四虎影视永久无码精品-久久这里只有是精品23-亚洲精品无码成人a片-亚洲综合国产成人丁香五月激情-www婷婷av久久久影片

比亞迪是一家致力于“用技術創新，滿足人們對美好生活的向往”的高新技術企業。比亞迪成立于1995年2月，經過24年的高速發展，已由成立之初的20人壯大到今天的24萬人，并在全球設立30多個工業園，實現全球六大洲的戰略布局。比亞迪業務布局涵蓋電子、汽車、新能源和軌道交通等領域，并在這些領域發揮著舉足輕重的作用，從能源的獲取、存儲，再到應用，全方位構建零排放的新能源整體解決方案。比亞迪是香港和深圳上市公司，營業額和總市值均超過千億元。
在工業信息安全領域，以集團管控為核心，通過辦公自動化、財務一體化、內控風險管控等管理信息系統為主要建設對象，提高辦公效率、實現全集團有效監控。公司對兩化融合工作進行系統、全面的整體規劃，按照“統一規劃、分布實施”的總體實施策略，制定了分階段的兩化融合可實施路線。通過合理規劃和有序實施，構建出行業領先的工程機械全產業鏈信息化業務管理平臺，實現了技術融合、產品融合、業務融合與資源融合，取得了在產品全生命周期集成應用、業務模式創新等方面的系列成果。

 

一、項目概況

1. 項目背景
由于工業控制系統（以下簡稱工控系統）上位機操作系統老舊且長期運行未升級，存在很多的安全隱患，病毒問題一直是威脅工控系統主機安全的一個棘手問題，從震網病毒到2017年末的工業破壞者，這些如幽靈般游蕩在工控系統網絡中的殺手總是伺機而動，一旦得手就會帶來巨大的危害。

2. 項目簡介
制造產線遭受病毒侵襲，生產制造產線幾臺上位機莫名出現頻繁藍屏死機現象，并迅速蔓延至整個生產園區內大部分上位機，產線被迫停止生產。企業日產值超千萬，停產直接損失嚴重，信息安全部門采取了若干緊急處理措施，防止病毒擴散的同事，盡快解決問題恢復生產，同時尋求安全廠商共同制定長期有效的安全解決方案。

3. 項目目標
解決生產廠區感染WannaCry病毒帶來的藍屏重啟問題，提升上位機的主動防御能力，實現上位機從啟動、加載到持續運行過程的全生命周期安全保障。

二、項目實施概況

1. 安全問題研判
工業現場的上位機大多老舊，服役10年以上仍在運行的主機也很常見，而工業現場的相對封閉性，使得補丁升級、病毒處理變成一件很復雜的事情。工業生產的穩定性往往會面臨上位機脆弱性的挑戰，一旦感染病毒就會造成巨大影響。
企業生產網絡與辦公網絡連通，未部署安全防護措施進行隔離；生產制造產線上位機運行異常，重復重啟或藍屏，初步斷定為病毒入侵。
由于上位機操作系統都是老舊的Windows XP，感染病毒之后頻繁藍屏重啟，無法在問題終端采樣進行病毒分析。在生產網絡核心交換機位置旁路部署工業安全檢查評估系統對生產網絡數據流量進行檢測，基于安全大數據能力生成多維度海量惡意威脅情報數據庫，對工業控制網絡進行自動化數據采集與關聯分析，識別網絡中存在的各種安全威脅。借助工業安全檢查評估系統的強大檢測分析能力，安服人員很快判定該上位機感染了“永恒之藍”蠕蟲病毒（也稱為WannaCry）。
比亞迪生產環境有如下復雜的特性：
（1）場景復雜性
比亞迪有IT、汽車、新能源和軌道交通四大產業，每個產業群都有多個生產工廠、車間，如：電池、電子、手機、PAD、筆記本電腦、汽車電子、汽車零配件、發動機、動力電池、儲能設備、云軌、云巴、軌道通信等多達上百個大大小小的車間。
（2）應用復雜性
公司生產應用系統、軟件復雜多樣，MES、PLC、DCS等等，不同的產業群、產品車間，都有不同的產品測試、檢測、調校、數據采集、分析等各類生產應用。
（3）網絡復雜性
管理層面已規劃辦公網絡、生產網絡、無線網絡、有線網絡、獨立局域網絡，但很多生產網絡環境并沒有嚴格隔離，網絡情況復雜。
（4）適配復雜性
各種IT、汽車、儲能、軌道交通車間的檢測機、測試板卡、數據采集卡、燒錄器、U盤、SD卡、掃描器等外設設備的適配。
（5）實施復雜性
集團產業多樣、工業園分布全球各地，生產車間業務繁忙，給予的時間、人員協調有限，必須要準備充分，根據不同生產線準備對應的應急響應措施。

