汽车智能制造工业互联网安全解决方案| 观点与方案

佚名来自：工业安全产业联盟次 2023-07-21

汽车智能制造工业互联网安全解决方案

ChatGPT 颠覆了整个咨询行业！不会用的公司和咨询师必然淘汰！

马上体验学习ChatGPT及其它大模型：点击体验（需输入会员密码）

注册会员无需翻墙即可使用 ChatGPT特惠：

（1）包月使用：299 包年使用2999 | 微信：18121118831联系；
（2）送一个月以上的咨询报告库VIP会员，可以浏览下载上万篇咨询和行业报告

马上自助购买体验

1 方案背景与目标 1.1 方案背景我国经过四十多年的改革开放，已跃升为世界汽车产销第一大国，汽车产业成为国民经济重要的支柱产业。在“十四五”时期，加快数字化发展，打造数字经济新优势，正在成为我国经济增长的新引擎

1 方案背景与目标

1.1 方案背景

我国经过四十多年的改革开放，已跃升为世界汽车产销第一大国，汽车产业成为国民经济重要的支柱产业。在“十四五”时期，加快数字化发展，打造数字经济新优势，正在成为我国经济增长的新引擎，汽车产业作为国民经济重要的产业之一亟需实现数字化转型。当下，国内汽车产业的数字化探索已经进入了攻坚期、深水区，伴随着数字化的加速变革，我国汽车产业也将面临前所未有的全价值链重构。因此车企的数字化转型成功与否，不仅关乎企业自身的生存与发展，也决定着未来整个产业能否实现高质量发展。智能制造是贯彻落实《中国制造2025》的战略部署，是两化深度融合的主攻方向，也是增强我国制造业发展优势的关键所在；大力发展智能制造是加快制造强国建设步伐、加速推动汽车产业由规模速度型向质量效益型转变、实现数字化转型的重要途径。为了深入实施工业互联网+创新发展战略，推动工业化和信息化在更广范围、更深程度、更高水平上融合发展，工业和信息化部印发了《工业互联网+创新发展行动计划（2021-2023年）》。《计划》明确了开展11项重点任务，其中第10项“安全保障强化行动”中指出“促进网络安全产业发展壮大”：围绕智能制造、车联网等细分赛道孵化一批“高精尖”特色安全企业，带动安全产业链供应链提升；并遴选安全智能工厂、网络安全创新应用先进示范区，提炼推广最佳实践。

1.2 方案目标

根据相关法规、政策要求，结合汽车制造实际应用场景安全需求，构建汽车智能制造工业安全综合防御体系，全面提升提车行业智能制造安全能力。

2 方案详细介绍

国家法律法规、政策、标准的指引下，依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）的要求，从组织管理、安全技术两大维度进行体系化建设，构建汽车智能制造安全综合防御体系，通过常态化运营，形成分析预测、威胁防护、持续监测、响应处置的闭环体系，提升企业网络安全“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”六大能力。

1）网络架构设计

按照纵向分域、横向分区的原则进行区域划分，在原有架构基础上新建一个独立的安全管理区，对分布在网络中的安全设备进行集中管控。

2）安全服务设计

在安全管理区部署工控漏扫和配置核查工具，通过安全评估服务，借助这两款设备对冲压、焊接、涂装、总装、MES、APS、LES等业务系统，进行资产识别、脆弱性识别和威胁识别。从而建立全面的资产清单、威胁清单和脆弱性清单，形成整改建设依据。并且定期进行健康检查，包括漏洞、安全配置等，及时了解汽车制造企业生产网络的薄弱环节，进行针对性的预防与加固。

3）边界防护设计

企业整体网络分为管理网和生产网，在企业管理域与制造执行域之间部署冗余的工业网闸，对工业协议报文拆包、内容剥离、安全过滤、单向传输、协议重组等，保障只有生产数据从生产网传输到管理网，禁止管理网违规访问生产网，实现生产网与管理网之间的大边界安全防护。

企业共分为冲压、焊接、涂装和总装四个车间，在各生产车间的网络出口处部署冗余的工业防火墙，实现对各生产车间之间的横向边界防护和与制造执行层的纵向边界防护，并对工业通讯协议进行深度解析，对途经防火墙的工业协议字段与数据值进行检查。

