2024汽車制造行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案

汽車制造行業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)解決方案0302汽車制造行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀汽車制造行業(yè)網(wǎng)絡(luò)安全政策標(biāo)準(zhǔn)CONTENTS0302汽車制造行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀汽車制造行業(yè)網(wǎng)絡(luò)安全政策標(biāo)準(zhǔn)01汽車制造工藝流程介紹01汽車制造工藝流程介紹目錄04汽車制造行業(yè)網(wǎng)絡(luò)安全解決方案05汽車制造行業(yè)典型案例分析04汽車制造行業(yè)網(wǎng)絡(luò)安全解決方案05汽車制造行業(yè)典型案例分析01汽車制造工藝流程介紹01沖壓 焊裝 涂裝 總裝PAGE4PAGE4造工藝流程沖壓車間 焊裝車間 涂裝車間 總裝車間沖壓是汽車制造過(guò)程中的龍頭工藝。承擔(dān)原材料卷料、板料的存放；卷料的開(kāi)卷剪切；板料的剪切；各車型大、中、小型沖壓件的沖壓生產(chǎn)；沖壓

汽車焊裝主線是把側(cè)圍分總成線、底板分總成線、由小件焊接而成的車體鈑金合件及頂蓋，通過(guò)傳輸裝置、夾具、合裝臺(tái)等設(shè)備定位后,焊接合裝，完成白車身組焊的總成線,是車身焊裝生產(chǎn)線的核心部分。

汽車涂裝工藝，一般可分為兩大部分：一是涂裝前金屬的表面處理，也叫前處理技術(shù)；二是涂裝的施工。前處理主要包括清除工件表面的油污、塵土、銹蝕、以及進(jìn)行修補(bǔ)作業(yè)時(shí)舊涂料層的清除等，以改善工件的表面狀態(tài)；涂裝則是根據(jù)車型顏色進(jìn)行噴漆。

汽車總裝是汽車產(chǎn)品制造過(guò)程中最重要工藝環(huán)節(jié)之一，是把經(jīng)檢驗(yàn)合格的數(shù)以千計(jì)的各種零部件按著一定的技術(shù)要求組裝成整車的工藝過(guò)程，主要包括內(nèi)飾生產(chǎn)線、底盤(pán)線、靜檢線、動(dòng)檢線等。汽車制造工藝流程介紹-總裝車間02汽車制造行業(yè)網(wǎng)絡(luò)安全政策標(biāo)準(zhǔn)0277國(guó)家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)工業(yè)控制系統(tǒng)信息安全防護(hù)指南法律法規(guī)2017年6月《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行

建設(shè)標(biāo)準(zhǔn)2019年12月1日GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》正式執(zhí)行

指導(dǎo)文件2016年10月工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》指導(dǎo)工業(yè)企業(yè)開(kāi)展工控安全防護(hù)工作

的指導(dǎo)意見(jiàn)行業(yè)要求2019年8月工信部聯(lián)網(wǎng)安〔2019〕168號(hào)《十部門關(guān)于印發(fā)加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)的通知》加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見(jiàn)1、依法落實(shí)企業(yè)主體責(zé)任。工業(yè)互聯(lián)網(wǎng)企業(yè)明確工業(yè)互聯(lián)網(wǎng)安后的風(fēng)險(xiǎn)評(píng)估、安全審計(jì)等制度；風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)保護(hù)、信息共享和通報(bào)、應(yīng)急處置等方面建立健全安全管理制度和工作機(jī)制，強(qiáng)化對(duì)企業(yè)的安全監(jiān)管；部署針對(duì)性防護(hù)措施，加網(wǎng)絡(luò)協(xié)議、裝置裝備、工業(yè)軟件等安全保障；816.支持工業(yè)互聯(lián)網(wǎng)安全科技創(chuàng)新。加大對(duì)工業(yè)互聯(lián)網(wǎng)安全技術(shù)研發(fā)和成果轉(zhuǎn)化的支持力度，……，加強(qiáng)攻擊防護(hù)、漏洞挖掘、大數(shù)據(jù)、區(qū)塊鏈等新技術(shù)提升安全防護(hù)水平。803汽車制造行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀03針對(duì)汽車廠商的APT攻擊集中出現(xiàn)針對(duì)汽車廠商的APT攻擊集中出現(xiàn)PAGE10PAGE10 2012-2019年全球工控安全事件報(bào)告數(shù)量 2019年工控安全事件所屬行業(yè)細(xì)分工業(yè)控制網(wǎng)絡(luò)安全事件在近幾年呈現(xiàn)穩(wěn)步增長(zhǎng)的趨勢(shì)，2019年被ICS-CERT收錄的攻擊事件達(dá)到329件 2019年3月

