行業(yè)概述
　　高端制造業(yè)是指制造業(yè)不斷吸收電子信息、計算機、機械、材料以及現(xiàn)代管理技術(shù)等方面的高新技術(shù)成果，并將這些先進制造技術(shù)綜合應(yīng)用于工業(yè)產(chǎn)品的研發(fā)設(shè)計、生產(chǎn)制造、在線檢測、營銷服務(wù)和管理的全過程，實現(xiàn)優(yōu)質(zhì)、高效、低耗、清潔、靈活生產(chǎn)，即實現(xiàn)信息化、自動化、智能化生產(chǎn)，取得很好經(jīng)濟收益和市場效果的制造業(yè)。

　　半導(dǎo)體行業(yè)特點
　　半導(dǎo)體集成電路以其極高的產(chǎn)品附加值成為高端制造行業(yè)的典型代表。集成電路制造的過程就是硅的附加值快速增長的過程，集成電路的制造是一個復(fù)雜且耗時的精細流水線生產(chǎn)過程。首先要利用設(shè)計自動化軟件進行電路設(shè)計，然后將集成電路設(shè)計的版圖轉(zhuǎn)印到石英玻璃上的鉻膜層形成光刻板或倍縮光刻板；另一方面，由石英砂提煉出的初級硅經(jīng)過純化后拉成單晶硅棒，然后切片做成晶圓。晶圓經(jīng)過邊緣化和表面處理，再與光刻板/倍縮光刻板一起送到半導(dǎo)體制造廠制造集成電路芯片。整條工藝流程對生產(chǎn)設(shè)備可靠性要求極高。例如，一個典型的 12 寸原始硅片，價格約 120 美元，經(jīng)過約 500~800 個工藝步驟，加工 40~60 天后，其價值能提高到約 3000 美元；假定一個芯片制造廠的月產(chǎn)能40000 片~100000 片，其月產(chǎn)出可以達到 1.2 億~3 億美元，甚至更高。因此，一個穩(wěn)定運行的芯片制造廠可以說稱之為"印鈔機"也不為過。反之，如果芯片生產(chǎn)線出現(xiàn)任何問題，如停電、網(wǎng)絡(luò)中斷、感染病毒、工藝流程等，即使幾個小時的停產(chǎn)，也會給企業(yè)自身及其上下游企業(yè)帶來巨大的損失。
　　安全風險點
　　這次的臺積電三大生產(chǎn)基地停擺事件，目前臺積電方面已表示預(yù)估這起事件沖擊第三季營收約百分之三，并且公布了病毒感染的原因：新機臺在安裝軟件的過程中操作失誤，因此病毒在新機臺連接到公司內(nèi)部網(wǎng)絡(luò)的時候發(fā)生了病毒擴散的情況。
　　在當前工業(yè)互聯(lián)網(wǎng)的大形勢下，高端制造業(yè)的生產(chǎn)控制網(wǎng)絡(luò)不再像人們傳統(tǒng)觀念中與互聯(lián)網(wǎng)完全隔離，隨著更多更先進的生產(chǎn)管理系統(tǒng)的上線，越來越多的無線終端的接入，并且在工業(yè)4.0的大形勢下更多的生產(chǎn)數(shù)據(jù)需要被采集到管理辦公網(wǎng)絡(luò)，企業(yè)的生產(chǎn)控制網(wǎng)暴露的風險點越來越多：
　　1、目前絕大多數(shù)的CNC設(shè)備依賴國外品牌，第三方運維人員（尤其是國外的技術(shù)人員）在進行現(xiàn)場或遠程運維時可能會泄露重要生產(chǎn)數(shù)據(jù)或NC文件。
　　2、生產(chǎn)管理網(wǎng)的DNC服務(wù)器在從生產(chǎn)控制網(wǎng)中采集生產(chǎn)數(shù)據(jù)時，使得生產(chǎn)控制網(wǎng)存在被惡意攻擊、感染病毒的風險。
　　3、未對工業(yè)控制網(wǎng)絡(luò)區(qū)域間進行隔離、惡意代碼監(jiān)測、異常監(jiān)測、 訪問控制等一系列的防護措施，很容易一點發(fā)生病毒或攻擊，影響全部車間甚至全公司。
　　4、未統(tǒng)一對設(shè)備及日志進行統(tǒng)一管理，使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析，不易關(guān)聯(lián)分析設(shè)備間的事件和日志，難于及時發(fā)現(xiàn)復(fù) 雜的問題。
　　5、在進行日常運維及流程工業(yè)調(diào)整時多使用移動介質(zhì)將NC文件導(dǎo)入高精尖數(shù)控設(shè)備或接入網(wǎng)絡(luò)，會導(dǎo)致機臺感染病毒或惡意代碼并且擴散.