在信息安全技術方面存在的問題主要表現在以下幾個方面：

1. 系統網絡未進行嚴格的安全劃分，區域間未設置嚴格的訪問控制措施；

2. 缺少信息安全風險監控技術，不能及時發現信息安全問題，出現問題后靠人員經驗排除；

3. 操作系統安全配置薄弱，防病毒軟件安裝不全面；

4. 工程師缺少身份認證和接入控制，且權限很大；

5. 存在使用移動存儲介質不規范問題，易引入病毒及黑客攻擊程序；

6. 第三方運維生產系統無審計措施，不能追根溯源；

7. 生產上線前未進行信息安全測試，存在安全風險漏洞；

在信息安全管理方面存在的問題主要表現在以下幾個方面：

1. 組織結構人員職責不完善，工控安全人員缺乏；

2. 生產信息安全管理制度和流程不夠完善；

3. 應急響應機制不健全，需進一步提供安全事件應對能力；

4. 人員信息安全培訓不足，人員安全意識有待提高；

5. 尚需完善第三方人員管理體制。

2. 對策與措施
安服人員發現上位機感染WannaCry病毒之后，為了避免上位機中數據被加密帶來進一步的危害，緊急在生產網絡中部署一臺偽裝病毒服務器，域名設定為病毒網站，并通過策略設置將生產網上位機DNS指向此偽裝服務器，阻止了WannaCry病毒的后續影響。
企業生產園區占地范圍很大，感染病毒的上位機幾乎遍布各個園區，單純依靠人力難以逐一定位問題終端。工業安全檢查評估工具在此過程中發揮了巨大作用，不僅給出了感染病毒的準確研判，而且詳細統計出所有問題終端的IP地址和MAC地址，結合企業提供的資產清單，安服人員和廠方技術人員很快確定了絕大部分問題終端的具體位置。
完成定位之后，安服人員第一時間關閉了網絡和終端的445端口，避免病毒進一步擴散。經過現場細致排查溝通，確定以下信息：

（1）上位機硬件配置資源有限，無法安裝殺毒軟件；
（2）專用的生產軟件對操作系統版本有嚴格限制，無法對操作系統進行打補丁操作；
（3）重裝系統會導致專用軟件授權失效，帶來經濟損失。
結合上述信息，安服人員只能對問題終端采取殺毒處理。為了避免殺毒過程中對上位機系統和數據造成影響，安服人員首先備份了問題終端系統及數據，然后用WannaCry病毒專殺工具進行殺毒處理，清除感染的病毒。

3. 具體應用場景和解決方案
為了避免處理完成的上位機再次感染病毒，安服人員在上位機上部署安裝了工業主機安全防護軟件，該軟件基于輕量級“應用程序白名單”技術，能夠智能學習并自動生成工業主機操作系統及專用工業軟件正常行為模式的“白名單”防護基線，放行正常的操作系統進程及專用工業軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運行，為工業主機創建干凈安全的運行環境。同時，針對可聯網的上位機，通過部署網絡版的工業主機安全防護軟件進行分組管理、策略制定下發、終端軟硬件資產管理、安全日志收集告警等，從而實現統一管理、配置和安全風險管控。

圖1 工業主機安全防護部署架構圖
 

4. 其他亮點

（1）工業專用的主機防護軟件：
針對比亞迪工業主機復雜性特點，工業主機防護系統須進行老舊操作系統（如winXP）的兼容、比亞迪工業軟件C15/MES系統、專用的電池軟件等幾十種工業軟件的適配支持以及各類工業主機硬件的支持。

1. 比亞迪生產線上工控系統不允許在運行期間進行升級，白名單技術無需進行病毒庫升級，能夠智能學習并自動生成工業主機操作系統及專用工業軟件正常行為模式的“白名單”防護基線，并且白名單支持三種工作模式，告警、防護、關閉一鍵切換。

（2）工業主機“永恒之藍”防御：

1. 針對比亞迪的“永恒之藍”勒索病毒，白名單在防護模式下會放行正常的操作系統進程及專用工業軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運行，同時結合漏洞防御進行永恒之藍的超前防御，可以形成關卡一樣層層攔截模式。

