绿盟汽车智能制造安全解决方案，打造汽车产业数字化转型的“安全引擎”

改革开放后，我国经过四十多年快速发展，已跃升为世界汽车产销第一大国，汽车产业成为国民经济重要的支柱产业。“十四五”时期，加快数字化发展，打造数字经济新优势，正在成为我国经济增长的新引擎，汽车产业作为国民经济重要的产业之一亟需实现数字化转型。当下，国内汽车产业的数字化探索已经进入了攻坚期、深水区，伴随着数字化的加速变革，我国汽车产业也将面临前所未有的全价值链重构。因此，车企的数字化转型成功与否，不仅关乎企业自身的生存与发展，也决定着未来整个产业能否实现高质量发展。

智能制造是贯彻落实《中国制造2025》的战略部署，是两化深度融合的主攻方向，也是增强我国制造业发展优势的关键所在；大力发展智能制造是加快制造强国建设步伐、加速推动汽车产业由规模速度型向质量效益型转变、实现数字化转型的重要途径。

在汽车制造企业进行数字化、智能化转型过程中，工业现场将部署大量的智能机器人、智能装置、IoT设备，帮助企业解决目前面临的成本高、效率低、客户个性化定制要求不断提高等问题，同时也为企业的制造过程带来了安全风险，主要体现在以下几个方面：

在汽车制造企业未做整体工业安全防护建设前，很少去考虑工业控制网、工业管理网络的横向和纵向网络边界防护，极容易引起网络安全风险外溢，影响相邻网络，甚至影响生产控制系统的连续稳定运行。而且在数字化转型过程中会打通研发、生产和管理，建设智能制造管理平台，形成一个互联互通的智能工厂，工业网络边界的防护就变得非常重要。

汽车制造生产控制系统缺少威胁入侵检测以及异常行为、网络运行状态监测手段。对生产网络中存在的威胁行为、漏洞利用行为、误操作、违规操作以及关键动作，不能实时感知。

在工业网络中工业主机常用来搭载工控系统的上位机软件，由于杀毒软件可能对工控软件的一些程序或脚本存在误报误杀的情况（不含工控厂家认证过的杀毒软件），工控软件对常用的杀毒软件比较排斥，导致普遍恶意代码防范能力弱，工业主机变成了僵木蠕病毒的“乐园”。此外，还存在操作系统版本老、漏洞多、基线弱等问题以及存储介质乱插现象。

汽车制造的现场设备、控制软件等软硬件产品专业性强，通常需要专业维护人员通过向日葵、VNC、TeamViewer等互联网工具进行远程运维，但运维过程无任何管控措施，出现问题无法定位、追责。

部分员工在工作过程中通常会将一些生产报表、财务报表、检测结果等电子版文件通过微信、QQ等软件上交或转发，在方便文件传输的同时也带来了数据泄露的风险，无论是被不法网络技术人员截取，还是内部人员的不经意的转发，或者是存储文件的U盘不小心丢失，都有很大可能性导致不良影响。还缺少相关的数据审计措施，无法对用户的恶意操作、资源滥用和敏感数据泄露等违规行为进行审计、定位、溯源。

汽车制造现场环境恶劣、复杂，相关人员只有生产安全意识，并无网络安全意识，而且网络安全组织、岗位、人员、职责、制度等普遍缺失或不成体系。

在《国家智能制造标准体系建设指南(2021版) 》、等级保护、关基保护条例等政策、标准的指引下，绿盟科技综合考虑汽车制造过程实际面临的工业网络安全风险，推出绿盟汽车智能制造安全解决方案：从组织管理、安全技术两大维度进行体系化建设，构建汽车制造安全综合防御体系，提升纵深防御、监测预警和应急响应能力；通过常态化运营，形成分析预测、威胁防护、持续监测、响应处置的闭环体系。

整体安全技术架构设计如下：

按照纵向分域、横向分区的原则进行区域划分，在原有架构基础上新建一个独立的安全管理区，对分布在网络中的安全设备进行集中管控。

在安全管理区部署工控漏扫和配置核查工具，通过安全评估服务，借助这两款设备对冲压、焊接、涂装、总装、MES、APS、LES等业务系统，进行资产识别、脆弱性识别和威胁识别。从而建立全面的资产清单、威胁清单和脆弱性清单，形成整改建设依据。并且定期进行健康检查，包括漏洞、安全配置等，及时了解汽车制造企业生产网络的薄弱环节，进行针对性的预防与加固。

