威胁，对流量回 溯取证，及时产生应急响应。工业临检 U 盘可对终端、服务器进行全方位的威胁 扫描，对于威胁指标进行总体全面评估、量化结果。360 工业主机防护软件高稳 定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求，操作简单 的特点也符合生产技术人员的操作习惯。 2)2) 实施效果 实施效果 创新性的将威胁情报、

16、大数据的理念应用于高铁信号系统网管子系统的安全 防护中，工业信息安全检查评估工具箱基于机器学习、威胁情报对网络攻击研判 引擎；临检 U 盘利用 360 的大数据中心，采用国密芯片对终端进行威胁评估，基 于白名单机制的主机安全防护软件有着实时报警、日志审计的优势，全链条的立 体化工控安全技术防护方案对轨道交通制造企业提供较好的选择。 5.5. 案例提供方 案例提供方 360 企业安全技术（北京）集团有限公司 509 案例二 工业互联网数据安全解决方案 1. 案例二 工业互联网数据安全解决方案 1. 方案概述 方案概述 随着我国“两化融合”进程的推进与中国制造 2025的提出，我国工业控 制系统逐

17、步向数字化、网络化、智能化转变，企业研发设计、生产制造、经营管 理、销售服务等各个方面产生了海量数据。近年来，工业互联网的安全问题暴露 的越来越明显，需加强对工业制造数据的智能安全管控。机器学习、自然语言处 理、数据挖掘、大数据平台、云计算、移动互联网等技术的变革和发展，使数据 安全管理呈智能化趋势， 数据安全不仅仅是采用一刀切的数据强制加密方式来实 现，更需要根据多样化的需求场景采取不同层次的安全控制手段，实现智能化安 全管理。同时，工业控制网络和信息系统日趋复杂，要求我们必须将信息安全技 术依据一定的安全体系设计进行整合、集成，达到综合防范的要求。加快信息安 全产业发展是国家安全建设的需要

18、，是保证国家信息化建设健康发展的需要，给 处在快速成长阶段的我国数据安全厂商提供了无限的商机。 本方案通过分析工业互联网企业工业设计数据所面临的信息安全问题， 提出 了构建面向工业设计数据全生命周期安全管理的解决方案， 采用基于内容识别的 数据加密、应用软件指纹识别、安全云存储等技术，为企业间的高效协同提供一 个安全平台。方案具体提出了企业应采取的安全策略和解决措施，阐明了全面构 筑工业互联网数据安全云平台， 确保工业设计环境中上下游企业在高效协同的同 时，最大限度的防止商业秘密数据外泄、防止数据恶意篡改、减少图纸数据大范 围分发的数据残留风险。 2.2. 典型安全问题 典型安全问题 根据工信

19、部对深化“互联网+先进制造业”发展工业互联网的指导意见 的解读，工业互联网安全问题从实施角度可分为网络安全、数据安全、应用安全 和云安全等几个部分。 企业间的设计协同、 制造协同逐步由原来的纸质信息传递， 转变为以三维设计模型为核心的电子文件交换，带来了便利的同时，也带来了诸 如：商业秘密泄露、图纸数据随意篡改、电子文件残留等数据安全风险，所以本 510 方案解决没有安全手段时候协同设计过程中人机交互过程的低效率、易出错（版 本迭代时候人工的安全手段导致的版本更新不及时）、 协同过程中多人互动图纸 易泄漏问题。针对工业设计数据面临的三大威胁及痛点，敏捷科技工业互联网数 据安全云平台构建了面向工

20、业设计数据全生命周期安全管理的解决方案，包括： 终端数据智能安全、网络数据防截获、云平台数据防泄露和丢失。 3.3. 安全解决方案 安全解决方案 针对工业设计数据面临的三大威胁， 敏捷科技工业互联网数据安全云平台构 建了面向工业设计数据全生命周期安全管理的解决方案， 包括工业图纸协同研发 设计环节的安全可控，及图纸下单给外协方的电子商务结算环节、出图进行资源 调配确定生产计划环节，直至下发至智能车间生产环节，及后续产品发布环节的 图纸安全控制问题，主要包括：终端数据智能安全、网络数据防截获、云平台数 据防泄露和丢失等功能。 图 2 安全协同设计图 511 图 3 安全协同制造图 图 4 核心数