2019年3月

2019年4月 2019年9月日本東京豐田汽車公司IT系統(tǒng)遭“海蓮花”入侵，泄漏了多達(dá)310萬(wàn)名客戶的銷售信息。

瑞士重型汽車制造企業(yè)AebiSschmidt因遭勒索軟件攻擊中斷了運(yùn)營(yíng)，該公司整個(gè)國(guó)際網(wǎng)絡(luò)的系統(tǒng)都崩潰了,其中受到破壞最嚴(yán)重的是瑞士總部。

2019年春“海蓮花”開(kāi)始針對(duì)慕尼黑寶馬汽車公司APT攻擊，6月份時(shí)，該公司將有關(guān)計(jì)算機(jī)進(jìn)行了脫網(wǎng)。

德國(guó)汽車零部件制造商境外工廠遭惡意軟件攻擊，恢復(fù)需要花費(fèi)兩到四周的時(shí)間，每周損失300-400萬(wàn)歐元。德國(guó)國(guó)防承包商（萊茵金屬）遭惡意軟件攻擊德國(guó)國(guó)防承包商（萊茵金屬）遭惡意軟件攻擊PAGE11PAGE112019年9月25日，Rheinmetall宣布受到惡意軟件攻擊，攻擊于9月24日晚上開(kāi)始，攻擊涉及一個(gè)未知的惡意軟件。該公司表示，該事件導(dǎo)致該惡意軟件進(jìn)入IT系統(tǒng)的工廠受到“重大破壞”。影響范圍：汽車系統(tǒng)；造成的損失：從攻擊中恢復(fù)需要花費(fèi)兩到四周的時(shí)間）至400萬(wàn)歐元（440萬(wàn)美元）存在存在PAGE12PAGE12嚴(yán) 病毒問(wèn)題突出 嚴(yán)重殺毒軟件病毒庫(kù)嚴(yán)重過(guò)期；大部分工控系統(tǒng)帶毒運(yùn)行；題病毒進(jìn)行隔離。軟 軟件濫用 軟件安裝有多種無(wú)線網(wǎng)卡驅(qū)動(dòng)；、向日葵等遠(yuǎn)程管控問(wèn)軟件，結(jié)合無(wú)線網(wǎng)卡，引入巨大題安全風(fēng)險(xiǎn)；存在存在PAGEPAGE14的安安端設(shè)備；生產(chǎn)網(wǎng)辦公網(wǎng)共用網(wǎng)絡(luò)設(shè)備和終外設(shè)使用無(wú)管控，存在U盤(pán)濫用、題手機(jī)隨意接入問(wèn)題；其04汽車制造行業(yè)網(wǎng)絡(luò)安全解決方案04總體方案設(shè)計(jì)

