行業(yè)概述
　　高端制造業(yè)是指制造業(yè)不斷吸收電子信息、計(jì)算機(jī)、機(jī)械、材料以及現(xiàn)代管理技術(shù)等方面的高新技術(shù)成果，并將這些先進(jìn)制造技術(shù)綜合應(yīng)用于工業(yè)產(chǎn)品的研發(fā)設(shè)計(jì)、生產(chǎn)制造、在線檢測(cè)、營(yíng)銷(xiāo)服務(wù)和管理的全過(guò)程，實(shí)現(xiàn)優(yōu)質(zhì)、高效、低耗、清潔、靈活生產(chǎn)，即實(shí)現(xiàn)信息化、自動(dòng)化、智能化生產(chǎn)，取得很好經(jīng)濟(jì)收益和市場(chǎng)效果的制造業(yè)。

　　半導(dǎo)體行業(yè)特點(diǎn)
　　半導(dǎo)體集成電路以其極高的產(chǎn)品附加值成為高端制造行業(yè)的典型代表。集成電路制造的過(guò)程就是硅的附加值快速增長(zhǎng)的過(guò)程，集成電路的制造是一個(gè)復(fù)雜且耗時(shí)的精細(xì)流水線生產(chǎn)過(guò)程。首先要利用設(shè)計(jì)自動(dòng)化軟件進(jìn)行電路設(shè)計(jì)，然后將集成電路設(shè)計(jì)的版圖轉(zhuǎn)印到石英玻璃上的鉻膜層形成光刻板或倍縮光刻板；另一方面，由石英砂提煉出的初級(jí)硅經(jīng)過(guò)純化后拉成單晶硅棒，然后切片做成晶圓。晶圓經(jīng)過(guò)邊緣化和表面處理，再與光刻板/倍縮光刻板一起送到半導(dǎo)體制造廠制造集成電路芯片。整條工藝流程對(duì)生產(chǎn)設(shè)備可靠性要求極高。例如，一個(gè)典型的 12 寸原始硅片，價(jià)格約 120 美元，經(jīng)過(guò)約 500~800 個(gè)工藝步驟，加工 40~60 天后，其價(jià)值能提高到約 3000 美元；假定一個(gè)芯片制造廠的月產(chǎn)能40000 片~100000 片，其月產(chǎn)出可以達(dá)到 1.2 億~3 億美元，甚至更高。因此，一個(gè)穩(wěn)定運(yùn)行的芯片制造廠可以說(shuō)稱(chēng)之為"印鈔機(jī)"也不為過(guò)。反之，如果芯片生產(chǎn)線出現(xiàn)任何問(wèn)題，如停電、網(wǎng)絡(luò)中斷、感染病毒、工藝流程等，即使幾個(gè)小時(shí)的停產(chǎn)，也會(huì)給企業(yè)自身及其上下游企業(yè)帶來(lái)巨大的損失。
　　安全風(fēng)險(xiǎn)點(diǎn)
　　這次的臺(tái)積電三大生產(chǎn)基地停擺事件，目前臺(tái)積電方面已表示預(yù)估這起事件沖擊第三季營(yíng)收約百分之三，并且公布了病毒感染的原因：新機(jī)臺(tái)在安裝軟件的過(guò)程中操作失誤，因此病毒在新機(jī)臺(tái)連接到公司內(nèi)部網(wǎng)絡(luò)的時(shí)候發(fā)生了病毒擴(kuò)散的情況。
　　在當(dāng)前工業(yè)互聯(lián)網(wǎng)的大形勢(shì)下，高端制造業(yè)的生產(chǎn)控制網(wǎng)絡(luò)不再像人們傳統(tǒng)觀念中與互聯(lián)網(wǎng)完全隔離，隨著更多更先進(jìn)的生產(chǎn)管理系統(tǒng)的上線，越來(lái)越多的無(wú)線終端的接入，并且在工業(yè)4.0的大形勢(shì)下更多的生產(chǎn)數(shù)據(jù)需要被采集到管理辦公網(wǎng)絡(luò)，企業(yè)的生產(chǎn)控制網(wǎng)暴露的風(fēng)險(xiǎn)點(diǎn)越來(lái)越多：
　　1、目前絕大多數(shù)的CNC設(shè)備依賴(lài)國(guó)外品牌，第三方運(yùn)維人員（尤其是國(guó)外的技術(shù)人員）在進(jìn)行現(xiàn)場(chǎng)或遠(yuǎn)程運(yùn)維時(shí)可能會(huì)泄露重要生產(chǎn)數(shù)據(jù)或NC文件。
　　2、生產(chǎn)管理網(wǎng)的DNC服務(wù)器在從生產(chǎn)控制網(wǎng)中采集生產(chǎn)數(shù)據(jù)時(shí)，使得生產(chǎn)控制網(wǎng)存在被惡意攻擊、感染病毒的風(fēng)險(xiǎn)。
