某电子制造企业的安全解决方案查看源代码讨论查看历史

来自 搜狐网 的图片

某电子制造企业的安全解决方案某电子制造企业的制造基地既有自己的工厂又有众多的外协工厂，且外协工厂分布式在全世界多个国家。目前该企业通过自建私有云方式实现“云上办公”和“生产管理系统上云”，企业各园区之间采用企业专网进行通信，生产基地和外协厂基本上通过租借的专网进行通信，部分供应商采用 TLS VPN 进行通信，厂区内部还根据不同的应用场景采用不同的通信方式，除了有线通信之外，还有WiFi 和 eLTE 等无线通信方式，工厂和外协工厂之间通过该企业的私有云平台实现生产协同。

由于企业的制造智能化和管理 IT 化的水平比较高，其制造业务的面临安全挑战非常大。因此制造业务部门在基于公司通用的 IT^[1] 安全部署和安全管理之上，提出制造基地独立的安全防护体系和安全管理机制。采取管理约束和技术保证双管齐下的策略，根据生产实际述求，基于先改造 IT 后增强 OT 的安全实施理念，提出了被动的静态防御和主动防御相结合的安全部署方式，通过严格的安全隔离和访问控制机制等传统的静态防御手段，为生产基地构建独立的网络安全防护围墙；在此基础上，引入主动防御的安全工具，通过先进的安全防御工具，来弥补攻防的不对称问题，提高防攻击的反应能力和预警能力。生产基地在此基础上，还结合主机安全加固、反病毒机制和定期的安全测试检查等措施，有效地应对了多次安全攻击事件，例如在勒索病毒和 ARP 攻击等针对基地的攻击事件中，能够做到及时预警和快速反应。

典型安全问题

该企业在设计生产园区的安全防护体系时，充分考虑到以下安全问题：

1) 不同业务平面需要进行网络辑隔离，防止网络安全事件发生时，存在风险快速横向扩展导致大面积业务瘫痪风险。

2) 由于历史原因，车间的工控系统自身防护能力非常弱，包括工控协议本身没有考虑安全设计，计算机 OS 老旧，软件升级和补丁更新缓慢，且很多设备并不适合安装杀毒软件。

3) 生产管理应用系统需要向外协工厂和厂内办公网络开放，存在黑客从外网直接攻击生产管理系统的风险，也存在办公区设备被病毒感染，而蔓延到生产管理系统的风险。

4) 生产网络的边界管理需要强健，避免像有些企业那样，只采用简单的 ACL隔离，车间生产设备采用分配固定 IP 地址，且用户可以无限制次数地直接访问这些生产设备等等。

5) 面对高级持续威胁和 WannaCry 等这种新型病毒，传统单点和静态防护常常束手无策，等到攻击事件爆发时才制定相应安全措施。

3.安全解决方案

针对上述安全问题，制造基地采取了如下的安全部署策略：

1) 多层次的安全隔离措施

在企业的大专网中，划分一个生产专网，将办公网络和生产网络区分开，在生产网络中再进一步划分若干个子网；生产区根据设备和业务特点，划分不同安全区域，每个区域对应一个网络子网。通过严格的安全隔离措施，来弥补工控系统自身防护能力弱的问题。

2) 严格的网络访问控制

每个子网分配私有 IP 地址段，子网之间通信需要通过网关进行访问控制；设备接入生产大专网时，采用设备和用户双因子^[2]鉴权机制，设备需要先通过云的合规性和杀毒检测，各生产子网的访问权限由云平台统一管理，实现全局访问监控。

3) 部署智能的主动防御系统

通过安全态势系统、安全策略智能管理和网络诱捕系统，“三位一体”构建主动防御体系，提高了对未知的威胁感知能力和安全响应能力。

参考文献