数字经济时代，数据已成为继土地、劳动力、资本、技术第五大关键生产要素；数据价值日益凸显，数据安全问题愈发突出。近年来，全球制造行业发生了几起显著的网络安全事件，这些事件对运营、财务稳定性和数据完整性造成了重大影响。以下是部分制造行业网络安全事件汇总：

勒索软件攻击已成为制造行业面临的主要网络安全威胁之一。攻击者通过加密企业数据，要求支付赎金才能恢复数据，给企业带来了巨大的财务压力和数据安全风险。勒索软件的传播速度快、影响范围广，已经成为全球性难题。

以网络钓鱼攻击为代表的社会工程攻击是指利用人们的社交工作方式和心理弱点，通过欺骗和欺诈手段获取信息或实施恶意行为的攻击方式。在2023年，社会工程和网络钓鱼攻击呈现高度个性化和定制化、社交媒体广泛利用和多渠道攻击等发展特点，是威胁现代企业数字化系统和网络的主要风险挑战之一。

部分制造企业在网络安全管理上存在漏洞，内部员工安全意识薄弱，安全防护措施不够完善，导致网络安全事件频发。例如，一些企业未能及时更新安全补丁，系统存在安全漏洞，导致数据安全存储与使用存在重大安全隐患。

某制造厂是一家致力于锂离子电池核心材料的研发、生产和销售的国家高新技术企业，其核心产品是纳米磷酸铁锂，广泛应用于新能源汽车、储能系统等领域，在云南一市建有大型研发和生产基地。

该制造厂主要从事锂离子电池材料制备技术的开发，并生产和销售相关产品。公司经营范围包括：纳米粉体材料试剂、纳米粉体标准样品、纳米材料产品（均不含限制项目）的研发、生产、销售；纳米磷酸铁锂及副产品（不含危险化学品）的研发、生产、销售；纳米材料产品及技术进出口；矿产品（不含危险化学品）销售；货物进出口业务（国家禁止或涉及行政审批的货物除外）等。

烧结车间、101车间及配发料车间防尘措施不好，导致机柜内部落了大量灰尘；

烧结车间机房未设置人员进出管控措施；

101车间操作台跟DCS机柜之间未做物理隔离；

工业主机未安装防病毒软件；

USB外设未做管控；

未合理分类设置账户权限，按最小特权原则分配账户权限；

车间系统之间未做网络边界防护；

重要工业控制设备前端未部署具备工业协议深度包检测功能的防护设备，限制非法操作；

在工业控制网络内未部署网络安全监测设备，不能及时发现、报告并处理网络攻击及异常行为；

工业主机操作系统、PLC、应用系统等漏洞情况无法知晓；

未能保留工业控制系统的相关访问日志，并对操作过程进行安全审计；

运维过程没有审计及技术管控措施，无法做到事前鉴别、事中控制、事后追溯；

没有工控系统网络安全管理岗位；

缺少运维安全规范；

机房缺少安全管控措施，人员进出无记录。

参考GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》，结合制造厂当前在技术防护方面以及安全管理制度建设方面所面临的防护现状，现从安全区域边界、安全通信网络、安全计算环境、安全管理中心几个方面进行智能制造工控安全防护建设需求分析与总结：

办公网与生产网之间、生产网内部各区域边界之间，需求通过技术防护手段，实现区域边界的隔离与有效地访问控制，将攻击破坏限定在小的范围内，例如：防止非法攻击以办公网为跳板，对生产网进行攻击，从而影响生产系统正常运行。

针对生产网内部异常流量、用户异常行为以及安全事件，需通过技术手段，实现实时监测、记录，并及时做出告警提示。

在生产网和办公网边界、工业无线网与生产网边界，需通过技术手段，建立有效的网络攻击检测机制，实现对攻击源IP、攻击类型、攻击目标、攻击时间有效检测，针对入侵事件提供及时报警。

在生产网和办公网边界、生产网不同工艺网络边界，需通过技术手段，建立恶意代码防范机制，能够做到针对恶意代码的及时检测和清除。

需针对重要业务流量、重要设备等进行及时安全审计，有效解决部分设备自身的安全审计功能，不能实现事件的日期和时间、用户、事件类型、事件是否成功，以及日志存储达不到六个月的相关规定等问题，满足等保合规建设要求。