21、据强制加密保护模式 512 图 5 终端数据智能防泄漏保护模式 图 6 多种系统集成模式 本平台借助敏捷科技核心专利技术，基于我国密码标准算法构建。通过终端 数据智能安全防护、网络数据安全防护、云平台数据安全防护等三方面的数据防 护作用，确保工业设计环境中上下游企业在高效协同的同时，最大限度的防止商 业秘密数据外泄、 防止数据恶意篡改、 减少图纸数据大范围分发的数据残留风险。 如下图所示： 513 图 7 智能制造数据安全云平台功能框架示意图 1) 终端数据智能安全防护 终端数据安全防护由五个子系统组成，包括：数据智能安全子系统、终端虚 拟化桌面子系统、终端桌面安全子系统、终端外设控制子系统、

22、文件透明加密子 系统。 数据智能安全子系统包括终端核心数据加密防护、网络出口拦截、敏感数据 定期扫描、数据敏感度分析等功能。 终端虚拟化桌面子系统包括传输加密、介质加密、密钥产生和使用、容错备 份还原、断线续用、服务器多机热备、域控身份认证等功能。 终端桌面安全子系统：通过远程监控、补丁推送、软硬件资产统计、终端程 序控制策略、本地虚拟运行环境等技术使终端桌面工作环境安全。 终端外设控制子系统：不论是打印端口、串口、1394 还是 USB 接口，系统都 可以进行开关及内容过滤控制，并且针对 USB 移动存储设备提供注册、审计、私 有格式等功能，确保终端外设安全可控。 文件透明加密子系统： 确保

23、终端用户在操作电子文件的方式不发生改变的情 况下，电子文件以密文方式存储。采用驱动层透明动态加解密技术，在操作系统 和磁盘之间的数据加密和解密程序，自动对存储到磁盘的数据作加密运算，对从 磁盘读取的数据做解密操作。通过指定文档类型、或者处理进程，能够达到所有 存储介质上存在的该类型文件全部加密，有效防止机密信息泄漏。 2) 网络数据安全防护 514 敏捷科技工业互联网数据安全云平台在网络数据安全防护方面， 提供了虚拟 安全网络子系统。 该子系统采用基于 P2P 技术构建的先进的虚拟安全域/网技术， 根据权限和安全策略动态的将被访问的各种应用系统资源划分到一个独立的安 全虚拟网络中，确保具体业务

24、应用系统环境的专用性和“干净性”，实现了基于 具体业务应用系统的动态“专网专用”，也从安全管理角度上对网络数据进行安 全精细化管理。 图 8 虚拟安全网络子系统 3) 云平台数据安全防护 云平台安全防护由五个子系统组成，包括：统一身份认证管理子系统、数据 库加密存储子系统、多租户数据隔离子系统、用户异常行为检测子系统、分布式 数据备份子系统。 统一身份认证管理子系统： 从用户的应用安全需求出发， 提出了 “深度整合， 全面安全”之理念，在应用系统的身份认证、资源访问控制、用户操作审计、数 据加密解密、时间戳服务、网络数字签章、数据签名与统一验证、关键交易验证 等方面分层次深入整合，满足应用系统

25、内部和外部安全需求。 515 图 9 统一身份认证与授权管理平台设计 数据库加密子系统：对数据库中的数据进行加密处理，即使某一用户非法入 侵到系统中或者盗得数据存储介质，没有相应的解密密钥，他仍然不能得到所需 数据。 图 10 加密数据存储体系结构 可搜索加密子系统：根据云平台的需求，对敏感关键字密文进行搜索。 查询语句、表、视图元组 元组, 数据集、键 结构化记录 加密 B+树 字段 物理记录 页、段 密钥 加密 加密 字段 块 文件 事 务 管 理 日 志 管 理 子模式 模 式 系统表 加密 组 件 内模式 516 图 11 带关键字检索的公钥加密方案 密钥生成算法 ( )KenGen

26、s ：输入一个安全参数s，生成一个密钥对，包含 公钥 k p 和私钥 k s 。 密文生成算法 (, ) k PEKS p w ：输入接收者的公钥 k p 和一个关键字w，生成 可以检索关键字w的密文 (, ) k cPEKS p w 。 陷门生成算法 ( , ) k Trapdoor s w ：输入接收者的私钥 k s 和一个关键字w，生 成关键字w的陷门 w T 。 测试算法 (, ,) kw Test p c T ： 输入接收者公钥 k p ， 一个 PEKS 密文 (, ) k cPEKS p w 以及要检索的关键字的陷门 ( , ) wk TTrapdoor s w ，如果w= w