　　3、未對(duì)工業(yè)控制網(wǎng)絡(luò)區(qū)域間進(jìn)行隔離、惡意代碼監(jiān)測(cè)、異常監(jiān)測(cè)、 訪問(wèn)控制等一系列的防護(hù)措施，很容易一點(diǎn)發(fā)生病毒或攻擊，影響全部車(chē)間甚至全公司。
　　4、未統(tǒng)一對(duì)設(shè)備及日志進(jìn)行統(tǒng)一管理，使得相關(guān)工控系統(tǒng)事件不能統(tǒng)一收集、分析，不易關(guān)聯(lián)分析設(shè)備間的事件和日志，難于及時(shí)發(fā)現(xiàn)復(fù) 雜的問(wèn)題。
　　5、在進(jìn)行日常運(yùn)維及流程工業(yè)調(diào)整時(shí)多使用移動(dòng)介質(zhì)將NC文件導(dǎo)入高精尖數(shù)控設(shè)備或接入網(wǎng)絡(luò)，會(huì)導(dǎo)致機(jī)臺(tái)感染病毒或惡意代碼并且擴(kuò)散.
　　6、未對(duì)操作站主機(jī)及服務(wù)器進(jìn)行合規(guī)的安全配置，使得暴露的終端被攻擊成功的可能性很高。
　　7、逐漸增加的無(wú)線接入點(diǎn)缺少認(rèn)證控制措施。
　　8、管理制度上的缺失及難于管理，缺乏相應(yīng)的安全責(zé)任人，供應(yīng)商、運(yùn)維服務(wù)商管理不嚴(yán)格，缺乏安全意識(shí)等。
　　解決方案
　　在《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》及一系列等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)的指導(dǎo)下，面對(duì)高端制造行業(yè)的嚴(yán)峻安全現(xiàn)狀，天地和興推出高端制造業(yè)的工控信息安全整體解決方案，幫助制造業(yè)企業(yè)提升自身的安全防護(hù)能力、建立安全可控的監(jiān)管手段、完善可視可量化的安全評(píng)估考核體系，保障生產(chǎn)業(yè)務(wù)環(huán)境安全可靠，持續(xù)提升工控安全監(jiān)管能力。
　　方案架構(gòu)：
　　通過(guò)工業(yè)防火墻、主機(jī)防護(hù)系統(tǒng)、入侵檢測(cè)、工控威脅檢測(cè)、工控安全審計(jì)、賬號(hào)管理及運(yùn)維審計(jì)系統(tǒng)、工控安全監(jiān)管與分析平臺(tái)、工控安全檢查工具箱等工控安全專(zhuān)用產(chǎn)品，實(shí)現(xiàn)生產(chǎn)控制網(wǎng)的安全隔離、邊界防護(hù)、訪問(wèn)控制、入侵防范、APT攻擊防范、安全審計(jì)、集中管控、主機(jī)安全等，架構(gòu)圖如下：

　　邊界防護(hù)：
　　1、滿(mǎn)足合規(guī)性要求《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第三項(xiàng)"邊界安全防護(hù)"的技術(shù)要求等"；
　　2、采用專(zhuān)門(mén)針對(duì)工控系統(tǒng)的專(zhuān)業(yè)數(shù)據(jù)隔離防護(hù)產(chǎn)品來(lái)進(jìn)行邊界防護(hù)，能夠深度解析工業(yè)通信協(xié)議，并且對(duì)于利用工控協(xié)議漏洞、工控系統(tǒng)漏洞進(jìn)行滲透攻擊的行為進(jìn)行實(shí)時(shí)攔截和告警；
　　3、對(duì)于未授權(quán)的接入與訪問(wèn)能夠在域間鏈路上進(jìn)行杜絕；
　　4、能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查和阻斷；
　　入侵檢測(cè)：
　　1、滿(mǎn)足合規(guī)性要求（生產(chǎn)控制系統(tǒng)可以統(tǒng)一部署一套網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，應(yīng)當(dāng)合理設(shè)置檢測(cè)規(guī)則，檢測(cè)發(fā)現(xiàn)隱藏于網(wǎng)絡(luò)邊界正常信息中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)）；