2. 針對比亞迪生產線上通過U盤進行文件拷貝容易造成病毒傳播的情況，工業主機安全防護可針對主機插入的USB移動存儲進行權限管控，通過針對USB移動存儲的硬件ID進行識別和匹配，對所允許的外設進行權限管控（讀和讀寫），對不允許的外設進行禁用。從而，避免工業主機通過USB移動存儲進行病毒傳播和非法外設進行文件讀取。

（3）工業資產全面可見

1. 針對比亞迪生產線中工業主機資產難以梳理，并依靠手工登記匯總的情況，工業主機防護具有強大的終端發現功能，通過定義網絡IP段分組，對指定的網絡分組進行周期性地發現與統計網絡中的終端數量及類型。從而了解生產線上工業主機數量和工業主機安全防護系統終端的安裝量，為比亞迪進行工業主機管理和安全運維提供有效的參考。

2. 比亞迪生產線中，當存在大量工業主機、設備時，尤其出現安全風險或問題時，需要一臺一臺主機和設備進行安全排查，工業主機防護具有軟件化的控制中心，可以針對主機上客戶端進行集中管理和安全風險分析，基于用戶組織架構進行安全風險管理并可以進行終端功能進行單點維護和定制化。

三、下一步實施計劃

1. 進行全面的資產排查，檢查產線中是否還存在遺漏的未進行安全防護的工業主機。
2. 做好此次事件的總結，制定好工控應急響應計劃和定期演練，避免再次出現病毒大規模擴散傳播，及造成產線停產帶來的嚴重經濟損失。
3. 針對新購置和上線的機器進行安全防護措施，如上線前安裝工業主機安全防護軟件并進行白名單設置和U盤管控。

四、項目創新點和應用價值

1. 項目先進性及創新點
工業安全檢查評估工具和工業主機防護軟件是解決工業主機脆弱性問題的一劑良藥。工業主機安全防護軟件基于輕量級“應用程序白名單”技術，以及基于ID的U盤管控技術，高穩定、低開銷、無需升級庫文件、網絡版資產管理及安全風險管理等特點，真正貼合了工業企業的實際需求，操作簡單的特點也符合生產技術人員的操作習慣。該方案能夠適用于大部分工業控制系統，是一套成熟可靠的安全解決方案。 

2. 實施效果
針對比亞迪 “永恒之藍”的安全問題，通過在全國各地園區生產線上共計部署17000多點工業主機安全防護軟件，自部署以來運行穩定。通過工業主機安全防護軟件，能夠自動生成工業主機操作系統及專用工業軟件正常行為模式的“白名單”防護基線，以及針對單個U盤的管控，為比亞迪工業主機創建安全的運行環境，讓比亞迪信息基礎設施運行的更安全、更可靠。
在比亞迪所有園區生產線中工業主機均部署了工業主機防護軟件：

• 對生產線中裸奔的工業主機實現了安全防護，防止惡意程序攻擊，保障生產穩定運行；

• 對生產線中工業主機進行了全面梳理，有利于實現資產統計和分析；

• 對生產線中的可聯網工業主機進行全面風險監控和集中管理，能夠在第一時間發現工業主機安全風險；

• 積攢了生產線中工業主機軟件安裝和生產之間的協調經驗，有利于后續產線工業軟件安裝和處置。

3. 實施價值
（1）整體化的安全方案
從設備安全來看，從技術層面出發，全網終端形成了統一的防病毒體系，有效抵御病毒及木馬的入侵，并結合終端管理軟件對終端進行集中管理，安全策略集中部署、補丁下發控制、資產收集統計、終端行為控制與審計、流氓軟件識別、安全控制等方面進行了整體部署。
從管理角度出發，工控態勢感知、漏洞檢測、安全審計和監測、功能的引入將實現對全網工控行為、漏洞、狀態、安全趨勢的完全管理。
從運維安全角度來看， 規范本行操作人員和第三方代維廠商的操作行為。審計和監測系統的部署，使得所有系統管理人員，第三方系統維護人員通過實施網絡管理和服務器維護，對所有的操作行為，都做到可記錄、可控制，審計人員通過定期對維護人員的操作審計，可以提高維護人員的操作規范性。

（2）針對性的區域隔離防護能力
在各個地區與總部之間分別部署安全防火墻，實現工業園級的病毒安全防護隔離，實現網絡分層分區，邊界訪問控制。

（3）符合工控安全防護指南要求
方案針對《工業控制系統信息安全防護指南》所提出安全建議，對應實現的安全防護見表格中內容。

 
1、物理安全

2、網絡安全

3、主機安全

 
4、工業控制設備安全

5、應用安全

6、數據安全