27、， 那么该算法输出 Yes(1)，否则输入 NO(0)。 用户异常行为检测子系统：总体功能分为三大部分：审计数据采集、分析引 擎、审计管理平台。审计数据采集是整个系统的基础，为系统审计提供数据源和 状态监测数据；分析引擎对采集的原始数据按照不同的维度进行数据的分类，同 时按照安全策略和行为规则对数据进行分析； 管理平台是安全审计的 Web 管理平 台，包含了安全审计平台的管理功能和信息发布管理功能。 517 图 12 用户异常行为检测子系统功能 数据安全隔离子系统：采用用户行为采集技术，用户行为分析技术和数据迁 移技术，可以实现用户行为的有效监控，当发现云平台中存在正在进行攻击的用 户时，动态

28、调整受到威胁数据的安全级别，和云平台的访问授权策略，时刻确保 云平台中收据的有效隔离，以免受恶意用户攻击的威胁。 4.4. 创新点和应用价值 创新点和应用价值 1)1) 先进性及创新点 先进性及创新点 基于内容识别的终端数据智能安全管理 采用的智能安全分析技术、操作系统内核技术、高强度的加密算法、灵活易 用的安全策略，对敏感数据提供含数据发现、数据识别、数据分类、数据加密、 数据分级、权限管控以及预警审计等全方位管控能力，有效的解决了企业内部合 法用户有意或者无意的信息泄漏。 满足高性能要求的安全云桌面数据集中管控 安全云桌面数据集中管控平台技术的优势表现在它大大提升了现有 PC 的 使用效率

29、，实现了 IT 部门对分散的 PC 的集中式管理，以及客户数据、应用与底 层硬件基础设施剥离所带来的高度安全性和灵活性。站在管理优化的角度，它赋 518 予了 IT 管理者战略性的基础架构中央管理能力和安全控制能力。 而在用户层面， 使用习惯的无需改变、PC 应用的无缝兼容、个性化桌面应用的灵活调用更是帮 助用户将这一新架构顺利实施的推动因素之一。 “云+网+端”一体化云数据安全解决方案 要解决云平台环境下的数据安全问题，仅仅在终端、网络、云平台中的任何 一方面实施保护是不够的，必须要通过融合云平台数据安全管理技术、终端数据 安全管理技术、 网络安全传输技术为一体， 实现对云数据的全程一体化安

30、全管理。 在云平台数据中心，重点完成用户身份认证、多租户模式下的数据隔离、租户行 为异常审计、结构化数据和非结构化数据的透明加密。在终端，重点完成用户密 钥生成、终端环境安全、终端外设安全、终端文件透明加密保护。在网络传输过 程，重点负责完成终端与云平台之间建立虚拟安全通道。 针对结构化、非结构化数据的加密处理 数据在云计算环境下有结构化、非结构化两种存储形态，对关键重要数据 的加密处理是确保数据安全的重要手段。 敏捷科技数据安全云平台提供了针对云 计算环境下非结构化数据与结构化数据的透明加密方案。 基于分区分域分级设计的云安全运维与安全管理 工业云平台环境相对复杂，涉及多类业务，多类系统，因

31、此在安全防护上需 要进一步细化安全域的划分以及不同安全域、不同安全级别的访问控制设计。实 现安全运维操作的分级管理， 对不同级别的用户予符合其安全职责划分的操作或 审计权限，实现安全运维。坚持日常安全运营与应急响应相结合，以数据为驱动 力，以安全分析为工作重点。 2)2) 实施效果 实施效果 本平台通过终端数据智能安全防护、网络数据安全防护、云平台数据安全防 护等三方面的数据防护作用，确保工业数据集中管控的同时实现安全可靠管理， 有效保护工业企业的核心资产、知识产权及其它相关数据。 产品融合集成 2000+信息系统，在制造、能源、设计、交通、政府、军工、 文教卫、汽车电子、轻工纺织、冶金水电、