需根据控制系统中业务的重要性、实时性、业务的关联性、对现场受控设备的影响程度的要求等，逻辑划分不同的安全区域。

逻辑划分的不同安全区域之间需采取相应的技术隔离手段，实现区域之间的有效隔离与访问控制。

由于大部分工控主机、服务器身份认证机制简单，需采用技术手段，进行复杂度设置、密码更换周期未设置、登录失败处理的设置。

需通过技术手段，解决以下问题：

解决重要生产业务服务器身份认证方式单一的问题，满足相关合规性要求；

解决关键业务服务器内配置文件缺乏访问控制手段的问题，防止一旦遭到不法分子攻击或人员误操作，造成关键业务配置文件被破坏，避免影响生产的政策运行；

解决工控主机、服务器默认共享和高危端口，防止被不法分子利用；

解决工控主机、服务器缺乏有效的已知和未知病毒的防护问题，避免病毒入侵行为，做好工控主机以及服务器的安全防护；

解决工控主机、服务器缺乏有效的移动介质管控的问题，防止病毒、木马容易通过移动介质“摆渡”进入生产系统；

制造企业车间内相对封闭，现场工程师们基本靠移动U盘或光盘等与工控网中的设备上传或下载数据信息，而往往这些移动介质是没有通过专门的安全检查就被带入网路中使用，这时很容易将病毒木马带入终端，然后通过终端散播到网络的各个区域，最终致使整体生产网络瘫痪，所以必须加强移动介质的管控，避免非授权，非安全移动介质接入到业务系统内。

需按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》“一个中心”合规建设要求，建立统一的安全管理中心，实现对制造厂安全设备的集中管控。

结合制造厂自身生产系统网络安全防护情况，按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全区域边界防护要求，接下来将从边界防护、访问控制、入侵防范、安全审计等方面开展整体安全区域边界防护规划设计。

图1 制造厂整体设计拓扑

保护工控系统的边界安全、生产线的安全，在办公网和生产网边界部署工控安全隔离与信息交换系统，通过部署该设备来实现隔离与访问控制，允许生产车间和其他互联系统正常业务数据穿过该系统，禁止其他应用的连接请求，以保障生产车间工控系统的安全性。

在二期的数据中心采用工控安全隔离与信息交换系统将生产网络与企业办公网络进行物理隔离，并提供对OPC/MODBUS等多种主流协议的交换控制。

图2 工控安全隔离与信息交换系统部署位置

在各车间到2烧中控室核心交换机的链路上部署工业防火墙实现各车间之间的逻辑隔离，避免各区域内部存在的威胁通过核心交换机横向扩散，减少风险对其他业务系统的威胁。

图3 工业防火墙部署位置

威努特工业防火墙(TEG)基于国家和行业规范进行开发，能够对工业网络实施安全域划分、逻辑隔离和访问控制，满足行业政策法规对工控系统的安全防护技术要求，提升系统的合规性。工控系统自动化厂商在生产系统建设初期，关注的是工控系统功能实现，其外围控制设备的防护十分有限。通过工业防火墙可有效检测到智能制造生产系统网络中的通信异常和协议异常并加以阻止，进行各生产线之间的网络隔离、访问控制以及专用工控协议的控制，可以帮助避免PLC、DCS等被攻击造成重大生产事故、人员伤亡和社会影响。

图4 入侵防御系统部署位置

在二期的万兆交换机上旁路接入侵防御系统，用于实现对核心数据的入侵行为检测；入侵防御系统智能协议识别功能采用被动检测的方式从网络中采集数据包，并进行数据包的解析，与系统内置的协议特征、设备对象等进行智能匹配，帮助用户以最快捷的方式了解和掌握网络中的业务通信行为，发现网络中潜在的安全威胁。可有效解决当下智能制造生产网络中全协议识别问题。可有效解决当下智能制造生产网络中入侵行为检测的问题。

1、在1烧、2烧以及各PLC分站接入交换机上部署工业安全监测与审计系统，对各关键节点的流量进行深度分析，及时发现异常的网络通讯行为，并对威胁事件及时告警；如下图所示：

图5 烧结车间工业安全监测与审计系统部署位置

2、部署工控安全监测与审计系统采集128网和129网的流量进行深度分析，及时发现异常的网络通讯行为，并对威胁事件及时告警；如下图所示：

图6 某车间工业安全监测与审计系统部署位置

3、在配发料系统部署工控安全监测与审计系统采集配发料系统的流量进行深度分析，及时发现异常的网络通讯行为，并对威胁事件及时告警；如下图所示：

图7 配发料系统工业安全监测与审计系统部署位置

1、在1烧、2烧的服务器、操作站等主机上部署工控主机卫士，实现对生产环境内的主机安全加固。保障主机的运行安全，避免恶意代码对主机造成破坏并恶意扩散；如下图所示：

图8 烧结车间工业卫士部署位置

2、在101和102的服务器、操作站等主机上部署工控主机卫士，实现对生产环境内的主机安全加固。保障主机的运行安全，避免恶意代码对主机造成破坏并恶意扩散；如下图所示：