　　6、未對操作站主機及服務(wù)器進行合規(guī)的安全配置，使得暴露的終端被攻擊成功的可能性很高。
　　7、逐漸增加的無線接入點缺少認證控制措施。
　　8、管理制度上的缺失及難于管理，缺乏相應(yīng)的安全責任人，供應(yīng)商、運維服務(wù)商管理不嚴格，缺乏安全意識等。
　　解決方案
　　在《工業(yè)控制系統(tǒng)信息安全防護指南》及一系列等級保護相關(guān)標準的指導(dǎo)下，面對高端制造行業(yè)的嚴峻安全現(xiàn)狀，天地和興推出高端制造業(yè)的工控信息安全整體解決方案，幫助制造業(yè)企業(yè)提升自身的安全防護能力、建立安全可控的監(jiān)管手段、完善可視可量化的安全評估考核體系，保障生產(chǎn)業(yè)務(wù)環(huán)境安全可靠，持續(xù)提升工控安全監(jiān)管能力。
　　方案架構(gòu)：
　　通過工業(yè)防火墻、主機防護系統(tǒng)、入侵檢測、工控威脅檢測、工控安全審計、賬號管理及運維審計系統(tǒng)、工控安全監(jiān)管與分析平臺、工控安全檢查工具箱等工控安全專用產(chǎn)品，實現(xiàn)生產(chǎn)控制網(wǎng)的安全隔離、邊界防護、訪問控制、入侵防范、APT攻擊防范、安全審計、集中管控、主機安全等，架構(gòu)圖如下：

　　邊界防護：
　　1、滿足合規(guī)性要求《工業(yè)控制系統(tǒng)信息安全防護指南》第三項"邊界安全防護"的技術(shù)要求等"；
　　2、采用專門針對工控系統(tǒng)的專業(yè)數(shù)據(jù)隔離防護產(chǎn)品來進行邊界防護，能夠深度解析工業(yè)通信協(xié)議，并且對于利用工控協(xié)議漏洞、工控系統(tǒng)漏洞進行滲透攻擊的行為進行實時攔截和告警；
　　3、對于未授權(quán)的接入與訪問能夠在域間鏈路上進行杜絕；
　　4、能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進行檢查和阻斷；
　　入侵檢測：
　　1、滿足合規(guī)性要求（生產(chǎn)控制系統(tǒng)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測系統(tǒng)，應(yīng)當合理設(shè)置檢測規(guī)則，檢測發(fā)現(xiàn)隱藏于網(wǎng)絡(luò)邊界正常信息中的入侵行為，分析潛在威脅并進行安全審計）；
　　2、實時監(jiān)測網(wǎng)絡(luò)中的病毒、蠕蟲、木馬以及各類威脅引起的攻擊、掃描、傳輸?shù)仁录?，并告警提示?br>　　3、通過溯源其攻擊源、攻擊目標、攻擊路徑，對網(wǎng)內(nèi)受影響的風險節(jié)點進行精確定位，鎖定IP和MAC地址，協(xié)助用戶對事件進行快速處理；
　　4、從事件時間、事件類型、事件風險、事件危害等多個維度對監(jiān)測到的安全事件進行統(tǒng)計分析；
　　安全審計：
　　1、滿足合規(guī)性要求（生產(chǎn)控制網(wǎng)的監(jiān)控系統(tǒng)應(yīng)當具備安全審計功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫、業(yè)務(wù)應(yīng)用的重要操作進行記錄、分析）；
　　2、實時監(jiān)測網(wǎng)絡(luò)中的流量信息、人員操作信息、工控協(xié)議信息等進行分析，并告警提示；
　　3、實時監(jiān)測網(wǎng)絡(luò)中的誤操作、違規(guī)行為、非法設(shè)備接入等異常行為，并告警提示；
　　4、提供全程的行為審計和事件還原能力，為電廠安全管理人員提供高效的安全事件追溯功能；
　　APT攻擊及惡意代碼防范：
　　1、滿足合規(guī)性要求（應(yīng)在網(wǎng)絡(luò)邊界處對惡意代碼進行檢測和清除、應(yīng)維護惡意代碼庫的升級和檢測系統(tǒng)的更新）；
　　2、對網(wǎng)絡(luò)整體進行安全檢測與監(jiān)控，發(fā)現(xiàn)各類已知與未知威脅，并進行統(tǒng)計分析，綜合展現(xiàn)APT攻擊信息、威脅類型、分布范圍、源頭、趨勢等信息，展現(xiàn)整體網(wǎng)絡(luò)安全態(tài)勢；
　　3、在網(wǎng)絡(luò)邊界、主機邊界布防，形成多層安全部署結(jié)構(gòu)，對已知威脅（已知惡意行為、已知惡意代碼）和可信對象進行過濾；
　　4、擁有高威脅感知，可自動甄別網(wǎng)絡(luò)訪問威脅行為；
　　主機安全加固：