32、生物医药等 500+关键领域得到广泛应 用，累计客户量过万，每天有 1000 万+人使用该产品保护数据，目前已有客户包 括中国中车、中国一汽、长安汽车、中石油、中粮集团、国防大学、江苏省档案 519 馆等，涵盖了机械、汽车、电子、国防、能源、交通、建筑、化工、商贸、现代 服务业、政府、研究院所等。 项目所采用的内核级主动加密、 应用软件指纹识别的加密槽等技术通过科技 成果鉴定属国内外首创，填补了工业互联网安全领域的技术空白，弥补高端和前 沿研究开发方面的不足；有利于强化产业技术原始创新能力，抢占工业互联网技 术发展制高点；有利于促进产业的融合，带动工业互联网领域信息安全相关产业 的共同发展，培

33、养工业互联网领域高水平和专业化的创新人才；有利于保护核心 工业数据，维护国家制造业主权；有利于形成工业大数据系列技术和应用标准， 推进产业生态建设，为促进全国工业互联网行业持续健康发展提供有力支撑。 4.4. 案例提供方 案例提供方 江苏敏捷科技股份有限公司 520 案例三 汽车制造行业勒索病毒应急处理和安全解决方案案例三 汽车制造行业勒索病毒应急处理和安全解决方案 1.1. 方案概述 方案概述 由于工业控制系统 （以下简称工控系统） 上位机操作系统老旧且长期未升级， 存在很多的安全漏洞，病毒问题一直是威胁工控系统主机安全的一个棘手问题， 从震网病毒到 2017 年末的工业破坏者，这些如幽灵般

34、游荡在工控系统网络中的 杀手总是伺机而动，一旦得手就会带来巨大的危害。 国内某知名新能源汽车制造企业遭受病毒侵袭， 生产制造产线几台上位机莫 名出现频繁蓝屏死机现象，并迅速蔓延至整个生产园区内大部分上位机，产线被 迫停止生产。该企业日产值超百万，停产直接损失严重，虽然信息安全部门采取 了若干紧急处理措施，但收效甚微。为了尽快解决问题恢复生产，该企业紧急向 360 安全监测与响应中心进行了求助。 2.2. 典型安全问题 典型安全问题 工业现场的上位机大多老旧，服役 10 年以上仍在运行的主机也很常见，而 工业现场的相对封闭性，使得补丁升级、病毒处理变成一件很复杂的事情。工业 生产的稳定性往往会面

35、临上位机脆弱性的挑战， 一旦感染病毒就会造成巨大影响。 该企业生产网络与办公网络连通，未部署采取安全防护措施；生产制造产线 上位机运行异常，重复重启或蓝屏，初步断定为病毒入侵。 由于上位机操作系统都是老旧的 Windows XP， 感染病毒之后频繁蓝屏重启， 无法在问题终端采样进行病毒分析。 在生产网络核心交换机位置旁路部署 360 工 业安全检查评估系统对生产网络数据流量进行检测， 该设备基于 360 行业领先的 安全大数据能力生成多维度海量恶意威胁情报数据库， 对工业控制网络进行自动 化数据采集与关联分析，识别网络中存在的各种安全威胁。借助工业安全检查评 估系统的强大检测分析能力， 安服人

36、员很快判定该企业上位机感染了 “永恒之蓝” 蠕虫病毒（也称为 WannaCry）。 521 3.3. 安全解决方案 安全解决方案 1) 应急处置 安服人员发现上位机感染 WannaCry 病毒之后，为了避免上位机中数据被加 密带来进一步的危害，紧急在生产网络中部署一台伪装病毒服务器，域名设定为 病毒网站，并通过策略设置将生产网上位机 DNS 指向此伪装服务器，阻止了 WannaCry 病毒的后续影响。 该企业生产园区占地范围很大，感染病毒的上位机几乎遍布整个园区，单纯 依靠人力难以逐一定位问题终端。360 工业安全检查评估工具箱在此过程中发挥 了巨大作用，不仅给出了感染病毒的准确研判，而且详细

37、统计出所有问题终端的 IP 地址和 MAC 地址，结合企业提供的资产清单，安服人员和厂方技术人员很快 确定了绝大部分问题终端的具体位置。 2) 感染处理 完成定位之后， 360 安服人员即刻赶往最近的问题终端， 第一时间关闭了 445 端口，避免病毒进一步扩散。经过与厂方生产技术工程师细致沟通，得知以下信 息： 上位机硬件配置资源有限，无法安装杀毒软件； 专用的生产软件对操作系统版本有严格限制，无法对操作系统进行打补 丁操作； 重装系统会导致专用软件授权失效，带来经济损失。 结合上述信息，安服人员只能对问题终端采取杀毒处理。为了避免杀毒过程 中对上位机系统和数据造成影响，安服人员首先备份了问题

