工業(yè)互聯(lián)網(wǎng)-制造業(yè)安全解決方案

目錄1.概述 21.1主要背景 21.2主要安全挑戰(zhàn)（根據(jù)實(shí)際情況調(diào)整） 42.信息安全現(xiàn)狀分析（本節(jié)只是示例，根據(jù)實(shí)際情況修改，描述客戶現(xiàn)狀） 52.1現(xiàn)狀分析 52.1.1網(wǎng)絡(luò)現(xiàn)狀 52.1.2應(yīng)用現(xiàn)狀 62.1.3網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀 62.1.4安全管理現(xiàn)狀 73.建設(shè)思路 73.1建設(shè)原則 73.1.1適度安全原則 73.1.2重點(diǎn)保護(hù)原則 73.1.3技術(shù)管理并重原則 73.1.4縱向分層、橫向分域 83.2“融合安全、立體保護(hù)”的安全架構(gòu) 83.3網(wǎng)絡(luò)架構(gòu)圖 84.方案設(shè)計(jì) 94.1第一步：劃分安全域 94.1.1信息網(wǎng)安全域劃分方法 94.1.2生產(chǎn)網(wǎng)基于IEC62443的區(qū)域劃分 94.2第二步：構(gòu)筑核心鐵三角，保護(hù)生產(chǎn)核心安全 104.3第三步：消除安全洼地 114.3.1互聯(lián)網(wǎng)出口安全 114.3.2分支接入安全 124.3.3辦公網(wǎng)安全 124.3.4數(shù)據(jù)中心區(qū) 135.第四步：全局安全和安全治理 145.1泄密追溯及可視化分析 145.2全局可視及安全治理 155.2.1全網(wǎng)訪問(wèn)關(guān)系可視化 155.2.2安全風(fēng)險(xiǎn)告警和分析 165.3方案優(yōu)勢(shì) 185.3.1IT+OT一體化安全 185.3.2建立完整的安全保護(hù)體系 185.3.3基于AI、大數(shù)據(jù)安全檢測(cè)技術(shù)、發(fā)現(xiàn)未知威脅 18概述主要背景制造業(yè)是我國(guó)國(guó)民經(jīng)濟(jì)的重要支柱產(chǎn)業(yè),中國(guó)未來(lái)的比較優(yōu)勢(shì)仍然在制造業(yè)。因此，加快制造業(yè)的信息化建設(shè)對(duì)于加快我國(guó)現(xiàn)代化的進(jìn)程具有重要的意義。大部分企業(yè)，尤其是制造型企業(yè)，隨著信息化建設(shè)的推進(jìn)，在網(wǎng)絡(luò)方面增加了硬件設(shè)備，在軟件方面，增加了ERP、CRM和SCM等管理軟件和一些軟件，企業(yè)內(nèi)部的數(shù)據(jù)流豐富了起來(lái)，內(nèi)部不同的應(yīng)用和管理的要求給相關(guān)管理部門(mén)提出了很多新的要求。隨著《智能制造2025》、兩化融合、供給側(cè)改革等一系列政策和發(fā)文的貫徹實(shí)施，制造業(yè)的發(fā)展將傳統(tǒng)的制造技術(shù)與現(xiàn)代信息技術(shù)、管理技術(shù)、自動(dòng)化技術(shù)、系統(tǒng)工程技術(shù)進(jìn)行有機(jī)的結(jié)合，通過(guò)計(jì)算機(jī)技術(shù)是企業(yè)產(chǎn)品在全生命周期中有關(guān)的組織、經(jīng)營(yíng)、管理和技術(shù)有機(jī)集成和優(yōu)化運(yùn)行，在企業(yè)產(chǎn)品全生命周期中實(shí)現(xiàn)信息化、智能化、集成優(yōu)化達(dá)到產(chǎn)品上市快、服務(wù)好、質(zhì)量?jī)?yōu)成本低的目的，進(jìn)而提高企業(yè)的柔性、健壯性和敏捷性，是企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中立于不敗之地。然而，第四次工業(yè)革命為聯(lián)網(wǎng)的智能制造商和數(shù)字供應(yīng)網(wǎng)絡(luò)帶來(lái)一項(xiàng)新的運(yùn)營(yíng)風(fēng)險(xiǎn)：網(wǎng)絡(luò)風(fēng)險(xiǎn)。工業(yè)4.0時(shí)代中，由于企業(yè)運(yùn)營(yíng)具有互聯(lián)互通的特性，企業(yè)數(shù)字化轉(zhuǎn)型的步伐加快，網(wǎng)絡(luò)攻擊的影響比以往任何時(shí)候都更加廣泛，制造商和供應(yīng)網(wǎng)絡(luò)可能尚未準(zhǔn)備好應(yīng)對(duì)風(fēng)險(xiǎn)。