各生产车间内部网络分为有线网络和无线网络，在有线网和无线网的网络出口处分别部署工业防火墙，实现对车间内部的横向边界防护，生产管理层与企业管理层之间部署冗余的工业防火墙，并对工业通讯协议进行深度解析，对途经防火墙的工业协议字段与数据值进行检查。

企业管理域划分出办公接入区、服务器管控区和安全管理区，其中在安全管理区的边界处部署防火墙，在保障安全管理区边界安全的前提下，通过配置策略放行安全产品所需的通讯连接；在服务器管控区的边界处部署WAF，实现对WEB应用服务器的防护。

企业网络通过运营商专线与集团公司进行数据传输和业务交互，在边界处部署防火墙，实现边界防护和访问限制。

4）入侵检测设计

在生产管理层和过程监控层的核心旁路部署工业入侵检测，对汽车制造生产网络中存在的异常威胁、漏洞利用行为、恶意攻击进行实时检测。

5）监测审计设计

在各车间旁路部署工控安全审计，对流经各车间生产控制系统的网络流量进行审计。对上位机与下位机之间的工业协议识别，并进行深度解析，对违规操作、误操作以及关键操作（如下载、上传、组态变更以及CPU启停）等进行监测，实时了解生产网络的安全状态，为事后追溯、定位提供证据。

6）主机防护设计

在安全管理区部署主机卫士服务器，在工业主机上部署主机卫士系统客户端，通过应用白名单、USB管控等技术实现对工业主机的安全防护，增强未知威胁防范能力。

在安全管理区部署杀毒软件服务器，在非工业主机上部署杀毒软件客户端，实现对非工业主机的恶意代码防护。

7）数据防护设计

在安全管理区部署数据库审计设备，建立数据库操作的风险特征与审计行为的映射规则，对常见的工业实时数据库以及关系型数据库进行审计。

在企业管理域的核心旁路部署数据防泄露，对出口流量进行内容审计，实现数据敏感信息识别、网络数据泄漏监控预警、事件审计及业务分析，防止通信网络中传输、存储、处理的数据信息丢失、泄露或者被篡改、删除。

8）安全运维设计

在安全管理区部署运维堡垒机，通过在防火墙上设置ACL访问策略或其他技术手段保障运维数据流只能经过堡垒机到达运维资源，对运维过程进行录屏、键盘记录，并进行审计，保障远程运维安全。

9）态势感知设计

在安全管理区部署厂级工业态势感知平台，对部署的安全、网络以及关键业务系统进行操作日志、运行日志以及告警日志的集中采集、泛化和关联分析，并从整体视角进行实时感知、事件分析、研判等，提升企业整体安全防护预警水平。

通过级联部署方式，在集团管理域部署集团级工业态势感知平台，集中收集各个分厂的工业网络安全态势，实现统一的态势感知、趋势预警。

10）安全管理设计

首先，进行组织治理。明确网络安全负责人和管理组织，企业主要负责人是网络安全的第一责任人，明确关键岗位和职责，关键岗位人员签署网络安全责任书等。

其次，进行管理制度建设。主要从四个层级进行建设，包括：

① 一级文件：网络安全方针、战略等纲领性文件；
② 二级文件：网络安全管理规定、办法等规范性文件；
③ 三级文件：操作流程、规范、作业指导书、模板等指导性文件；
④ 四级文件：各类表单、记录日志、报告等记录类文件。

最后，对这些制度文件进行评审、修订、发布、执行等管理，并定期根据国家、行业和企业的动态对制度文件的合理性和适用性进行定期论证、审定，不足之处进行修订改进。

3 代表性及推广价值

绿盟汽车智能制造工业互联网安全解决方案，是一套基于绿盟“智慧安全3.0”理念打造的一套适应行业需求和政策要求的全面解决方案，全面提升汽车制造生产控制系统、生产管理系统等业务系统的安全防护与监测预警能力；全面提升汽车制造、智能工厂的合规性，符合国家主管部门、行业监管部门以及上级单位的安全防护要求助力汽车产业数字化转型，切实为客户解决工业互联网方面的设备安全、网络安全、控制安全、数据安全、应用安全等问题，具备较高推广价值。

来源 | CAIAC 2023“2022中国自动化领域年度最具价值解决方案”