技術(shù)解決思路

等保方案建設(shè)PAGE16PAGE16險(xiǎn)評(píng)尋風(fēng)險(xiǎn)評(píng)估分析是對(duì)汽車制造企業(yè)生產(chǎn)網(wǎng)絡(luò)內(nèi)各資產(chǎn)進(jìn)癥面臨的生產(chǎn)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。癥結(jié)點(diǎn)結(jié)點(diǎn)工控系統(tǒng)資產(chǎn)梳理，分析價(jià)值；識(shí)別已有的安全防護(hù)措施；資產(chǎn)脆弱性及面臨的威脅分析；安全風(fēng)險(xiǎn)綜合分析。PAGE17PAGE17基于“白環(huán)境”的“縱深防御安全防護(hù)技術(shù)體系”網(wǎng)絡(luò)分區(qū)分域強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力提高系統(tǒng)內(nèi)主機(jī)病毒防范能力提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制一鍵式安全加固，提高主機(jī)安全基線關(guān)閉不必要的服務(wù)端口，提高入侵防范能力利用訪問(wèn)控制策略，保證業(yè)務(wù)配置文件不被篡改提高日志審計(jì)能力，審計(jì)日志至少保存6個(gè)月加強(qiáng)運(yùn)維人員行為管理建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力技術(shù)手段輔助業(yè)主完成定期自檢汽車制造行業(yè)典型網(wǎng)絡(luò)架構(gòu)DMZ

防御理念，構(gòu)建安全防御體系。181.汽車制造網(wǎng)絡(luò)分區(qū)分域1.汽車制造網(wǎng)絡(luò)分區(qū)分域19191.汽車制造網(wǎng)絡(luò)分區(qū)分域1.汽車制造網(wǎng)絡(luò)分區(qū)分域20生產(chǎn)網(wǎng)安全域20生產(chǎn)網(wǎng)安全域1.汽車制造網(wǎng)絡(luò)分區(qū)分域1.汽車制造網(wǎng)絡(luò)分區(qū)分域21全域MES安全域21全域MES安全域1.汽車制造網(wǎng)絡(luò)分區(qū)分域1.汽車制造網(wǎng)絡(luò)分區(qū)分域22全域MES安全域22全域MES安全域DMZ安全域1.汽車制造網(wǎng)絡(luò)分區(qū)分域1.汽車制造網(wǎng)絡(luò)分區(qū)分域23生產(chǎn)線安全域5生產(chǎn)線安全域423生產(chǎn)線安全域5生產(chǎn)線安全域4生產(chǎn)線安全域3生產(chǎn)線安全域1生產(chǎn)線安全域2全域MES安全域DMZ安全域2.強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力2.強(qiáng)化安全區(qū)域邊界訪問(wèn)控制能力DMZACL+應(yīng)用級(jí)白名單工控協(xié)議合規(guī)性驗(yàn)證協(xié)議功能碼、點(diǎn)值控制控制邏輯合理性驗(yàn)證ACL+應(yīng)用級(jí)白名單工控協(xié)議合規(guī)性驗(yàn)證協(xié)議功能碼、點(diǎn)值控制控制邏輯合理性驗(yàn)證全面的web防護(hù)強(qiáng)大的應(yīng)用識(shí)別能力24工業(yè)防火墻 工業(yè)互聯(lián)防火墻243.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力DMZ

邊界基于白名單應(yīng)用級(jí)的訪問(wèn)控制關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)基于流量的未知威脅監(jiān)測(cè)生產(chǎn)核心網(wǎng)絡(luò)對(duì)APT攻擊的實(shí)時(shí)檢測(cè)25網(wǎng)絡(luò)威脅感知系統(tǒng)25工控監(jiān)測(cè)與審計(jì)系統(tǒng)