　　2、實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的病毒、蠕蟲(chóng)、木馬以及各類(lèi)威脅引起的攻擊、掃描、傳輸?shù)仁录?，并告警提示?br>　　3、通過(guò)溯源其攻擊源、攻擊目標(biāo)、攻擊路徑，對(duì)網(wǎng)內(nèi)受影響的風(fēng)險(xiǎn)節(jié)點(diǎn)進(jìn)行精確定位，鎖定IP和MAC地址，協(xié)助用戶(hù)對(duì)事件進(jìn)行快速處理；
　　4、從事件時(shí)間、事件類(lèi)型、事件風(fēng)險(xiǎn)、事件危害等多個(gè)維度對(duì)監(jiān)測(cè)到的安全事件進(jìn)行統(tǒng)計(jì)分析；
　　安全審計(jì)：
　　1、滿(mǎn)足合規(guī)性要求（生產(chǎn)控制網(wǎng)的監(jiān)控系統(tǒng)應(yīng)當(dāng)具備安全審計(jì)功能，能夠?qū)Σ僮飨到y(tǒng)、數(shù)據(jù)庫(kù)、業(yè)務(wù)應(yīng)用的重要操作進(jìn)行記錄、分析）；
　　2、實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的流量信息、人員操作信息、工控協(xié)議信息等進(jìn)行分析，并告警提示；
　　3、實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)中的誤操作、違規(guī)行為、非法設(shè)備接入等異常行為，并告警提示；
　　4、提供全程的行為審計(jì)和事件還原能力，為電廠安全管理人員提供高效的安全事件追溯功能；
　　APT攻擊及惡意代碼防范：
　　1、滿(mǎn)足合規(guī)性要求（應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除、應(yīng)維護(hù)惡意代碼庫(kù)的升級(jí)和檢測(cè)系統(tǒng)的更新）；
　　2、對(duì)網(wǎng)絡(luò)整體進(jìn)行安全檢測(cè)與監(jiān)控，發(fā)現(xiàn)各類(lèi)已知與未知威脅，并進(jìn)行統(tǒng)計(jì)分析，綜合展現(xiàn)APT攻擊信息、威脅類(lèi)型、分布范圍、源頭、趨勢(shì)等信息，展現(xiàn)整體網(wǎng)絡(luò)安全態(tài)勢(shì)；
　　3、在網(wǎng)絡(luò)邊界、主機(jī)邊界布防，形成多層安全部署結(jié)構(gòu)，對(duì)已知威脅（已知惡意行為、已知惡意代碼）和可信對(duì)象進(jìn)行過(guò)濾；
　　4、擁有高威脅感知，可自動(dòng)甄別網(wǎng)絡(luò)訪問(wèn)威脅行為；
　　主機(jī)安全加固：
　　1、滿(mǎn)足合規(guī)性要求《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》第一項(xiàng)"安全軟件選擇和管理"的技術(shù)要求等）；
　　2、對(duì)操作系統(tǒng)中安裝的工控組態(tài)監(jiān)控軟件的應(yīng)用程序進(jìn)行白名單注冊(cè)、登記和標(biāo)識(shí)，對(duì)于修改文件內(nèi)容和應(yīng)用進(jìn)程的行為進(jìn)行實(shí)時(shí)攔截和審計(jì)；
　　3、對(duì)電廠操作員站和工程師站的上位機(jī)USB等外設(shè)接口使用技術(shù)手段進(jìn)行有效的安全管理；
　　4、提供硬件的安全秘鑰對(duì)管理員的身份進(jìn)行雙重審核，達(dá)到訪問(wèn)控制的效果（雙因子認(rèn)證）；
　　身份認(rèn)證與操作審計(jì)：
　　1、滿(mǎn)足合規(guī)性要求（信息監(jiān)控系統(tǒng)等業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)逐步采用用戶(hù)數(shù)字證書(shū)，對(duì)用戶(hù)登錄應(yīng)用系統(tǒng)、訪問(wèn)系統(tǒng)資源等操作進(jìn)行身份認(rèn)證、提供登錄失敗處理功能，根據(jù)身份與權(quán)限進(jìn)行訪問(wèn)控制，并且對(duì)操作行為進(jìn)行安全審計(jì)）；
　　2、接入認(rèn)證授權(quán)，支持對(duì)終端用戶(hù)的身份鑒別，確保只有合法的終端用戶(hù)才能使用終端計(jì)算機(jī)；
