近年来,智能制造行业工业生产系统网络安全事件频发,大多数工业安全事件是以生产车间现场的工控主机为主要突破口,其中最为典型的就是WannaCry勒索病毒攻击事件, “永恒之蓝”勒索病毒攻击事件在全球爆发,大量的工业现场主机受到感染,导致工控主机频繁出现蓝屏死机、文件加密、产线被迫停产等问题。因此有必要对该企业生产车间的主机进行安全防护。
与此同时,《网络安全法》、等保2.0及工信部《工业控制系统信息安全防护指南》均对工业主机的恶意代码防范、外设管控、安全加固提出了明确要求。该企业亟需从“被动防御”升级为“主动免疫”的主机安全防护体系。
项目介绍
该企业是中国家电行业的领军企业之一,旗下拥有多个知名品牌,全球布局数十个生产基地,涵盖冰箱、洗衣机、空调、热水器等全品类家电产品。其生产车间自动化程度处于行业领先水平,大量采用工业机器人、智能AGV、自动化装配线等先进设备。
在企业内部安全自查中,发现工业主机面临以下突出问题:
1.病毒入侵频发:多个工厂的工程师站、操作员站曾感染“永恒之蓝”蠕虫变种及挖矿病毒,导致系统卡顿、PLC通信中断,某工厂因此造成数小时停产;
2.U盘滥用失控:运维人员随意使用个人U盘拷贝组态文件、工艺参数,部分U盘检出LNK蠕虫、BadUSB固件后门;
3.系统老旧脆弱:大量工控主机仍运行Windows XP、Windows 7等停更系统,无法安装常规杀毒软件,系统漏洞长期未修复;
4.运维操作无审计:第三方运维人员通过远程桌面或现场接入时,操作行为不受控,存在误删配置、植入后门风险;
5.安全事件难追溯:缺乏统一的主机安全日志平台,发生异常后无法快速定位问题主机和攻击路径。
项目目标
1.构建主机主动免疫能力:采用“白名单”机制,仅允许可信程序运行,从源头阻断病毒、木马、勒索软件的执行;
2.实现外设精细管控:对USB存储设备进行授权管理和病毒查杀,防止非法设备接入和敏感数据外泄;
3.强化主机安全加固:自动检测并修复系统弱口令、高危端口、不必要的服务,提升主机自身“免疫力”;
4.建立统一管理平台:对全国数十个基地、数千台工业主机的安全状态进行集中监控、策略下发、日志分析,降低运维复杂度;
5.满足合规要求:全面符合等保2.0“安全计算环境”及工信部防护指南对主机安全的各项要求。
解决方案
六方云作为国内工业互联网安全领域的专业厂商,依托“白名单+”核心技术,为该工业客户量身打造了六方云工业主机安全卫士软件(以下简称“工业卫士”)。该系统集“程序白名单、外设管控、安全加固、进程保护、统一管理”于一体,部署于工程师站、操作员站、各类工业主机上。
1.白名单主动防御:让未知病毒“跑不起来”
工业卫士摒弃传统杀毒软件的“黑名单”查杀模式,采用基于“白名单”的主动防御技术。其核心逻辑是:只有经过授权、确认为安全的可执行程序(.exe、.dll、.bat、.vbs等)才被允许运行,其他任何未知程序均被自动阻断。
一键建白:支持全盘扫描或指定目录扫描,自动学习工控主机上所有合法程序(包括组态软件、驱动程序、办公软件等),快速建立白名单基线;
自动“灰过白”:内置百万级黑名单特征库,对首次扫描无法判断的“灰名单”文件进行恶意代码检查,剔除可疑文件后自动加入白名单,确保白名单库不含恶意程序;
2.精细化外设管控:让USB接口“可用可控”
工业卫士提供多层级外设管控功能,彻底解决U盘滥用问题:
设备级准入:基于USB设备的硬件序列号(VID/PID)建立白名单,仅允许授权U盘接入;
读写权限分离:可针对不同U盘、不同用户设置“只读”“只写”“读写”“禁止”四种权限。例如,运维人员只能向U盘导出日志(写权限),但不能从U盘拷贝文件到工控主机(读权限),防止外部病毒导入;
3.一键安全加固:让老旧系统“强身健体”
针对工控主机普遍存在的系统老旧、配置脆弱问题,工业卫士提供自动化安全加固功能:
基线检查:支持30余项系统安全基线检查,包括弱口令、空密码、共享目录、匿名登录等;
一键加固:一键关闭高危端口(如135、137、139、445)、禁用不必要的服务(如Remote Registry)、启用审核策略;
网络探测防护:支持“外网探测”(检测主机是否违规连接互联网)和“内网探测”(监测是否异常访问关键服务器),防止一点感染、全网扩散;
4.集中管理平台:让数千主机“尽在掌握”
该企业在全国多个生产基地共有数千台工业主机,单机管理方式不可行。六方云部署了工业安全管理平台(园区级+集团级两级架构),实现:
统一策略下发:管理员可在平台侧批量配置白名单策略、外设管控策略、加固策略,一键下发至所有或指定主机;
实时状态监控:平台大屏展示所有主机的在线状态、白名单数量、拦截事件数、资源消耗等核心指标;
分级分权管理:集团平台可查看全局态势,各工厂平台仅管理本厂主机,实现“集中监管、分布运营”。
实施效果
该企业项目分两期实施,累计在13个生产基地的6000余台工业主机上部署了工业卫士,并建设了2个园区级管理平台和1个集团级安全管理中心。项目上线运行后,取得以下显著成效:
1.实现单点防护软件远程管理,在管理中心可实现对主机防护全部功能配置下发,提高全运维人员工作效;
2.实时掌握生产网络安全态势,帮助用户呈现整体区域资产网络拓扑,实时掌握企业安全态势,发生威胁攻击事件可及时响应处理;
3.减少蠕虫、木马病毒的攻击,特别是防止勒索病毒、挖矿病毒的攻击;
4.提升工控主机的安全稳定运行能力;
5.建立并持续完善生产厂区工控系统安全防护体系;
6.满足现行及未来监管部门在信息安全层面上的硬性要求。
结语
工业主机是智能制造时代的“指挥中枢”,其安全性直接决定生产线的连续性与产品质量。六方云工业主机卫士软件,以“白名单+”主动防御技术为核心,帮助用户从“被动查杀”走向“主动免疫”,让病毒木马“跑不起来”,让U盘管控“可用可控”,让老旧系统“强身健体”,让数千主机“尽在掌握”。
在工业互联网与智能制造深度融合的今天,六方云将持续深耕工业主机安全领域,为智能制造行业提供“业务零影响、安全无死角”的主机安全解决方案。