入侵檢測(cè)系統(tǒng)4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測(cè)能力DMZ關(guān)閉不必要端口關(guān)閉不必要端口交換機(jī)IP/MAC綁定開(kāi)啟非法外聯(lián)檢測(cè)專用準(zhǔn)入設(shè)備，開(kāi)啟準(zhǔn)入認(rèn)證26工控主機(jī)衛(wèi)士 網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)265.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力5.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力切斷惡意代碼/病毒通過(guò)U盤(pán)擺渡到生產(chǎn)系統(tǒng)內(nèi)部的途徑文件級(jí)白名單，防止惡意代碼/病毒/非法軟件執(zhí)行以及時(shí)更新、打補(bǔ)丁件存在短板殺毒軟件或?qū)I(yè)務(wù)軟件誤識(shí)為病毒而刪除27工控主機(jī)衛(wèi)士276.提高主機(jī)身份認(rèn)證能力,采用雙因子認(rèn)證6.提高主機(jī)身份認(rèn)證能力,采用雙因子認(rèn)證關(guān)鍵服務(wù)器采用雙因子認(rèn)證靜態(tài)密碼+UKEY28工控主機(jī)衛(wèi)士287.一鍵式安全加固，提高主機(jī)安全基線7.一鍵式安全加固，提高主機(jī)安全基線一鍵安全加固內(nèi)置42條安全基線規(guī)則一鍵式配置，降低手動(dòng)加固成本29工控主機(jī)衛(wèi)士298.關(guān)閉不必要的服務(wù)端口,提高入侵防范能力8.關(guān)閉不必要的服務(wù)端口,提高入侵防范能力內(nèi)置防火墻功能，關(guān)閉不必要端口工控主機(jī)衛(wèi)士309.利用訪問(wèn)控制策略,保證配置文件不被篡改9.利用訪問(wèn)控制策略,保證配置文件不被篡改3131基于標(biāo)記的強(qiáng)制訪問(wèn)控制自主訪問(wèn)控制工控主機(jī)衛(wèi)士10.提高日志審計(jì)能力,日志至少保存6個(gè)月10.提高日志審計(jì)能力,日志至少保存6個(gè)月泛化多種類設(shè)備（主機(jī)、網(wǎng)絡(luò)、安全）日志快速準(zhǔn)確的識(shí)別安全事件，發(fā)現(xiàn)違規(guī)行為32日志審計(jì)與分析系統(tǒng)3211.加強(qiáng)運(yùn)維人員行為管理11.加強(qiáng)運(yùn)維人員行為管理運(yùn)維人員身份鑒別運(yùn)維人員操作授權(quán)運(yùn)維人員行為審計(jì)33安全運(yùn)維管理系統(tǒng)3312.建立安全管理中心,強(qiáng)化集中管控能力12.建立安全管理中心,強(qiáng)化集中管控能力安全產(chǎn)品集中管理加密傳輸通道高度可視化雙機(jī)熱備，高度可靠34統(tǒng)一安全管理平臺(tái)3413.技術(shù)手段輔助業(yè)主完成定期自檢13.技術(shù)手段輔助業(yè)主完成定期自檢漏洞掃描報(bào)告輸出指導(dǎo)意見(jiàn)35工控漏洞掃描平臺(tái)35集團(tuán)工控安全態(tài)勢(shì)感知集團(tuán)工控安全態(tài)勢(shì)感知集團(tuán)態(tài)勢(shì)資產(chǎn)態(tài)勢(shì)處置態(tài)勢(shì)

廠區(qū)態(tài)勢(shì)威脅態(tài)勢(shì)合規(guī)態(tài)勢(shì)36生產(chǎn)安全集中監(jiān)測(cè)平臺(tái)36汽車制造行業(yè)網(wǎng)絡(luò)安全整體解決方案汽車制造行業(yè)網(wǎng)絡(luò)安全整體解決方案生產(chǎn)安全集中監(jiān)測(cè)平臺(tái)DMZ

工業(yè)防火墻工業(yè)互聯(lián)防火墻工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)入侵檢測(cè)系統(tǒng)工控主機(jī)衛(wèi)士工控漏洞掃描平臺(tái)安全運(yùn)維管理系統(tǒng)37網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)37管理要求制度安管理要求全 安全管理制度 安全管理機(jī)構(gòu) 安全管理人員 安全建設(shè)管理 安全運(yùn)維管理管 略理 度度制 布度要求