為了在工業(yè)4.0時(shí)代充分解決網(wǎng)絡(luò)風(fēng)險(xiǎn)，企業(yè)網(wǎng)絡(luò)安全戰(zhàn)略應(yīng)保證安全性、警惕性和韌性，并從一開(kāi)始就充分結(jié)合組織與信息技術(shù)戰(zhàn)略。例如，2009年，惡意軟件曾操控某核濃縮工廠的離心機(jī)，導(dǎo)致所有離心機(jī)失控。該惡意軟件又稱“震網(wǎng)”，通過(guò)閃存驅(qū)動(dòng)器入侵獨(dú)立網(wǎng)絡(luò)系統(tǒng)，并在各生產(chǎn)網(wǎng)絡(luò)中自動(dòng)擴(kuò)散。通過(guò)“震網(wǎng)”事件，我們看到將網(wǎng)絡(luò)攻擊作為武器破壞聯(lián)網(wǎng)實(shí)體工廠的可能。再例如，2018年8月，全球最大晶圓半導(dǎo)體代工廠商臺(tái)積電遭電腦病毒入侵，并于當(dāng)晚10時(shí)許擴(kuò)散至三大廠區(qū)，三大廠區(qū)全部遭到感染。沖擊第三季度營(yíng)收約3%，并且臺(tái)積電預(yù)計(jì)這起事件約造成87億元新臺(tái)幣(約合人民幣17.6億元)的損失。通過(guò)臺(tái)積電事件，我們看到網(wǎng)絡(luò)攻擊的普遍性，即使非定向的普通攻擊也可以給制造企業(yè)造成極大的生產(chǎn)災(zāi)難和經(jīng)濟(jì)損失。圖SEQ圖\*ARABIC1工業(yè)互聯(lián)網(wǎng)三要素：網(wǎng)絡(luò)、平臺(tái)、安全這場(chǎng)戰(zhàn)爭(zhēng)顯然是失衡的：企業(yè)必須保護(hù)眾多的技術(shù)，而攻擊者只需找到一個(gè)最薄弱的環(huán)節(jié)。但非常重要的一點(diǎn)是，企業(yè)不僅需要關(guān)注外部威脅，還需關(guān)注真實(shí)存在卻常被忽略的網(wǎng)絡(luò)風(fēng)險(xiǎn)，而這些風(fēng)險(xiǎn)正是由企業(yè)在創(chuàng)新、轉(zhuǎn)型和現(xiàn)代化過(guò)程中越來(lái)越多地應(yīng)用智能互聯(lián)技術(shù)所引致的。否則，企業(yè)制定的戰(zhàn)略商業(yè)決策將可能導(dǎo)致該等風(fēng)險(xiǎn)，企業(yè)應(yīng)管控并降低該等新興風(fēng)險(xiǎn)。XXXXX屬高新技術(shù)企業(yè)，擁有XXXX、XXXX等工廠，廠房面積XX萬(wàn)平方米，現(xiàn)有員工XX多人，各類工程技術(shù)人員和中級(jí)以上專業(yè)技術(shù)人員XX余名，注冊(cè)資本XX元，年銷售額XX億元。XXXXX公司的信息化經(jīng)過(guò)十幾年的發(fā)展，對(duì)業(yè)務(wù)的支撐作用已經(jīng)表現(xiàn)得非常明顯XXXXX單位業(yè)務(wù)的開(kāi)展已經(jīng)離不開(kāi)信息系統(tǒng)的正常運(yùn)轉(zhuǎn)。隨著XXXXX信息化的深化，公司業(yè)務(wù)流程已經(jīng)高度自動(dòng)化、高效率，從而內(nèi)外部提供更好的服務(wù)。但另一方面，承載XXXXX公司業(yè)務(wù)流程的信息系統(tǒng)基礎(chǔ)架構(gòu)的管理手段卻仍然相對(duì)落后，在當(dāng)前復(fù)雜多變的信息安全形勢(shì)下，無(wú)論是外部黑客入侵、內(nèi)部惡意使用，還是大多數(shù)情況下內(nèi)部用戶無(wú)意造成的漏洞，XXXXX公司的安全管理手段都正在變得越來(lái)越不夠用。而同時(shí)，勒索病毒爆發(fā)、信息泄露、媒體輿論炒作、上級(jí)領(lǐng)導(dǎo)問(wèn)責(zé)、法律法規(guī)監(jiān)管等等，都在無(wú)形中讓XXXXX的信息安全管理壓力越來(lái)越大。主要安全挑戰(zhàn)（根據(jù)實(shí)際情況調(diào)整）1. 外部威脅企業(yè)網(wǎng)絡(luò)是最主要入侵方式隨著網(wǎng)絡(luò)作戰(zhàn)以及有組織黑客越來(lái)越多地開(kāi)始針對(duì)制造企業(yè)進(jìn)行攻擊，工業(yè)安全問(wèn)題日益成為很多企業(yè)的網(wǎng)絡(luò)安全的頭等大事。