2024汽车制造行业工控系统网络安全等级保护解决方案

汽车制造行业工控系统网络安全等级保护解决方案0302汽车制造行业网络安全现状汽车制造行业网络安全政策标准CONTENTS0302汽车制造行业网络安全现状汽车制造行业网络安全政策标准01汽车制造工艺流程介绍01汽车制造工艺流程介绍目录04汽车制造行业网络安全解决方案05汽车制造行业典型案例分析04汽车制造行业网络安全解决方案05汽车制造行业典型案例分析01汽车制造工艺流程介绍01冲压 焊装 涂装 总装PAGE4PAGE4造工艺流程冲压车间 焊装车间 涂装车间 总装车间冲压是汽车制造过程中的龙头工艺。承担原材料卷料、板料的存放；卷料的开卷剪切；板料的剪切；各车型大、中、小型冲压件的冲压生产；冲压

汽车焊装主线是把侧围分总成线、底板分总成线、由小件焊接而成的车体钣金合件及顶盖，通过传输装置、夹具、合装台等设备定位后,焊接合装，完成白车身组焊的总成线,是车身焊装生产线的核心部分。

汽车涂装工艺，一般可分为两大部分：一是涂装前金属的表面处理，也叫前处理技术；二是涂装的施工。前处理主要包括清除工件表面的油污、尘土、锈蚀、以及进行修补作业时旧涂料层的清除等，以改善工件的表面状态；涂装则是根据车型颜色进行喷漆。

汽车总装是汽车产品制造过程中最重要工艺环节之一，是把经检验合格的数以千计的各种零部件按着一定的技术要求组装成整车的工艺过程，主要包括内饰生产线、底盘线、静检线、动检线等。汽车制造工艺流程介绍-总装车间02汽车制造行业网络安全政策标准0277国家顶层设计，行业规范驱动安全建设工业控制系统信息安全防护指南法律法规2017年6月《中华人民共和国网络安全法》正式施行

建设标准2019年12月1日GB/T22239-2019《信息安全技术网络安全等级保护基本要求》正式执行

指导文件2016年10月工信部印发《工业控制系统信息安全防护指南》指导工业企业开展工控安全防护工作

的指导意见行业要求2019年8月工信部联网安〔2019〕168号《十部门关于印发加强工业互联网安全工作的指导意见的通知》加强工业互联网安全工作的指导意见1、依法落实企业主体责任。工业互联网企业明确工业互联网安后的风险评估、安全审计等制度；风险评估数据保护、信息共享和通报、应急处置等方面建立健全安全管理制度和工作机制，强化对企业的安全监管；部署针对性防护措施，加网络协议、装置装备、工业软件等安全保障；816.支持工业互联网安全科技创新。加大对工业互联网安全技术研发和成果转化的支持力度，……，加强攻击防护、漏洞挖掘、大数据、区块链等新技术提升安全防护水平。803汽车制造行业网络安全现状03针对汽车厂商的APT攻击集中出现针对汽车厂商的APT攻击集中出现PAGE10PAGE10 2012-2019年全球工控安全事件报告数量 2019年工控安全事件所属行业细分工业控制网络安全事件在近几年呈现稳步增长的趋势，2019年被ICS-CERT收录的攻击事件达到329件 2019年3月

2019年3月

2019年4月 2019年9月日本东京丰田汽车公司IT系统遭“海莲花”入侵，泄漏了多达310万名客户的销售信息。

瑞士重型汽车制造企业AebiSschmidt因遭勒索软件攻击中断了运营，该公司整个国际网络的系统都崩溃了,其中受到破坏最严重的是瑞士总部。

2019年春“海莲花”开始针对慕尼黑宝马汽车公司APT攻击，6月份时，该公司将有关计算机进行了脱网。

德国汽车零部件制造商境外工厂遭恶意软件攻击，恢复需要花费两到四周的时间，每周损失300-400万欧元。德国国防承包商（莱茵金属）遭恶意软件攻击德国国防承包商（莱茵金属）遭恶意软件攻击PAGE11PAGE112019年9月25日，Rheinmetall宣布受到恶意软件攻击，攻击于9月24日晚上开始，攻击涉及一个未知的恶意软件。该公司表示，该事件导致该恶意软件进入IT系统的工厂受到“重大破坏”。影响范围：汽车系统；造成的损失：从攻击中恢复需要花费两到四周的时间）至400万欧元（440万美元）存在存在PAGE12PAGE12严 病毒问题突出 严重杀毒软件病毒库严重过期；大部分工控系统带毒运行；题病毒进行隔离。软 软件滥用 软件安装有多种无线网卡驱动；、向日葵等远程管控问软件，结合无线网卡，引入巨大题安全风险；存在存在PAGEPAGE14的安安端设备；生产网办公网共用网络设备和终外设使用无管控，存在U盘滥用、题手机随意接入问题；其04汽车制造行业网络安全解决方案04总体方案设计