崗位設(shè)置人員配置授權(quán)和審批溝通和合作審核和檢查

人員錄用人員離崗安全意識(shí)和培訓(xùn)外部訪問(wèn)人員

定級(jí)和備案自行軟件開(kāi)發(fā)外包軟件開(kāi)發(fā)工程實(shí)施

環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備維護(hù)管理網(wǎng)絡(luò)和系統(tǒng)安全管理惡意代碼防范管理應(yīng)用滿足國(guó)家頂層設(shè)計(jì)要求。

系統(tǒng)交付等級(jí)測(cè)評(píng)服務(wù)商選擇

38安全事件處理應(yīng)急預(yù)案管理3805汽車制造行業(yè)典型案例分析05案例1.企業(yè)工控安全項(xiàng)目概述案例1.企業(yè)工控安全項(xiàng)目概述XXXX股份有限公司是一家集客車產(chǎn)品研發(fā)、制造與銷售為一體的大型現(xiàn)代化制造企業(yè)。擁有底盤(pán)車架電泳、車身電泳、機(jī)器人噴涂等國(guó)際先進(jìn)的客車電泳涂裝生產(chǎn)線，其中控制器436套，品牌：SIEMENS、Beckhoff、Bihl+Wiedemann、PILZ、三菱Q系列、大族彼岸等。S7-1200Bihl+WiedemannPILZBeckhoff100%S7-300S7-1200Bihl+WiedemannPILZBeckhoff100%S7-300西門子PLC系統(tǒng)100%三菱Q系列歐姆龍PLC西門子S7-200臺(tái)達(dá)99%三菱Q系列西門子S7-200CN松下100%40制件車間 涂裝車間 底盤(pán)車間 承裝車間40案例1.企業(yè)工控安全項(xiàng)目概述案例1.企業(yè)工控安全項(xiàng)目概述操作系統(tǒng)XXXX股份有限公司是一家集客車產(chǎn)品研發(fā)、制造與銷售為一體的大型現(xiàn)代化制造企業(yè)。擁有底盤(pán)車架電泳、車身電泳、機(jī)器人噴涂等國(guó)際先進(jìn)的客車電泳涂裝生產(chǎn)線，其中控制器436套，品牌：SIEMENS、Beckhoff、Bihl+Wiedemann、PILZ、三菱Q系列、大族彼岸等。操作系統(tǒng)控制設(shè)備41%45%14%5%2%15%