不幸的是，目前絕大多數(shù)的制造業(yè)安全建設(shè)非常薄弱，例如出口區(qū)只放了三層防火墻甚至沒(méi)有任何防御措施，僵木蠕可以隨意進(jìn)入，為企業(yè)帶來(lái)了極大的安全隱患。同時(shí)伴隨著工業(yè)信息化進(jìn)程的快速推進(jìn)，為實(shí)現(xiàn)系統(tǒng)間的協(xié)同和信息分享，生產(chǎn)控制系統(tǒng)也逐漸打破了以往的封閉性：采用標(biāo)準(zhǔn)、通用的通信協(xié)議及硬軟件系統(tǒng)，甚至有些工業(yè)控制系統(tǒng)也能以某些方式連接到互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)中，使得病毒能夠直接對(duì)生產(chǎn)造成停擺。目前對(duì)工控系統(tǒng)的攻擊主要還是在系統(tǒng)信息收集以及工控?cái)?shù)據(jù)篡改（事實(shí)上“震網(wǎng)”在最后實(shí)施攻擊的那一步就是篡改了儀表數(shù)據(jù)進(jìn)行的）。缺乏有效的安全防護(hù)手段目前流行的病毒都具有蠕蟲(chóng)的性質(zhì)，一旦感染之后會(huì)迅速擴(kuò)散。面對(duì)無(wú)孔不入的網(wǎng)絡(luò)攻擊，制造企業(yè)的防護(hù)措施顯得捉襟見(jiàn)肘。許多企業(yè)沒(méi)有合理的安全域劃分和隔離，一旦爆發(fā)了病毒，就會(huì)大面積爆發(fā)，缺少基本的控制能力；許多防御也只能做到3層，安全策略配置不合理，無(wú)法防御新型病毒。無(wú)法看清網(wǎng)絡(luò)內(nèi)部的受災(zāi)狀態(tài)可視是安全的基礎(chǔ)，在看不見(jiàn)的環(huán)境中與黑客較量無(wú)異于遮住眼睛與人搏斗。目前大多數(shù)制造企業(yè)缺少有效的態(tài)勢(shì)感知能力，不知道網(wǎng)絡(luò)內(nèi)有哪些資產(chǎn)，不知道他們的脆弱性，不知道他們是否已經(jīng)感染了病毒，感染了病毒也不知道是從哪里開(kāi)始的，等病毒造成明顯破壞的時(shí)候黑客其實(shí)早已潛伏已久，在安全不可視的情況下對(duì)威脅處置和響應(yīng)也造成了極大的困難。2. 內(nèi)部威脅無(wú)意識(shí)的外部風(fēng)險(xiǎn)引入由于安全技能和安全意識(shí)存在差異，員工可能無(wú)意識(shí)的通過(guò)互聯(lián)網(wǎng)絡(luò)或移動(dòng)介質(zhì)將Internet上危險(xiǎn)的、惡意的木馬程序和惡意代碼下載到內(nèi)部網(wǎng)絡(luò)執(zhí)行，甚至將Internet上的蠕蟲(chóng)、網(wǎng)絡(luò)病毒傳播進(jìn)入內(nèi)部網(wǎng)絡(luò)，這將對(duì)網(wǎng)絡(luò)的安全帶來(lái)嚴(yán)重威脅；補(bǔ)丁升級(jí)與病毒庫(kù)更新不及時(shí)，蠕蟲(chóng)病毒利用漏洞傳播危害大制造業(yè)的各種平臺(tái)的主機(jī)和設(shè)備存在安全漏洞但沒(méi)有及時(shí)打上最新的安全補(bǔ)丁，尤其是給生產(chǎn)網(wǎng)機(jī)器打補(bǔ)丁是個(gè)很困難的事。工控網(wǎng)絡(luò)常常擔(dān)負(fù)著企業(yè)最重要的生產(chǎn)流程。而停掉這些流程往往會(huì)產(chǎn)生巨大的成本以及運(yùn)營(yíng)風(fēng)險(xiǎn)。因此，集中式的自動(dòng)化的補(bǔ)丁管理系統(tǒng)是不存在的。幾乎所有的工控網(wǎng)補(bǔ)丁都必須手動(dòng)下載并安裝。而且很多情況下，只能由供應(yīng)商認(rèn)證的技術(shù)人員進(jìn)行安裝。這樣就給惡意的入侵者提供了可乘之機(jī)，使病毒和蠕蟲(chóng)的泛濫成為可能。缺乏設(shè)備管理手段，數(shù)據(jù)泄密、病毒傳播無(wú)法控制設(shè)備是數(shù)據(jù)交換的一個(gè)最要途徑，包括PC、U盤(pán)、光驅(qū)、打印、紅外等；由于使用的方便性，近幾年成為數(shù)據(jù)泄密、病毒感染的出入口。