　　3、終端使用控制，避免不符合安全策略和安全規(guī)定的終端計(jì)算機(jī)進(jìn)入內(nèi)部網(wǎng)絡(luò)；
　　4、終端數(shù)據(jù)安全，按照相應(yīng)的授權(quán)級(jí)別和終端安全管理策略完成對(duì)終端授權(quán)用戶(hù)的操作行為控制和文件加密管理；
　　5、終端安全審計(jì)，統(tǒng)一策略配置與下發(fā)、集中管理與審計(jì)；
　　綜合安全管理：
　　1、滿(mǎn)足合規(guī)性要求（對(duì)工控系統(tǒng)的安全策略以及計(jì)算環(huán)境、應(yīng)用區(qū)域邊界和通信網(wǎng)絡(luò)上的安全機(jī)制實(shí)現(xiàn)統(tǒng)一管理的平臺(tái)。在安全管理中心內(nèi)部又分為系統(tǒng)資源管理、安全控制和審計(jì)三部分?？尚殴芾韺?duì)關(guān)鍵資源信息度量策略和基準(zhǔn)庫(kù)進(jìn)行管理。在一級(jí)可信/安全管理中心實(shí)現(xiàn)了多級(jí)互聯(lián)）；
　　2、實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)中的安全設(shè)備（主機(jī)防護(hù)系統(tǒng)、安全審計(jì)系統(tǒng)、工控防火墻等）實(shí)施集中管理、策略下發(fā)等功能；
　　3、實(shí)施監(jiān)控，通過(guò)流量探針可以獲取全網(wǎng)的流量態(tài)勢(shì)，分析業(yè)務(wù)主機(jī)的流量占用比率，系統(tǒng)自動(dòng)建立動(dòng)態(tài)基線，發(fā)現(xiàn)異常的主機(jī)流量；
　　4、對(duì)工控網(wǎng)絡(luò)中的安全事件日志、會(huì)話報(bào)文日志、系統(tǒng)事件日志等進(jìn)行匯總、關(guān)聯(lián)分析并形成告警；
　　方案價(jià)值
　　1、以工控信息安全產(chǎn)品為方案核心的整體解決方案，適應(yīng)工控系統(tǒng)安全防護(hù)在穩(wěn)定性與機(jī)密性的共同需求。
　　2、方案中所有信息安全產(chǎn)品為天地和興自主研發(fā)，自主可控，安全產(chǎn)品聯(lián)動(dòng)安全性更高，可提供定制化的功能開(kāi)發(fā)，產(chǎn)品不斷迭代升級(jí)。
　　3、在提供windows工控機(jī)進(jìn)行白名單機(jī)制防病毒功能外，可提供周期性人工加固和Linux服務(wù)器安全加固產(chǎn)品技術(shù)方案。
　　4、與同行業(yè)競(jìng)品分析，增加工控威脅檢測(cè)系統(tǒng)對(duì)未知威脅和APT攻擊進(jìn)行有效應(yīng)對(duì)，滿(mǎn)足等保三級(jí)網(wǎng)絡(luò)與通信安全新增8.1.2.5入侵防范)應(yīng)采取技術(shù)措施對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)與分析。
　　5、統(tǒng)一品牌，工控安全管控平臺(tái)可對(duì)所有安全產(chǎn)品進(jìn)行集中管控和分析，滿(mǎn)足等保三級(jí)網(wǎng)絡(luò)與通信安全新增8.1.2.8集中管控的要求。
　　結(jié)語(yǔ)
　　工控行業(yè)的網(wǎng)絡(luò)架構(gòu)以及業(yè)務(wù)形態(tài)在不斷發(fā)展的同時(shí)，工業(yè)企業(yè)自身應(yīng)該持續(xù)提升新興威脅的對(duì)抗能力。傳統(tǒng)的基于滿(mǎn)足合規(guī)性的防護(hù)體系，在對(duì)于勒索軟件等新興威脅在發(fā)現(xiàn)、檢測(cè)、處理上已經(jīng)呈現(xiàn)出力不從心的狀態(tài)。而通過(guò)對(duì)網(wǎng)絡(luò)邊界、安全體系以及安全管理等多方面進(jìn)行有計(jì)劃、周期性的風(fēng)險(xiǎn)評(píng)估，可有效提升企業(yè)對(duì)抗新興威脅的能力。對(duì)如何開(kāi)展有效的風(fēng)險(xiǎn)評(píng)估以及安全體系的建設(shè)，請(qǐng)關(guān)注天地和興后續(xù)分享。