技术解决思路

等保方案建设PAGE16PAGE16险评寻风险评估分析是对汽车制造企业生产网络内各资产进症面临的生产安全风险和网络安全风险。症结点结点工控系统资产梳理，分析价值；识别已有的安全防护措施；资产脆弱性及面临的威胁分析；安全风险综合分析。PAGE17PAGE17基于“白环境”的“纵深防御安全防护技术体系”网络分区分域强化安全区域边界访问控制能力提高网络内、外入侵和恶意代码防御能力提高违规内联、外联检测能力提高系统内主机病毒防范能力提高主机身份认证能力，采用双因子认证机制一键式安全加固，提高主机安全基线关闭不必要的服务端口，提高入侵防范能力利用访问控制策略，保证业务配置文件不被篡改提高日志审计能力，审计日志至少保存6个月加强运维人员行为管理建立统一安全管理中心，强化集中管控能力技术手段辅助业主完成定期自检汽车制造行业典型网络架构DMZ

防御理念，构建安全防御体系。181.汽车制造网络分区分域1.汽车制造网络分区分域19191.汽车制造网络分区分域1.汽车制造网络分区分域20生产网安全域20生产网安全域1.汽车制造网络分区分域1.汽车制造网络分区分域21全域MES安全域21全域MES安全域1.汽车制造网络分区分域1.汽车制造网络分区分域22全域MES安全域22全域MES安全域DMZ安全域1.汽车制造网络分区分域1.汽车制造网络分区分域23生产线安全域5生产线安全域423生产线安全域5生产线安全域4生产线安全域3生产线安全域1生产线安全域2全域MES安全域DMZ安全域2.强化安全区域边界访问控制能力2.强化安全区域边界访问控制能力DMZACL+应用级白名单工控协议合规性验证协议功能码、点值控制控制逻辑合理性验证ACL+应用级白名单工控协议合规性验证协议功能码、点值控制控制逻辑合理性验证全面的web防护强大的应用识别能力24工业防火墙 工业互联防火墙243.提高网络内、外入侵和恶意代码防御能力3.提高网络内、外入侵和恶意代码防御能力DMZ

边界基于白名单应用级的访问控制关键网络节点基于流量的未知威胁监测生产核心网络对APT攻击的实时检测25网络威胁感知系统25工控监测与审计系统

入侵检测系统4.提高违规内联、外联检测能力4.提高违规内联、外联检测能力DMZ关闭不必要端口关闭不必要端口交换机IP/MAC绑定开启非法外联检测专用准入设备，开启准入认证26工控主机卫士 网络准入控制系统265.提高系统内主机病毒防范能力5.提高系统内主机病毒防范能力切断恶意代码/病毒通过U盘摆渡到生产系统内部的途径文件级白名单，防止恶意代码/病毒/非法软件执行以及时更新、打补丁件存在短板杀毒软件或将业务软件误识为病毒而删除27工控主机卫士276.提高主机身份认证能力,采用双因子认证6.提高主机身份认证能力,采用双因子认证关键服务器采用双因子认证静态密码+UKEY28工控主机卫士287.一键式安全加固，提高主机安全基线7.一键式安全加固，提高主机安全基线一键安全加固内置42条安全基线规则一键式配置，降低手动加固成本29工控主机卫士298.关闭不必要的服务端口,提高入侵防范能力8.关闭不必要的服务端口,提高入侵防范能力内置防火墙功能，关闭不必要端口工控主机卫士309.利用访问控制策略,保证配置文件不被篡改9.利用访问控制策略,保证配置文件不被篡改3131基于标记的强制访问控制自主访问控制工控主机卫士10.提高日志审计能力,日志至少保存6个月10.提高日志审计能力,日志至少保存6个月泛化多种类设备（主机、网络、安全）日志快速准确的识别安全事件，发现违规行为32日志审计与分析系统3211.加强运维人员行为管理11.加强运维人员行为管理运维人员身份鉴别运维人员操作授权运维人员行为审计33安全运维管理系统3312.建立安全管理中心,强化集中管控能力12.建立安全管理中心,强化集中管控能力安全产品集中管理加密传输通道高度可视化双机热备，高度可靠34统一安全管理平台3413.技术手段辅助业主完成定期自检13.技术手段辅助业主完成定期自检漏洞扫描报告输出指导意见35工控漏洞扫描平台35集团工控安全态势感知集团工控安全态势感知集团态势资产态势处置态势