通過(guò)封貼端口、制度要求等方式無(wú)法靈活對(duì)外設(shè)進(jìn)行管理，特別是對(duì)USB接口的管理，所以必須通過(guò)其它技術(shù)手段解決存在的問(wèn)題。管理制度缺乏技術(shù)依據(jù)，安全策略無(wú)法有效落實(shí)盡管安全管理制度早已制定，但只能依靠工作人員的工作責(zé)任心，無(wú)法有效地杜絕問(wèn)題；通過(guò)原始方式：貼封條、定期檢查等相對(duì)松散的管理機(jī)制，沒(méi)有有效靈活實(shí)時(shí)的手段保障，無(wú)法使管理政策落實(shí)。信息安全現(xiàn)狀分析（本節(jié)只是示例，根據(jù)實(shí)際情況修改，描述客戶現(xiàn)狀）現(xiàn)狀分析網(wǎng)絡(luò)現(xiàn)狀經(jīng)過(guò)調(diào)研，了解到XXXXX外網(wǎng)與互聯(lián)網(wǎng)相連及分支機(jī)構(gòu)互聯(lián)，主要承載了辦公系統(tǒng)、門(mén)戶網(wǎng)站、ERP系統(tǒng)、MES等業(yè)務(wù)。主要現(xiàn)狀描述如下：XXXXX網(wǎng)絡(luò)是一個(gè)星型的快速以太交換網(wǎng)，核心為兩臺(tái)HuaweiCE12808S高性能三層交換機(jī)。以S7603為辦公、管理核心交換機(jī)；公司網(wǎng)絡(luò)按照部門(mén)、職能、業(yè)務(wù)區(qū)域，以及劃分了清晰的VLAN。包括：服務(wù)區(qū)域VLAN、智能部門(mén)VLAN、無(wú)線網(wǎng)絡(luò)VLAN、車間MES、技術(shù)中…….網(wǎng)絡(luò)拓?fù)鋱D見(jiàn)下圖所示：應(yīng)用現(xiàn)狀相關(guān)核心業(yè)務(wù)應(yīng)用系統(tǒng)，如下表所示（相關(guān)功能需要進(jìn)一步明確）：序號(hào)應(yīng)用系統(tǒng)名稱系統(tǒng)簡(jiǎn)介業(yè)務(wù)系統(tǒng)類型1ERPERP是一種主要面向制造行業(yè)進(jìn)行物質(zhì)資源、資金資源和信息資源集成一體化管理的企業(yè)信息管理系統(tǒng)。管理類2PDMPDM的中文名稱為產(chǎn)品數(shù)據(jù)管理（ProductDataManagement）。PDM是一門(mén)用來(lái)管理所有與產(chǎn)品相關(guān)信息（包括零件信息、配置、文檔、CAD文件、結(jié)構(gòu)、權(quán)限信息等）和所有與產(chǎn)品相關(guān)過(guò)程（包括過(guò)程定義和管理）的技術(shù)。生產(chǎn)類3MESMES系統(tǒng)是一套面向制造企業(yè)車間執(zhí)行層的生產(chǎn)信息化管理系統(tǒng)。MES可以為企業(yè)提供包括制造數(shù)據(jù)管理、計(jì)劃排程管理、生產(chǎn)調(diào)度管理、庫(kù)存管理、質(zhì)量管理、人力資源管理、工作中心/設(shè)備管理、工具工裝管理、采購(gòu)管理、成本管理、項(xiàng)目看板管理、生產(chǎn)過(guò)程控制、底層數(shù)據(jù)集成分析、上層數(shù)據(jù)集成分解等管理模塊。生產(chǎn)類4OAOA軟件的核心應(yīng)用是：流程審批、協(xié)同工作、公文管理(國(guó)企和政府機(jī)關(guān))、溝通工具、文檔管理等。管理類…………網(wǎng)絡(luò)安全建設(shè)現(xiàn)狀XXXXX網(wǎng)絡(luò)中廣泛使用的安全設(shè)備有兩大類，一是面向網(wǎng)絡(luò)安全類的防火墻、上網(wǎng)行為管理、網(wǎng)絡(luò)審計(jì)類安全設(shè)備；二是面向終端的終端安全管理系統(tǒng)以及防病毒軟件類等。序號(hào)安全設(shè)備品牌型號(hào)用途數(shù)量1防火墻XXXInternet出口控制12防火墻XXXX出口控制13行為管理SinforAC-1200Internet出口控制2……安全管理現(xiàn)狀目前，XXXXX長(zhǎng)橋單位信息安全管理現(xiàn)狀是：已制定信息安全預(yù)案，但不完善；信息中心負(fù)責(zé)信息安全工作的具體執(zhí)行；缺乏專業(yè)安全技術(shù)人員，大多數(shù)技術(shù)人員為外聘方式；一人兼任多職，無(wú)專職安全管理員；制定了部分安全制度。