企业整体网络分为管理网和生产网，在企业管理域与制造执行域之间部署冗余的工业网闸，对工业协议报文拆包、内容剥离、安全过滤、单向传输、协议重组等，保障只有生产数据从生产网传输到管理网，禁止管理网违规访问生产网，实现生产网与管理网之间的大边界安全防护。

整车制造厂一般有冲压、焊接、涂装和总装四个车间，在各生产车间的网络出口处部署冗余的工业防火墙，实现对各生产车间之间的横向边界防护和与制造执行层的纵向边界防护，并对工业通讯协议进行深度解析，对途经防火墙的工业协议字段与数据值进行检查。

各生产车间内部网络分为有线网络和无线网络，在有线网和无线网的网络出口处分别部署工业防火墙，实现对车间内部的横向边界防护，生产管理层与企业管理层之间部署冗余的工业防火墙，并对工业通讯协议进行深度解析，对途经防火墙的工业协议字段与数据值进行检查。

企业管理域划分出办公接入区、服务器管控区和安全管理区，其中在安全管理区的边界处部署防火墙，在保障安全管理区边界安全的前提下，通过配置策略放行安全产品所需的通讯连接；在服务器管控区的边界处部署WAF，实现对WEB应用服务器的防护。

企业网络通过运营商专线与集团公司进行数据传输和业务交互，在边界处部署防火墙，实现边界防护和访问限制。

在生产管理层和过程监控层的核心旁路部署工业入侵检测，对汽车制造生产网络中存在的异常威胁、漏洞利用行为、恶意攻击进行实时检测。

在各车间旁路部署工控安全审计，对流经各车间生产控制系统的网络流量进行审计。对上位机与下位机之间的工业协议识别，并进行深度解析，对违规操作、误操作以及关键操作（如下载、上传、组态变更以及CPU启停）等进行监测，实时了解生产网络的安全状态，为事后追溯、定位提供证据。

在安全管理区部署主机卫士服务器，在工业主机上部署主机卫士系统客户端，通过应用白名单、USB管控等技术实现对工业主机的安全防护，增强未知威胁防范能力。

在安全管理区部署杀毒软件服务器，在非工业主机上部署杀毒软件客户端，实现对非工业主机的恶意代码防护。

在安全管理区部署数据库审计设备，建立数据库操作的风险特征与审计行为的映射规则，对常见的工业实时数据库以及关系型数据库进行审计。

在企业管理域的核心旁路部署数据防泄露，对出口流量进行内容审计，实现数据敏感信息识别、网络数据泄漏监控预警、事件审计及业务分析，防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改、删除。

在安全管理区部署运维堡垒机，通过在防火墙上设置ACL访问策略或其他技术手段保障运维数据流只能经过堡垒机到达运维资源，对运维过程进行录屏、键盘记录，并进行审计，保障远程运维安全。

在安全管理区部署厂级工业态势感知平台，对部署的安全、网络以及关键业务系统进行操作日志、运行日志以及告警日志的集中采集、泛化和关联分析，并从整体视角进行实时感知、事件分析、研判等，提升企业整体安全防护预警水平。

通过级联部署方式，在集团管理域部署集团级工业态势感知平台，集中收集各个分厂的工业网络安全态势，实现统一的态势感知、趋势预警。

首先，进行组织治理。明确网络安全负责人和管理组织，企业主要负责人是网络安全的第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等。

其次，进行管理制度建设。主要从四个层级进行建设，包括：

① 一级文件：网络安全方针、战略等纲领性文件；

② 二级文件：网络安全管理规定、办法等规范性文件；

③ 三级文件：操作流程、规范、作业指导书、模板等指导性文件；

④ 四级文件：各类表单、记录日志、报告等记录类文件。

最后，对这些制度文件进行评审、修订、发布、执行等管理，并定期根据国家、行业和企业的动态对制度文件的合理性和适用性进行定期论证、审定，不足之处进行修订改进。

（1）全面提升汽车制造、智能工厂的合规性，符合国家主管部门、行业监管部门以及上级单位的安全防护要求；

（2）全面提升汽车制造生产控制系统、生产管理系统等业务系统的安全防护与监测预警能力，助力汽车产业数字化转型；

（3）全面提升汽车制造相关业务人员的安全意识、安全技术水平和安全管理水平。