38、终端系统及数据，然 后用 360 推出的 WannaCry 病毒专杀工具进行杀毒处理，清除感染的病毒。 3) 安全加固 为了避免处理完成的上位机再次感染病毒， 安服人员在上位机上部署安装了 360 工业主机防护软件，该软件基于轻量级“应用程序白名单”技术，能够智能 学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防 护基线，放行正常的操作系统进程及专用工业软件，主动阻断未知程序、木马病 毒、恶意软件、攻击脚本等运行，为工业主机创建干净安全的运行环境。 522 图 13 问题处理及安全防护示意图 同时，为了避免 U 盘混用带来的病毒串扰风险，安服人员利用 360 工业主机 防

39、护软件对 U 盘使用进行合法性注册和读写控制策略配置， 仅允许生产技术工程 师专用的 U 盘识别和使用。 此外，为了限制 Windows 网络共享协议相关端口开放带来的风险，安服人员 通过 ACL 策略配置关闭了 TCP 端口 135、139、445 和 UDP 端口 137、138，并利 用 360 安全卫士的“NSA 武器库免疫工具”关闭存在高危风险的服务，从而对 NSA 黑客武器攻击的系统漏洞彻底“免疫”。 经过以上病毒清除和安全加固手段，不仅解决了感染 WannaCry 病毒带来的 蓝屏重启问题， 而且极大的提升了上位机的主动防御能力， 实现了上位机从启动、 加载到持续运行过程全生命周

40、期的安全保障。 经过此次事件，该企业对工业控制系统安全性更加重视，决定采取 360 整体 工控安全防护措施， 逐步建设形成覆盖汽车制造产线全链条的立体化工控安全技 术防护方案。 4.4. 创新点和应用价值 创新点和应用价值 1)1) 先进性及创新点 先进性及创新点 523 360 工业安全检查评估工具箱和工业主机防护软件是解决工业主机脆弱性 问题的一剂良药。360 工业安全检查评估工具箱基于 360 领先的威胁情报大数据 能力快速识别威胁和资产。工业主机防护软件基于轻量级“应用程序白名单”技 术，高稳定、低开销、无需升级库文件等特点真正贴合了工业企业的实际需求， 操作简单的特点也符合生产技术人

41、员的操作习惯。 该方案能够适用于大部分工业 控制系统，是一套成熟可靠的安全解决方案。 2)2) 实施效果 实施效果 针对汽车制造行业容易被病毒攻击的安全问题， 首先部署伪装病毒服务器阻 止病毒的后续影响，利用 360 工业安全检查评估工具箱快速识别定位病毒威胁， 工业主机防护能够自动生成工业主机操作系统及专用工业软件正常行为模式的 “白名单”防护基线，为工业主机创建安全的运行环境。 5.5. 案例提供方 案例提供方 360 企业安全技术（北京）集团有限公司 524 案例四 某电厂信息安全监管与预警平台建设案例 1. 案例四 某电厂信息安全监管与预警平台建设案例 1. 方案概述 方案概述 近年来

42、，电力行业中的自动化与控制系统的网络安全问题受到关注与重视。 网络安全防护措施不再是“锦上添花”，而是至关重要。在过去 10 年内，包括 水电站在内的各种电站均配有自动化保护与控制系统。基于开放式标准 (如:IEC61850 或者 IEC60870-5-104)并采用可靠以太网技术进行开发， 使不同厂 家间的产品和系统间实现了操作互通。 系统越来越复杂，互联也越来越多，为电站的运行人员提供了更多信息，进 一步提高了实时监控水平。该变化不是发生在单个电站，而是涉及到整个公用设 施系统。随伴着电力能源市场中电厂控制系统、调度和交易系统之间网络通信应 用的稳步发展，公用设施系统发展与时俱进。 从经营