建設(shè)思路建設(shè)原則適度安全原則任何信息系統(tǒng)都不能做到絕對(duì)的安全，在進(jìn)行信息安全建設(shè)過(guò)程中，要在安全需求、安全風(fēng)險(xiǎn)和安全成本之間進(jìn)行平衡和折中，過(guò)多的安全要求必將造成安全成本的迅速增加和運(yùn)行的復(fù)雜性。重點(diǎn)保護(hù)原則根據(jù)信息系統(tǒng)的重要程度、業(yè)務(wù)特點(diǎn)，通過(guò)劃分不同安全保護(hù)等級(jí)的信息系統(tǒng)，實(shí)現(xiàn)不同強(qiáng)度的安全保護(hù)，集中資源優(yōu)先保護(hù)涉及核心業(yè)務(wù)或關(guān)鍵信息資產(chǎn)的信息系統(tǒng)。技術(shù)管理并重原則信息安全問(wèn)題從來(lái)就不是單純的技術(shù)問(wèn)題，把防范黑客入侵和病毒感染理解為信息安全問(wèn)題的全部是片面的，僅僅通過(guò)部署安全產(chǎn)品很難完全覆蓋所有的信息安全問(wèn)題，因此必須要把技術(shù)措施和管理措施結(jié)合起來(lái)，更有效的保障系統(tǒng)的整體安全性，形成技術(shù)和管理兩個(gè)部分的建設(shè)方案；縱向分層、橫向分域縱向按照三層架構(gòu)，二層防護(hù)。經(jīng)營(yíng)管理層、生產(chǎn)控制層、過(guò)程控制層。橫向不同的車間、不同的生產(chǎn)線進(jìn)行邏輯隔離?！叭诤习踩⒘Ⅲw保護(hù)”的安全架構(gòu)針對(duì)XXXXX管理信息化、工業(yè)生產(chǎn)控制特點(diǎn)，參考美國(guó)國(guó)家安全局IATF、GB/17859以及IEC62443體系結(jié)構(gòu)，構(gòu)建在安全可視與管理運(yùn)營(yíng)中心支持下計(jì)算環(huán)境、區(qū)域邊界、通信網(wǎng)絡(luò)的三重防御體系是必要的、可行的。通過(guò)“鐵三角”保障核心生產(chǎn)安全，通過(guò)不同安全域的安全能力加固來(lái)消除安全洼地，并構(gòu)建全局可視、集中管控的能力：圖SEQ圖\*ARABIC2基于“融合安全、立體保護(hù)”的工業(yè)互聯(lián)網(wǎng)-制造業(yè)安全解決方案網(wǎng)絡(luò)架構(gòu)圖在安全技術(shù)體系的具體實(shí)現(xiàn)過(guò)程中，需要落實(shí)安全技術(shù)詳細(xì)設(shè)計(jì)方案中的具體技術(shù)要求，將先進(jìn)的信息安全技術(shù)落實(shí)到具體安全產(chǎn)品中，形成合理、有效、可靠的安全防護(hù)體系。安全產(chǎn)品部署方案如下：（示意圖）圖SEQ圖\*ARABIC3工業(yè)互聯(lián)網(wǎng)-制造業(yè)安全解決方案拓?fù)涫疽鈭D方案設(shè)計(jì)第一步：劃分安全域信息網(wǎng)安全域劃分方法對(duì)于XXXXX大規(guī)模的復(fù)雜信息系統(tǒng)，按數(shù)據(jù)信息類分區(qū)域保護(hù)是劃分安全保護(hù)等級(jí)的基本原則和方法。從等級(jí)劃分的角度，典型制造業(yè)信息系統(tǒng)可以劃分為互聯(lián)網(wǎng)出口區(qū)、辦公區(qū)、分支接入?yún)^(qū)、數(shù)據(jù)中心區(qū)、運(yùn)維管理區(qū)等主要部分。生產(chǎn)網(wǎng)基于IEC62443的區(qū)域劃分圖SEQ圖\*ARABIC4IEC62443核心理念：區(qū)域和管道IEC62443是在國(guó)際上被廣泛采納和認(rèn)可的工控系統(tǒng)標(biāo)準(zhǔn)。各國(guó)、各行業(yè)制定工控相關(guān)標(biāo)準(zhǔn)政策都會(huì)參考和吸收該標(biāo)準(zhǔn)提供的概念、方法、模型。其核心思想是區(qū)域（Zone）和管道（Conduit）。每個(gè)區(qū)域不僅要定義其邊界，資產(chǎn)和風(fēng)險(xiǎn)分析，而且也包括信息安全能力，因此區(qū)域內(nèi)使用windows2008操作系統(tǒng)的服務(wù)器其信息安全能力就要與區(qū)域內(nèi)使用windowsNT操作系統(tǒng)的服務(wù)器不相同。區(qū)域內(nèi)可能面臨的信息安全風(fēng)險(xiǎn)，與控制風(fēng)險(xiǎn)需要具有的信息安全能力一起決定并驅(qū)使用于管道的信息安全功能要求，從而利用管道進(jìn)行區(qū)域間的連接。