21%

43%WinXP Win732 Win7Win2000 Win2003

西門子 三菱 歐姆龍41臺(tái)達(dá) 松下 其他41案例1.項(xiàng)目目標(biāo)及范圍案例1.項(xiàng)目目標(biāo)及范圍PAGE42PAGE42目標(biāo)：聯(lián)合設(shè)備處對(duì)工控系統(tǒng)設(shè)備選型、建設(shè)、運(yùn)行各階段進(jìn)行安全風(fēng)險(xiǎn)管控，以達(dá)到：避免工控設(shè)備被攻擊或入侵辦公網(wǎng)絡(luò)；防止工控設(shè)備成為信息外泄的入口；符合國(guó)家相關(guān)安全標(biāo)準(zhǔn)?，F(xiàn)場(chǎng)調(diào)研及風(fēng)險(xiǎn)評(píng)估開(kāi)展XX智能制造企業(yè)工控系統(tǒng)進(jìn)行現(xiàn)場(chǎng)調(diào)研，并進(jìn)行全面安全評(píng)估，現(xiàn)場(chǎng)調(diào)研及風(fēng)險(xiǎn)評(píng)估開(kāi)展XX智能制造企業(yè)工控系統(tǒng)進(jìn)行現(xiàn)場(chǎng)調(diào)研，并進(jìn)行全面安全評(píng)估，改進(jìn)建議。安全攻防演練搭建XXXX企業(yè)的工控網(wǎng)絡(luò)模型，并將安全軟件及設(shè)備接入該網(wǎng)絡(luò)。根據(jù)風(fēng)險(xiǎn)評(píng)估中識(shí)別的風(fēng)險(xiǎn)進(jìn)行模擬威脅攻擊進(jìn)行攻防演示。方案整體設(shè)計(jì)根據(jù)前2項(xiàng)工作模塊的成防護(hù)方案的設(shè)計(jì)規(guī)劃。防護(hù)方案落地實(shí)施覆蓋XXXX廠區(qū)各車間工控系統(tǒng)，威努特技術(shù)服務(wù)團(tuán)隊(duì)根據(jù)安全防護(hù)方案進(jìn)行落地實(shí)施。案例1.項(xiàng)目實(shí)施范圍案例1.項(xiàng)目實(shí)施范圍PAGE43PAGE43一、工控安全軟件部署序號(hào)內(nèi)容說(shuō)明數(shù)量1聯(lián)網(wǎng)工控設(shè)備xx車間3xx車間3xx車間3xx車間11xx車間312非聯(lián)網(wǎng)工控設(shè)備全廠350二、防火墻安裝部署序號(hào)內(nèi)容說(shuō)明數(shù)量1各廠區(qū)工控網(wǎng)絡(luò)接入各車間4三、管理平臺(tái)安裝部署序號(hào)內(nèi)容說(shuō)明數(shù)量1部署安全管理平臺(tái)統(tǒng)一管理各廠區(qū)部署的工控安全設(shè)備1案例1.測(cè)試環(huán)節(jié)-POC測(cè)試案例1.測(cè)試環(huán)節(jié)-POC測(cè)試PAGEPAGE44測(cè)試目的：驗(yàn)證安全產(chǎn)品在用戶的實(shí)際工業(yè)環(huán)境中的功能滿足項(xiàng)、對(duì)工業(yè)控制系統(tǒng)的影響等。 在線測(cè)試 離線測(cè)試 案例1.POC測(cè)試-測(cè)試結(jié)論案例1.POC測(cè)試-測(cè)試結(jié)論4545案例1.攻防演練環(huán)節(jié)案例1.攻防演練環(huán)節(jié)PAGE46PAGE46目的：識(shí)別工控網(wǎng)絡(luò)中的潛在威脅，針對(duì)這些威脅，采取相應(yīng)的防護(hù)措施，從而保護(hù)工業(yè)現(xiàn)場(chǎng)，同時(shí)提高工作人員的安全意識(shí)。步驟：步驟：接入該網(wǎng)絡(luò)；些威脅；進(jìn)行攻防演示。案例1.項(xiàng)目方案案例1.項(xiàng)目方案PAGE47PAGE47部分網(wǎng)絡(luò)拓?fù)浜?jiǎn)圖

統(tǒng)一安全管理平臺(tái)工業(yè)防火墻工控主機(jī)衛(wèi)士案例2.某汽車制造廠-現(xiàn)場(chǎng)調(diào)研案例2.某汽車制造廠-現(xiàn)場(chǎng)調(diào)研PAGE48PAGE48 案例2.某汽車制造廠-應(yīng)急響應(yīng)案例2.某汽車制造廠-應(yīng)急響應(yīng)PAGE50PAGE50背景該工廠總裝車間工控機(jī)導(dǎo)致設(shè)備藍(lán)屏，產(chǎn)線停臺(tái)9背景該工廠總裝車間工控機(jī)導(dǎo)致設(shè)備藍(lán)屏，產(chǎn)線停臺(tái)9停臺(tái)時(shí)間累積80分鐘以上，涉及光標(biāo)機(jī)、檢車線等多條產(chǎn)線業(yè)務(wù)。基于保證正常生產(chǎn)任