　　1、滿足合規(guī)性要求《工業(yè)控制系統(tǒng)信息安全防護指南》第一項"安全軟件選擇和管理"的技術(shù)要求等）；
　　2、對操作系統(tǒng)中安裝的工控組態(tài)監(jiān)控軟件的應(yīng)用程序進行白名單注冊、登記和標識，對于修改文件內(nèi)容和應(yīng)用進程的行為進行實時攔截和審計；
　　3、對電廠操作員站和工程師站的上位機USB等外設(shè)接口使用技術(shù)手段進行有效的安全管理；
　　4、提供硬件的安全秘鑰對管理員的身份進行雙重審核，達到訪問控制的效果（雙因子認證）；
　　身份認證與操作審計：
　　1、滿足合規(guī)性要求（信息監(jiān)控系統(tǒng)等業(yè)務(wù)系統(tǒng)應(yīng)當逐步采用用戶數(shù)字證書，對用戶登錄應(yīng)用系統(tǒng)、訪問系統(tǒng)資源等操作進行身份認證、提供登錄失敗處理功能，根據(jù)身份與權(quán)限進行訪問控制，并且對操作行為進行安全審計）；
　　2、接入認證授權(quán)，支持對終端用戶的身份鑒別，確保只有合法的終端用戶才能使用終端計算機；
　　3、終端使用控制，避免不符合安全策略和安全規(guī)定的終端計算機進入內(nèi)部網(wǎng)絡(luò)；
　　4、終端數(shù)據(jù)安全，按照相應(yīng)的授權(quán)級別和終端安全管理策略完成對終端授權(quán)用戶的操作行為控制和文件加密管理；
　　5、終端安全審計，統(tǒng)一策略配置與下發(fā)、集中管理與審計；
　　綜合安全管理：
　　1、滿足合規(guī)性要求（對工控系統(tǒng)的安全策略以及計算環(huán)境、應(yīng)用區(qū)域邊界和通信網(wǎng)絡(luò)上的安全機制實現(xiàn)統(tǒng)一管理的平臺。在安全管理中心內(nèi)部又分為系統(tǒng)資源管理、安全控制和審計三部分。可信管理對關(guān)鍵資源信息度量策略和基準庫進行管理。在一級可信/安全管理中心實現(xiàn)了多級互聯(lián)）；
　　2、實現(xiàn)對工控網(wǎng)絡(luò)中的安全設(shè)備（主機防護系統(tǒng)、安全審計系統(tǒng)、工控防火墻等）實施集中管理、策略下發(fā)等功能；
　　3、實施監(jiān)控，通過流量探針可以獲取全網(wǎng)的流量態(tài)勢，分析業(yè)務(wù)主機的流量占用比率，系統(tǒng)自動建立動態(tài)基線，發(fā)現(xiàn)異常的主機流量；
　　4、對工控網(wǎng)絡(luò)中的安全事件日志、會話報文日志、系統(tǒng)事件日志等進行匯總、關(guān)聯(lián)分析并形成告警；
　　方案價值
　　1、以工控信息安全產(chǎn)品為方案核心的整體解決方案，適應(yīng)工控系統(tǒng)安全防護在穩(wěn)定性與機密性的共同需求。
　　2、方案中所有信息安全產(chǎn)品為天地和興自主研發(fā)，自主可控，安全產(chǎn)品聯(lián)動安全性更高，可提供定制化的功能開發(fā)，產(chǎn)品不斷迭代升級。
　　3、在提供windows工控機進行白名單機制防病毒功能外，可提供周期性人工加固和Linux服務(wù)器安全加固產(chǎn)品技術(shù)方案。
　　4、與同行業(yè)競品分析，增加工控威脅檢測系統(tǒng)對未知威脅和APT攻擊進行有效應(yīng)對，滿足等保三級網(wǎng)絡(luò)與通信安全新增8.1.2.5入侵防范)應(yīng)采取技術(shù)措施對網(wǎng)絡(luò)行為進行分析，實現(xiàn)對網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測與分析。
　　5、統(tǒng)一品牌，工控安全管控平臺可對所有安全產(chǎn)品進行集中管控和分析，滿足等保三級網(wǎng)絡(luò)與通信安全新增8.1.2.8集中管控的要求。
　　結(jié)語
　　工控行業(yè)的網(wǎng)絡(luò)架構(gòu)以及業(yè)務(wù)形態(tài)在不斷發(fā)展的同時，工業(yè)企業(yè)自身應(yīng)該持續(xù)提升新興威脅的對抗能力。傳統(tǒng)的基于滿足合規(guī)性的防護體系，在對于勒索軟件等新興威脅在發(fā)現(xiàn)、檢測、處理上已經(jīng)呈現(xiàn)出力不從心的狀態(tài)。而通過對網(wǎng)絡(luò)邊界、安全體系以及安全管理等多方面進行有計劃、周期性的風險評估，可有效提升企業(yè)對抗新興威脅的能力。對如何開展有效的風險評估以及安全體系的建設(shè)，請關(guān)注天地和興后續(xù)分享。