在生產(chǎn)網(wǎng)部分的分域效果如圖所示。圖SEQ圖\*ARABIC5基于IEC62443的分級(jí)分域安全防御結(jié)構(gòu)第二步：構(gòu)筑核心鐵三角，保護(hù)生產(chǎn)核心安全隨著網(wǎng)絡(luò)威脅的不斷升級(jí)，僅僅依靠安全域劃分和簡(jiǎn)單的防御已經(jīng)難以阻擋黑客攻擊。以勒索病毒為代表的新型高級(jí)威脅存在如下特性：1、蠕蟲(chóng)特性。一旦某臺(tái)機(jī)器感染病毒之后，該機(jī)器會(huì)傳染其他機(jī)器。2、分階段攻擊特性。高級(jí)攻擊是分階段分步驟的，例如首先通過(guò)掃描、暴破、郵件等方式進(jìn)入內(nèi)網(wǎng)，然后通過(guò)dropper與黑客進(jìn)行C&C通信，進(jìn)而通過(guò)惡意URL下載病毒本體，再進(jìn)行勒索和擴(kuò)散等等。3、變種特性。病毒往往是有專業(yè)團(tuán)隊(duì)開(kāi)發(fā)維護(hù)的，如Cerber、Wannacry、GlobeImposter等版本更新非?？?，未知威脅和變種威脅是安全技術(shù)的重要挑戰(zhàn)。圖SEQ圖\*ARABIC6“鐵三角”保護(hù)生產(chǎn)制造信息安全，防控病毒爆發(fā) 對(duì)此，深信服的“鐵三角”方案能夠有效的對(duì)網(wǎng)絡(luò)安全提供有效保護(hù)。下一代防火墻能夠不斷的更新最新的特征庫(kù)并內(nèi)置SAVE殺毒引擎，對(duì)病毒變種進(jìn)行防御，即使一臺(tái)機(jī)器感染了病毒，下一代防火墻可以通過(guò)2-7層的雙向保護(hù)能力來(lái)控制病毒的爆發(fā)范圍；AC能夠?qū)尤刖W(wǎng)絡(luò)的設(shè)備進(jìn)行控制，如果有攜帶病毒的非法PC接入網(wǎng)絡(luò)，AC可以通過(guò)其硬件特征碼來(lái)判斷該機(jī)器是否為未注冊(cè)機(jī)器，防止病毒通過(guò)非法設(shè)備接入傳播進(jìn)來(lái)；態(tài)勢(shì)感知平臺(tái)能夠?qū)θW(wǎng)的流量進(jìn)行持續(xù)檢測(cè)，發(fā)現(xiàn)失陷主機(jī)和失陷業(yè)務(wù)，從而幫助管理者定位哪些PC遭受了攻擊，以及病毒的傳播途徑，一旦發(fā)現(xiàn)了黑客攻擊，通過(guò)SIP聯(lián)動(dòng)AC和防火墻進(jìn)行協(xié)同處置響應(yīng)；除此之外，還可以通過(guò)工業(yè)安全衛(wèi)士，管控機(jī)臺(tái)等PC上的合法進(jìn)程，不允許任何未注冊(cè)的進(jìn)程執(zhí)行，同時(shí)工業(yè)安全衛(wèi)士還具備USB管控、微隔離等功能?！拌F三角”構(gòu)成了制造業(yè)安全的核心，形成了最基本的“預(yù)防、防御、檢測(cè)、響應(yīng)”的安全體系。第三步：消除安全洼地互聯(lián)網(wǎng)出口安全企業(yè)上網(wǎng)、上工業(yè)云等都需要通過(guò)運(yùn)營(yíng)商接入互聯(lián)網(wǎng)，互聯(lián)網(wǎng)出口區(qū)安全是保護(hù)企業(yè)網(wǎng)絡(luò)安全的第一道防線，能夠把病毒攔截在企業(yè)之外就能消除大多數(shù)安全問(wèn)題。通過(guò)部署鏈路負(fù)載均衡、下一代防火墻和上網(wǎng)行為管理設(shè)備，來(lái)實(shí)現(xiàn)互聯(lián)網(wǎng)出口區(qū)安全，保證2-7層的雙向通信安全、員工上網(wǎng)行為管控和運(yùn)營(yíng)商鏈路的負(fù)載均衡。分支接入安全制造企業(yè)大都存在多個(gè)廠區(qū)，廠區(qū)與廠區(qū)之間通過(guò)光纖等方式進(jìn)行專線通信，也可通過(guò)互聯(lián)網(wǎng)的方式走VPN進(jìn)行通信。對(duì)于專線通信的方式，目前已有案例，病毒通過(guò)專線進(jìn)行跳板感染其他廠區(qū)的情況，臺(tái)積電的案例就是其中之一。因此，通過(guò)在分支廠區(qū)部署探針、NGAF等設(shè)備，在總部部署感知平臺(tái)，來(lái)對(duì)專線進(jìn)行保護(hù)，保證廠區(qū)之間的通信安全，防止病毒跳板和橫向。