43、角度看，先进技术带来了巨大效益，但与传统工业控制系统面临的问 题类似，电站业主和运行人员也面临网络安全威胁。过去几年来，电力工业领域 网络攻击事件显著上升，控制系统中发现的漏洞也越来越多。水电厂作为重要基 础设施，重要性高且具有一定的战略意义，一旦遭受攻击影响巨大，较易成为敌 对势力攻击的目标。因此如何更有效的结合水电厂既有防护措施和业务系统，提 高安全防护等级，保障业务持续稳定，是一个需要考虑的关键问题。 某电站是某省实施西部大开发战略的标志性工程和国家西电东送的骨干电 源和重点工程。 工程以发电为主， 兼有防洪、 灌溉、 拦沙及航运等综合利用效益。 某电站是中国目前水电站单机容量最大的电站

44、之一。 2.2. 典型安全问题 典型安全问题 现某电厂生产控制系统中，生产控制大区与管理信息区已实现单向隔离，与 某集控中心、某省中调和南网总调远动通道已实现纵向加密，控制区与区通 过南网调度数据网已实现逻辑隔离。但与此同时，当前的安全措施也存在一定的 不足， 网络边界防护、 监控大区病毒防护、 安全审计、 操作系统加固等还不完善， 具体需求如下： 525 需要满足电力监控系统安全防护总体方案 （36 号文）有关电厂安全防护 的相关要求， 需要满足电网的电力调度安全防护和国家能源局电力监控系统安全 防护的重点要求； 1) 目前水电厂内各系统（各机组测温系统、开关站系统、共用系统、厂用 电系统和

45、坝区系统等）之间未进行有效的网络隔离，可随意互访，单区域或单节 点遭受病毒感染或恶意攻击将直接影响其它区域的正常运转， 尤其是底层控制系 统，需按照相关要求采取安全隔离措施，防范病毒扩散及恶意攻击行为对其它系 统造成影响等； 2) 随着水电厂智能化、信息化等新技术的应用，“无人值班，少人值守” 的远程监控管理模式快速发展， 机组和远方集控中心通过网络进行数据及控制指 令传输，使生产控制大区遭受攻击的风险增加，需采取相应手段对关键指令下发 及误操作等行为进行实时监测和告警； 3) 发电厂生产控制系统中的管理终端 （如服务器、 工程师站、 操作员站等） 存在移动介质、串口设备、并口设备等外设滥用和

46、主机安全策略配置级别较低的 情况，需采取有效措施对移动 U 盘等外设的使用进行管理，并增强主机安全防护 能力； 4) 电厂在执行特定工作(如系统调试和维护)时，需要通过本地或远程方式 接入第三方设备，就需要对接入的人员及终端设备采取有效的安全监管措施，需 要重点管控维护过程中的关键操作行为并对所有操作行为进行取证。 3.3. 安全解决方案 安全解决方案 经过对现场网络结构、主机设备、系统软件、安全设备等运行情况进行安全 调研和分析，识别出系统资产和脆弱性，确认了水电站现场所存在的安全隐患和 安全防护缺失项，明确了采用自主可控的工控安全核心技术的技术路线。为加强 某水电站网络安全防护，构建的安全

47、防护方案如下： 1) 在各机组 LCU 与控制网络之间部署工业防火墙， 通过对 Modbus 协议进行 深度解析与“白名单”控制功能，能有效保护电厂使用的施耐德 Quantum 系列 PLC，防止针对 PLC 漏洞的恶意攻击行为及违规操作； 2) 在水电厂环网交换机上旁路部署工控安全监测与审计系统，对控制网络 526 中的网络流量进行实时监测，特别是异常指令下发、违规操作等行为，同时记录 原始 pcap 文件，以便调查取证。 3) 旁路部署入侵检测设备，通过收集和分析网络行为、安全日志、审计数 据、其它网络上可以获得的信息以及计算机系统中若干关键点的信息，检查网络 或系统中是否存在违反安全策略的行为和被攻击的迹象。 4) 在主控层的工程师站、操作员站和服务器上部署主机加固系统，对系统 中安全相关的设置进行全面扫描及策略设置，对关键业务进程、程序予以保护， 建立白名单库，将普通操作系统透明提升为安全操作系统，大大提高工业主机的 安全性； 5) 在控制环网交换机上部署安全运维管理系统，实现账号统一管理、资源 和权限统一分配、操作全程审计，提升运维过程的安全性。 6) 通过统一安全管理平台对所部署的安全设备进