厂区态势威胁态势合规态势36生产安全集中监测平台36汽车制造行业网络安全整体解决方案汽车制造行业网络安全整体解决方案生产安全集中监测平台DMZ

工业防火墙工业互联防火墙工控安全监测与审计系统入侵检测系统工控主机卫士工控漏洞扫描平台安全运维管理系统37网络准入控制系统37管理要求制度安管理要求全 安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理管 略理 度度制 布度要求

岗位设置人员配置授权和审批沟通和合作审核和检查

人员录用人员离岗安全意识和培训外部访问人员

定级和备案自行软件开发外包软件开发工程实施

环境管理资产管理介质管理设备维护管理网络和系统安全管理恶意代码防范管理应用满足国家顶层设计要求。

系统交付等级测评服务商选择

38安全事件处理应急预案管理3805汽车制造行业典型案例分析05案例1.企业工控安全项目概述案例1.企业工控安全项目概述XXXX股份有限公司是一家集客车产品研发、制造与销售为一体的大型现代化制造企业。拥有底盘车架电泳、车身电泳、机器人喷涂等国际先进的客车电泳涂装生产线，其中控制器436套，品牌：SIEMENS、Beckhoff、Bihl+Wiedemann、PILZ、三菱Q系列、大族彼岸等。S7-1200Bihl+WiedemannPILZBeckhoff100%S7-300S7-1200Bihl+WiedemannPILZBeckhoff100%S7-300西门子PLC系统100%三菱Q系列欧姆龙PLC西门子S7-200台达99%三菱Q系列西门子S7-200CN松下100%40制件车间 涂装车间 底盘车间 承装车间40案例1.企业工控安全项目概述案例1.企业工控安全项目概述操作系统XXXX股份有限公司是一家集客车产品研发、制造与销售为一体的大型现代化制造企业。拥有底盘车架电泳、车身电泳、机器人喷涂等国际先进的客车电泳涂装生产线，其中控制器436套，品牌：SIEMENS、Beckhoff、Bihl+Wiedemann、PILZ、三菱Q系列、大族彼岸等。操作系统控制设备41%45%14%5%2%15%

21%

43%WinXP Win732 Win7Win2000 Win2003

西门子 三菱 欧姆龙41台达 松下 其他41案例1.项目目标及范围案例1.项目目标及范围PAGE42PAGE42目标：联合设备处对工控系统设备选型、建设、运行各阶段进行安全风险管控，以达到：避免工控设备被攻击或入侵办公网络；防止工控设备成为信息外泄的入口；符合国家相关安全标准。现场调研及风险评估开展XX智能制造企业工控系统进行现场调研，并进行全面安全评估，现场调研及风险评估开展XX智能制造企业工控系统进行现场调研，并进行全面安全评估，改进建议。安全攻防演练搭建XXXX企业的工控网络模型，并将安全软件及设备接入该网络。根据风险评估中识别的风险进行模拟威胁攻击进行攻防演示。方案整体设计根据前2项工作模块的成防护方案的设计规划。防护方案落地实施覆盖XXXX厂区各车间工控系统，威努特技术服务团队根据安全防护方案进行落地实施。案例1.项目实施范围案例1.项目实施范围PAGE43PAGE43一、工控安全软件部署序号内容说明数量1联网工控设备xx车间3xx车间3xx车间3xx车间11xx车间312非联网工控设备全厂350二、防火墙安装部署序号内容说明数量1各厂区工控网络接入各车间4三、管理平台安装部署序号内容说明数量1部署安全管理平台统一管理各厂区部署的工控安全设备1案例1.测试环节-POC测试案例1.测试环节-POC测试PAGEPAGE44测试目的：验证安全产品在用户的实际工业环境中的功能满足项、对工业控制系统的影响等。 在线测试 离线测试 案例1.POC测试-测试结论案例1.POC测试-测试结论4545案例1.攻防演练环节案例1.攻防演练环节PAGE46PAGE46目的：识别工控网络中的潜在威胁，针对这些威胁，采取相应的防护措施，从而保护工业现场，同时提高工作人员的安全意识。步骤：步骤：接入该网络；些威胁；进行攻防演示。案例1.项目方案案例1.项目方案PAGE47PAGE47部分网络拓扑简图

统一安全管理平台工业防火墙工控主机卫士案例2.某汽车制造厂-现场调研案例2.某汽车制造厂-现场调研PAGE48PAGE48 案例2.某汽车制造厂-应急响应案例2.某汽车制造厂-应急响应PAGE50PAGE50背景该工厂总装车间工控机导致设备蓝屏，产线停台9背景该工厂总装车间工控机导致设备蓝屏，产线停台9停台时间累积80分钟以上，涉及光标机、检车线等多条产线业务。基于保证正常生产任