一旦出線了問(wèn)題，也可以通過(guò)感知平臺(tái)來(lái)定位和溯源。圖SEQ圖\*ARABIC8分支專線安全建設(shè)辦公網(wǎng)安全部署下一代防火墻，實(shí)現(xiàn)L2-L7安全防護(hù)，包括訪問(wèn)控制、入侵防御、病毒過(guò)濾等，并對(duì)終端上網(wǎng)過(guò)程實(shí)現(xiàn)實(shí)時(shí)保護(hù)；部署上網(wǎng)行為管理，實(shí)現(xiàn)應(yīng)用訪問(wèn)控制、流量管控、上網(wǎng)日志記錄功能，并對(duì)用戶的上網(wǎng)行為進(jìn)行分析管理；部署網(wǎng)絡(luò)準(zhǔn)入與中的安全管理系統(tǒng)，實(shí)現(xiàn)終端準(zhǔn)入控制、終端資產(chǎn)管理等功能。；部署業(yè)務(wù)數(shù)據(jù)防泄漏系統(tǒng)，通過(guò)授權(quán)控制、智能隔離、安全流轉(zhuǎn)、審計(jì)追溯等手段，保護(hù)企業(yè)業(yè)務(wù)系統(tǒng)和終端上的業(yè)務(wù)數(shù)據(jù)不被泄密，保證企業(yè)數(shù)據(jù)在使用、傳輸、存儲(chǔ)過(guò)程中的安全。圖SEQ圖\*ARABIC9辦公區(qū)安全建設(shè)數(shù)據(jù)中心區(qū)數(shù)據(jù)中心區(qū)可分成互聯(lián)網(wǎng)業(yè)務(wù)區(qū)、核心業(yè)務(wù)區(qū)和生產(chǎn)業(yè)務(wù)區(qū)?；ヂ?lián)網(wǎng)業(yè)務(wù)區(qū)主要部署網(wǎng)站系統(tǒng)、400、微信、銷售系統(tǒng)等需要面向互聯(lián)網(wǎng)的業(yè)務(wù)服務(wù)?；ヂ?lián)網(wǎng)業(yè)務(wù)區(qū)內(nèi)重要服務(wù)器以雙機(jī)熱備方式部署，并部1臺(tái)應(yīng)用交付，作為SSL加解密卸載；開(kāi)啟互聯(lián)網(wǎng)出口區(qū)的下一代防火墻安全策略，用于防止WEB層的攻擊；基于深信服安全云，針對(duì)網(wǎng)站等互聯(lián)網(wǎng)托管應(yīng)用進(jìn)行云端監(jiān)測(cè)和流量清洗保護(hù)；網(wǎng)絡(luò)和安全設(shè)備采用雙機(jī)熱備方式進(jìn)行部署，保證網(wǎng)絡(luò)系統(tǒng)的高可靠性和高可用性。根據(jù)上述安全設(shè)計(jì)，網(wǎng)站區(qū)安全設(shè)計(jì)結(jié)構(gòu)圖如下所示。內(nèi)部業(yè)務(wù)區(qū)主要部署ERP、OA、項(xiàng)目管理、人力資源、價(jià)格管理等管理類業(yè)務(wù)系統(tǒng)。區(qū)內(nèi)主要部署供外部訪問(wèn)的業(yè)務(wù)通，相關(guān)各服務(wù)器以雙機(jī)熱備方式部署，保證業(yè)務(wù)系統(tǒng)的高可靠性和高可用性；部署帶有防病毒模塊的下一代防火墻，對(duì)惡意代碼進(jìn)行檢測(cè)和清除；通過(guò)在安全資源池上開(kāi)啟軟件版下一代防火墻的訪問(wèn)控制功能，控制安全域區(qū)域之間、業(yè)務(wù)系統(tǒng)之間的訪問(wèn)；通過(guò)潛伏威脅探針采集鏡像流量，并匯聚到安全感知平臺(tái)，對(duì)內(nèi)網(wǎng)的潛伏風(fēng)險(xiǎn)、APT攻擊進(jìn)行檢測(cè)；網(wǎng)絡(luò)和安全設(shè)備采用雙機(jī)熱備方式進(jìn)行部署，保證網(wǎng)絡(luò)系統(tǒng)的高可靠性和高可用性。生產(chǎn)業(yè)務(wù)區(qū)主要部署MES、PDM、CAPP等業(yè)務(wù)系統(tǒng)。生產(chǎn)業(yè)務(wù)區(qū)主要供內(nèi)部人員訪問(wèn)，不對(duì)外部公眾開(kāi)放。相關(guān)各服務(wù)器以雙機(jī)熱備方式部署，保證業(yè)務(wù)系統(tǒng)的高可靠性和高可用性；部署帶有下一代防火墻，開(kāi)啟訪問(wèn)控制、入侵防護(hù)、惡意代碼進(jìn)行檢測(cè)和清除等功能；通過(guò)潛伏威脅探針采集鏡像流量，并匯聚到安全感知平臺(tái)，對(duì)內(nèi)網(wǎng)的潛伏風(fēng)險(xiǎn)、APT攻擊進(jìn)行檢測(cè)；網(wǎng)絡(luò)和安全設(shè)備采用雙機(jī)熱備方式進(jìn)行部署，保證網(wǎng)絡(luò)系統(tǒng)的高可靠性和高可用性。