图9 101、102车间工业卫士部署位置

3、在配发料系统的服务器、操作站等主机上部署工控主机卫士，实现对生产环境内的主机安全加固。保障主机的运行安全，避免恶意代码对主机造成破坏并恶意扩散；如下图所示：

图10 配发料系统工业卫士部署位置

在资产管理、策略配置、账户管理、漏洞风险、日志分析、数据操作日志审计等方面提供统一安全管理平台、日志审计、安全运维管理系统和工控漏洞扫描平台等产品，实现集中分权的对安全策略、系统资源、审计操作进行管理。安全管理中心部署统一安全管理平台，对工控网络中网络安全设备进行统一管控；安全管理中心部署日志审计与分析系统，对工控网络中的网络设备、主机设备进行日志收集；在安全管理中心部署安全运维管理系统，实现资产管理、策略配置、账户管理；工控漏洞扫描平台，在安全管理中心部署工控漏洞扫描平台，针对网络设备、主机设备、PLC设备、应用系统等进行无损漏洞扫描。形成纵览全局的威胁管控能力，避免出现潜在风险遗漏、安全运营无序等问题，如下图所示：

图11 安全管理中心设备部署

基于客户对安全建设方案的认可，我们将威努特设备推荐该制造厂，为该厂的工控安全建设提供威努特方案。

根据工控安全建设方案，客户采购了安全设备有4台工业防火墙、1台威努特工控安全隔离与信息交换系统、8台工控安全监测与审计、1台入侵防御系统、1台威努特统一安全管理平台、1台威努特安全运维管理系统、1台威努特日志审计与分析系统、1台威努特工控漏洞扫描平台和50套工业主机安全防护软件，以及2台以太网交换机。

目前设备在客户现场正常稳定运行，保障客户现场工业生产系统的安全，在部署威努特安全设备之后，该制造厂未出现安全风险事件，同时为客户现场的运维提供便利。

依据网络安全法、等保2.0等国家及行业相关标准、规范和最佳实践，对智能制造生产系统进行网络安全建设，总体达到能够抵御黑客、病毒、恶意代码对生产系统的破坏和攻击，阻止内部人员的非法访问，抵御外部攻击，在遭受攻击和破坏后能及时恢复系统的能力，提高关键业务数据的可用性、机密性、完整性，满足等保合规建设要求。项目安全防护建设方案设计遵循《工业控制系统信息安全防护指南》《工业互联网企业网络安全分类分级指南》技术路线，可确保在提升制造厂生产系统安全防护能力的同时，满足合规建设要求。

项目安全防护建设方案整体符合国家相关政策和标准要求，实现了网络边界的逻辑隔离和边界防护，有效避免了来自外部网络的安全威胁：实现了对上位机、工程师站、各系统服务器系统的安全加固，通过白名单机制构建安全基线，防止病毒木马、恶意软件对系统的破坏；实现了对整体网络的入侵检测及工业流量的审计，及时发现网络或系统中是否存在违反安全策略的行为和被攻击的迹象；实现了对所有工控安全防护设备及系统的统一管理，降低了运行维护成本。有效检测工业网络中通信异常和协议异常并进行阻断，实现控制系统的安全网络隔离、访问控制以及专用工控协议的深度解析，避免关键控制设备被攻击，防止造成重大生产事故、人员伤亡和不良社会影响。

完全的自主知识产权——工业防火墙、工控安全监测与审计系统、工控主机卫士、统一安全管理平台具有完全自主知识产权，杜绝安全后门隐患；安全设备的统一管理——统一安全管理平台将工控网络中的所有安全设备和系统统一集中管理，减少管理人员的工作量，降低企业人力资源的投入，极大地提高企业工控安全管理的效率；全面体系化的方案——覆盖工业网络边界、主机、PLC及DCS工控设备、工控组态软件等全方位安全的纵深防护体系，覆盖检测、防护、响应、审计的全过程，不留安全死角；高度适配工控系统，深度理解工控协议和操作行为——工业场景方案实施无需改造现有工业网络和频繁升级工控系统；无需频繁升级安全特征库；安全设备符合工控环境标准，可靠实用；深度理解工控系统广泛使用数十种应用通信协议，更好地识别攻击行为。