近日，由中國互聯(lián)網(wǎng)協(xié)會主辦的2023中國互聯(lián)網(wǎng)大會“數(shù)字化轉(zhuǎn)型發(fā)展論壇”在北京舉行。會上，安恒信息《大型汽車制造集團工控安全體系規(guī)劃項目》入選2023中國互聯(lián)網(wǎng)大會創(chuàng)新成果。

行業(yè)現(xiàn)狀和問題

隨著數(shù)字化轉(zhuǎn)型工作的不斷推進，IT/OT通過人、機、物的全面互聯(lián)實現(xiàn)網(wǎng)絡融合，構建起全要素、全產(chǎn)業(yè)鏈、全價值鏈、全面連接的新型工業(yè)生產(chǎn)制造和服務體系，傳統(tǒng)信息網(wǎng)絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅正在向工業(yè)控制系統(tǒng)擴散。近年來，國內(nèi)外智能制造業(yè)工控安全事件頻發(fā)，嚴重威脅工業(yè)生產(chǎn)制造業(yè)務穩(wěn)定運行，為我們敲響警鐘。

同樣，汽車制造行業(yè)也打破了傳統(tǒng)工業(yè)相對封閉可信的生產(chǎn)環(huán)境，安全管理和技術防護跨域運維能力不足、安全人員技術水平不足、安全防護水平殘差不齊，亟需打造專業(yè)的安全管理體系與防護技術標準，全面提升安全防護能力。

建設目標

基于《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》3-4級基本要求，為用戶企業(yè)打造專業(yè)的安全管理體系、安全技術體系和安全運營體系，全面提升安全防護能力，降低安全事件的發(fā)生與被攻擊的概率。通過引進專業(yè)技術力量，實現(xiàn)內(nèi)外部協(xié)同、人員能力共同成長，建立統(tǒng)一的工控安全基線，切實提升用戶企業(yè)的工控安全水平，全面提升安全防護能力。

技術方案

本方案中工控安全體系建設的重點內(nèi)容包括：梳理資產(chǎn)、風險評估、安全測試驗證和體系建設。

對工藝車間（沖壓、焊接、涂裝和總裝等）的工控資產(chǎn)（例如：工業(yè)控制主機，如操作員站、工控機、一體機、服務器等；工業(yè)控制設備，如PLC、HMI、機器人、各類工藝控制器等；其他設備，如網(wǎng)絡設備及其他通過網(wǎng)絡連接、可能引入網(wǎng)絡安全風險的組件等）開展資產(chǎn)信息收集和梳理，形成工控資產(chǎn)臺賬，構建資產(chǎn)與業(yè)務系統(tǒng)之間的關系，明確安全保護對象。最終輸出工控資產(chǎn)信息統(tǒng)計表。

通過對各工廠（沖壓、焊接、涂裝和總裝等車間）現(xiàn)場訪談、問卷、資料收集、工具評估、人工審計等方式對目前管理、技術現(xiàn)狀、資產(chǎn)等進行安全評估。對數(shù)字化部、工程部、采購部等重點部門核心人員進行跨部門、跨崗位訪談，并結合工控系統(tǒng)設計、采購、實施、驗收、運營等過程現(xiàn)狀，分析當前工控系統(tǒng)全生命周期存在的問題。利用工控安全檢查工具箱對企業(yè)工控網(wǎng)絡進行風險識別和評估，形成工控安全檢查報告。最后輸出工控系統(tǒng)安全風險評估報告。

對各工藝車間（沖壓、焊接、涂裝和總裝等）的數(shù)據(jù)庫服務器、SCADA系統(tǒng)、OPC服務器上位機、控制器、視頻攝像頭等不同類型的工控系統(tǒng)開展安全測試，在生產(chǎn)場景中通過辦公網(wǎng)對生產(chǎn)管理網(wǎng)、生產(chǎn)控制網(wǎng)等進行遠程操作。并基于測試結果分析工控系統(tǒng)存在的安全風險以及危害，并與風險評估中的安全風險進行比對，進一步分析風險成因，并提出針對性解決辦法或緩解措施。對安全測試攻擊思路、攻擊方法、攻擊工具進行總結梳理，賦能集團公司工控安全人員，提升人員技術能力。針對集團公司工控系統(tǒng)工藝特點、工控資產(chǎn)類型等因素，對不同類型工控主機或設備制定安全測試辦法，固化成基本套路/工具，使集團公司工控安全人員能夠快速開展針對特定工控資產(chǎn)的安全測試、現(xiàn)狀安全評估等工作。

建立工控安全體系運行機制，運行機制活動內(nèi)容覆蓋工控系統(tǒng)全生命周期，實現(xiàn)有效安全管控。梳理出符合汽車制造工業(yè)場景的工控安全基線、工控安全防護指南、工控安全防護技術架構、工控安全管理規(guī)定和工控安全事件響應流程等，涵蓋管理規(guī)定、流程、規(guī)范、表單4層文件體系，并通過試點來驗證有效性和合理性，便于在集團或行業(yè)內(nèi)推廣。

價值成效

工控安全體系主要包括整體管理要求、項目安全管理、運營安全管理以及風險評估、威脅預警、應急處置相關流程，覆蓋工控系統(tǒng)從建設到運營使用全生命周期，形成管理規(guī)定、流程、規(guī)范等體系文件，根據(jù)企業(yè)的數(shù)字化建設程度，制定具有針對性的工控安全體系。

通過對企業(yè)辦公網(wǎng)數(shù)據(jù)中心、生產(chǎn)管理網(wǎng)和控制網(wǎng)的車間進行遠程滲透測試，利用信息收集、漏洞掃描、地址探測、端口掃描、web訪問、腳本測試等測試手段發(fā)現(xiàn)問題，并在安全測試過程中，針對汽車制造業(yè)生產(chǎn)場景進行攻擊路徑、攻擊界面、攻擊效果的驗證，同時對不同類型工控主機或設備制定安全測試辦法，固化成基本套路/工具等，賦能用戶企業(yè)工控安全人員，提升人員技術能力。

對用戶各工藝車間的工控資產(chǎn)開展資產(chǎn)信息收集和梳理，梳理出資產(chǎn)與業(yè)務的關系，資產(chǎn)的類型、運營人員、風險值等，形成工控資產(chǎn)信息表和工控資產(chǎn)點位圖；構建統(tǒng)一的工控全體系建設總體架構。

安恒信息大型汽車制造集團工控安全體系規(guī)劃方案以《工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型》3-4級為基本要求，根據(jù)行業(yè)工控現(xiàn)狀建立了適合本行業(yè)的工控系統(tǒng)全生命周期安全標準規(guī)范及管控措施，補齊存量資產(chǎn)短板，完善增量資產(chǎn)的體系管理；圍繞網(wǎng)絡安全、主機安全、設備安全、控制安全等9個方面建立工控安全基線，嵌入到工控建設流程中，為用戶企業(yè)打造專業(yè)的安全管理體系與防護技術標準，建立完整的工控安全管理和運營體系，構建集團統(tǒng)一的工控安全防護基線，提升用戶企業(yè)的安全防護能力。