圖SEQ圖\*ARABIC10數(shù)據(jù)中心區(qū)安全建設(shè)以上安全措施可通過(guò)傳統(tǒng)硬件部署，也可通過(guò)軟件定義安全（安全資源池）的方式進(jìn)行部署，后者更便于運(yùn)維管理和彈性擴(kuò)展，根據(jù)實(shí)際需要進(jìn)行選擇。第四步：全局安全和安全治理泄密追溯及可視化分析制造企業(yè)有許多重要的文件，如源代碼、設(shè)計(jì)圖紙等，需要進(jìn)行保護(hù)。泄密追溯分析適用于數(shù)據(jù)泄密追溯，通過(guò)對(duì)互聯(lián)網(wǎng)外發(fā)信息進(jìn)行檢測(cè)，發(fā)現(xiàn)泄密行為；提供外發(fā)概括、泄密追溯、主動(dòng)預(yù)警等功能，幫助信息安全管理員及時(shí)發(fā)現(xiàn)泄密行為，有效干預(yù)，從而降低泄密事件的影響面，避免泄密事件給企業(yè)帶來(lái)嚴(yán)重的經(jīng)濟(jì)損失和法律責(zé)任。提前設(shè)置敏感信息和文件，一旦發(fā)現(xiàn)外發(fā)，迅速告警。通過(guò)外發(fā)概括整體掌握外發(fā)風(fēng)險(xiǎn)，分析外發(fā)次數(shù)、類型、通路等情況，并通過(guò)泄密追溯及預(yù)警，追溯外發(fā)的人員和軌跡，精準(zhǔn)定位風(fēng)險(xiǎn)人員。全局可視及安全治理基于行為和關(guān)聯(lián)分析技術(shù)對(duì)辦公網(wǎng)全網(wǎng)的流量進(jìn)行安全檢測(cè)的可視化預(yù)警檢測(cè)平臺(tái)。方案設(shè)計(jì)體現(xiàn)適用性、前瞻性、可行性的基本原則，實(shí)現(xiàn)安全效果可評(píng)估、安全態(tài)勢(shì)可視化。主要基于“看清業(yè)務(wù)邏輯、看見(jiàn)潛在威脅、看懂安全風(fēng)險(xiǎn)、輔助分析決策”的思路進(jìn)行設(shè)計(jì)實(shí)現(xiàn)的。其內(nèi)涵包括：整體安全態(tài)勢(shì)：結(jié)合攻擊趨勢(shì)、有效攻擊、業(yè)務(wù)資產(chǎn)脆弱性對(duì)辦公網(wǎng)安全態(tài)勢(shì)進(jìn)行整體評(píng)價(jià)，以業(yè)務(wù)系統(tǒng)的視角進(jìn)行呈現(xiàn)，可有效的把握整體安全態(tài)勢(shì)進(jìn)行安全決策分析；多維度大屏展示：風(fēng)險(xiǎn)外連監(jiān)測(cè)大屏、分支安全監(jiān)測(cè)大屏、全網(wǎng)攻擊監(jiān)測(cè)大屏等多個(gè)維度，為關(guān)注不同安全視角的用戶提供靈活的選擇方式；失陷主機(jī)報(bào)告：將所有風(fēng)險(xiǎn)業(yè)務(wù)、風(fēng)險(xiǎn)用戶及其所有安全事件、舉證、風(fēng)險(xiǎn)和建議都導(dǎo)出來(lái)，形成html文檔。方便IT管理員在時(shí)候進(jìn)行詳細(xì)定位綜合風(fēng)險(xiǎn)報(bào)告：提供PDF報(bào)表形式的可視化風(fēng)險(xiǎn)報(bào)告，評(píng)估XX單位辦公網(wǎng)全網(wǎng)安全狀況，并對(duì)存在攻擊、后門(mén)、風(fēng)險(xiǎn)業(yè)務(wù)、風(fēng)險(xiǎn)用戶等問(wèn)題進(jìn)行展示說(shuō)明。適合對(duì)領(lǐng)導(dǎo)進(jìn)行匯報(bào)。全網(wǎng)訪問(wèn)關(guān)系可視化基于全網(wǎng)業(yè)務(wù)對(duì)象的訪問(wèn)關(guān)系的圖形化展示，包括用戶對(duì)業(yè)務(wù)、業(yè)務(wù)對(duì)業(yè)務(wù)、業(yè)務(wù)與互聯(lián)網(wǎng)三者關(guān)系的完全展示，并提供快捷的搜索。供IT人員在業(yè)務(wù)遷移和梳理時(shí)直觀的查看業(yè)務(wù)關(guān)系，是否有遺漏的業(yè)務(wù)未被防護(hù)、是否存在內(nèi)部攻擊、是否有業(yè)務(wù)外