威努特助力新能源汽車公司樹立工控安全建設新標桿

1項目概述

近期因豐田汽車零部件供應商遭受網絡攻擊，導致豐田汽車3月1日被迫關閉其在日本14家工廠的28條生產線，月減產約13000輛汽車。 據悉，這已不是第一次發生針對汽車制造行業的網絡攻擊事件：2019年3月，日本東京豐田汽車公司IT系統遭“海蓮花”入侵；2020年6月，本田汽車公司慘遭勒索軟件攻擊。 針對汽車制造行業的網絡攻擊層出不窮，網絡安全風險也在日益增加， 汽車制造行業工控安全建設已刻不容緩。

某新能源汽車公司是中國領先的智能電動汽車設計及制造商，也是融合前沿互聯網技術和人工智能創新的科技公司。經過多年發展，該公司獲得政府與公眾的高度認可，業務產量也在快速增長，僅是本次需要進行工控安全改造的工廠，一天的汽車產量就可達到千余臺。但其工控網絡環境并未部署任何工控安全產品，極易遭受網絡攻擊，因此工控安全建設成為其當務之急。

2項目需求分析

2.1生產網絡現狀

經過系統的交流和調研，了解到該客戶的上位控制系統采用西門子WinCC系統，下位PLC設備主要采用西門子S7-300、S7-1500， 僅在生產網與辦公網區域邊界部署傳統防火墻設備，生產網內主機側安全建設尚屬空白，存在較大的安全隱患。

2.2需求分析

根據客戶生產網現狀，結合現場調研的結果總結需求如下：   

• 工業控制協議深度解析需求

因生產網絡中工控設備類型豐富，且采用S7等工業控制協議進行通訊，但已部署的傳統的防火墻無法識別現場工業控制協議，存在非法指令下發、惡意指令下發等風險，迫切需要提升客戶對S7等工業控制協議深度解析能力。

• 外設接口管控需求

生產網內工控主機通過USB移動存儲等介質在辦公網和生產網之間交叉使用，極易感染惡意代碼程序，進而導致工控主機被攻擊，引發安全風險，迫切需要提升外設管控能力。

• 漏洞防護需求

生產網內工控主機多數使用Windows 7、Windows 10等微軟操作系統，由于生產控制網絡的封閉及控制系統要求極高的穩定性，所以無法進行正常的操作系統補丁升級，導致存在大量的安全漏洞，迫切需要提升漏洞防護能力。

• 生產網絡監測預警需求

生產網絡為“黑盒”狀態，存在對工業控制協議的網絡攻擊、用戶誤操作、用戶違規操作等行為無法被監測、安全問題被隱藏的風險，迫切需要提升工控網絡可視化水平。

3解決方案

根據該新能源汽車公司的安全現狀并結合其工業控制系統運行環境相對穩定與系統更新頻率較低的特點，依據“安全分區、縱深防護、統一監控”的設計原則，建立符合現場生產業務的安全狀態基線和通信模型，進而構筑工業控制系統網絡安全縱深防御體系； 可實現抵御網絡攻擊與防護惡意代碼的效果，保證生產業務的高效、安全、穩定運行。 具體方案如下：

圖1 工控網絡安全防護拓撲示意圖

3.1區域邊界訪問控制

在生產網與辦公網區域邊界部署工業互聯防火墻，實現S7等工業控制協議的識別與深度解析，實時攔截非法指令下發、惡意指令下發等違規行為； 強化對WinCC工業控制系統的邊界隔離與防護，確保控制系統的持續穩定運行。

圖2 工業互聯防火墻工業控制協議識別展示

圖3 工業互聯防火墻工業控制協議學習數據展示

圖4 工業互聯防火墻配置業務相關安全策略展示

3.2工控主機安全防護與加固

在各車間工控主機上部署工控主機衛士，通過“白名單”技術、漏洞防御、安全基線及外設管控等技術措施實現對工控主機的安全防護與加固，提高工控主機的安全防護能力與安全防護等級。

圖5 工控主機衛士白名單防護機制展示

圖6 工控主機衛士漏洞防護展示

圖7工控主機衛士安全基線加固展示

圖8 工控主機衛士外設管控展示

圖9 U盤管控展示

3.3生產網絡流量監測及預警

在生產網核心交換機旁路部署工控安全監測與審計系統與入侵檢測系統，實時收集生產控制、下發指令、收集數據等相關工業鏡像流量，對流量中網絡連接、網絡協議、網絡會話、工業控制協議指令等內容進行詳實審計，實時檢測出針對工業控制協議的網絡攻擊、用戶誤操作、用戶違規操作、非法設備接入以及蠕蟲、病毒等惡意軟件的傳播等行為并實時告警，以便運維人員快速發現安全問題并進行相應處置。

圖10 工控安全監測與審計系統智能監測展示

圖11 入侵檢測系統風險分析展示

3.4統一安全管控

在安全管理中心部署統一安全管理平臺，對生產網絡中部署的工業互聯防火墻、工控主機衛士、工控安全監測與審計系統、入侵檢測系統等進行集中管控； 同時統一安全管理平臺兼備基于資產的集中管理功能，有效幫助運維人員提升網絡安全運維工作效率，降低安全運維成本。

圖12 統一安全管理平臺資產態勢展示

4客戶價值

全面提升工業控制系統整體安全性

針對工業控制系統的網絡攻擊日益增加，且直接損害了企業用戶的經濟利益，在當前的大環境下工控安全建設尤為重要，建設完成后可全面提升工業控制系統的整體安全性，確保設備、系統、網絡的可靠性、穩定性，全面提升安全生產管理水平、工作效率和管理效率，避免出現類似豐田汽車遭受網絡攻擊的安全事件。

構建網絡安全縱深防御體系

以“白名單”技術機制為核心，構建覆蓋生產網絡邊界、主機、PLC設備、工控組態軟件等全方位的網絡安全縱深防御體系。

深度結合現有工控網絡環境

無需改造現有生產網絡架構和升級工業控制系統，無需頻繁升級病毒特征庫，安全設備硬件平臺滿足工業控制環境標準要求，且可持續穩定運行。

樹立行業標桿

該企業下屬的其他工廠在規劃工控安全建設時可借鑒本次項目的成功經驗，同時也為新能源汽車領域工控安全建設樹立了行業標桿。