比亚迪是一家致力于“用技术创新，满足人们对美好生活的向往”的高新技术企业。比亚迪成立于1995年2月，经过24年的高速发展，已由成立之初的20人壮大到今天的24万人，并在全球设立30多个工业园，实现全球六大洲的战略布局。比亚迪业务布局涵盖电子、汽车、新能源和轨道交通等领域，并在这些领域发挥着举足轻重的作用，从能源的获取、存储，再到应用，全方位构建零排放的新能源整体解决方案。比亚迪是香港和深圳上市公司，营业额和总市值均超过千亿元。
在工业信息安全领域，以集团管控为核心，通过办公自动化、财务一体化、内控风险管控等管理信息系统为主要建设对象，提高办公效率、实现全集团有效监控。公司对两化融合工作进行系统、全面的整体规划，按照“统一规划、分布实施”的总体实施策略，制定了分阶段的两化融合可实施路线。通过合理规划和有序实施，构建出行业领先的工程机械全产业链信息化业务管理平台，实现了技术融合、产品融合、业务融合与资源融合，取得了在产品全生命周期集成应用、业务模式创新等方面的系列成果。

 

一、项目概况

1. 项目背景
由于工业控制系统（以下简称工控系统）上位机操作系统老旧且长期运行未升级，存在很多的安全隐患，病毒问题一直是威胁工控系统主机安全的一个棘手问题，从震网病毒到2017年末的工业破坏者，这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动，一旦得手就会带来巨大的危害。

2. 项目简介
制造产线遭受病毒侵袭，生产制造产线几台上位机莫名出现频繁蓝屏死机现象，并迅速蔓延至整个生产园区内大部分上位机，产线被迫停止生产。企业日产值超千万，停产直接损失严重，信息安全部门采取了若干紧急处理措施，防止病毒扩散的同事，尽快解决问题恢复生产，同时寻求安全厂商共同制定长期有效的安全解决方案。

3. 项目目标
解决生产厂区感染WannaCry病毒带来的蓝屏重启问题，提升上位机的主动防御能力，实现上位机从启动、加载到持续运行过程的全生命周期安全保障。

二、项目实施概况

1. 安全问题研判
工业现场的上位机大多老旧，服役10年以上仍在运行的主机也很常见，而工业现场的相对封闭性，使得补丁升级、病毒处理变成一件很复杂的事情。工业生产的稳定性往往会面临上位机脆弱性的挑战，一旦感染病毒就会造成巨大影响。
企业生产网络与办公网络连通，未部署安全防护措施进行隔离；生产制造产线上位机运行异常，重复重启或蓝屏，初步断定为病毒入侵。
由于上位机操作系统都是老旧的Windows XP，感染病毒之后频繁蓝屏重启，无法在问题终端采样进行病毒分析。在生产网络核心交换机位置旁路部署工业安全检查评估系统对生产网络数据流量进行检测，基于安全大数据能力生成多维度海量恶意威胁情报数据库，对工业控制网络进行自动化数据采集与关联分析，识别网络中存在的各种安全威胁。借助工业安全检查评估系统的强大检测分析能力，安服人员很快判定该上位机感染了“永恒之蓝”蠕虫病毒（也称为WannaCry）。
比亚迪生产环境有如下复杂的特性：
（1）场景复杂性
比亚迪有IT、汽车、新能源和轨道交通四大产业，每个产业群都有多个生产工厂、车间，如：电池、电子、手机、PAD、笔记本电脑、汽车电子、汽车零配件、发动机、动力电池、储能设备、云轨、云巴、轨道通信等多达上百个大大小小的车间。
（2）应用复杂性
公司生产应用系统、软件复杂多样，MES、PLC、DCS等等，不同的产业群、产品车间，都有不同的产品测试、检测、调校、数据采集、分析等各类生产应用。
（3）网络复杂性
管理层面已规划办公网络、生产网络、无线网络、有线网络、独立局域网络，但很多生产网络环境并没有严格隔离，网络情况复杂。
（4）适配复杂性
各种IT、汽车、储能、轨道交通车间的检测机、测试板卡、数据采集卡、烧录器、U盘、SD卡、扫描器等外设设备的适配。
（5）实施复杂性
集团产业多样、工业园分布全球各地，生产车间业务繁忙，给予的时间、人员协调有限，必须要准备充分，根据不同生产线准备对应的应急响应措施。

在信息安全技术方面存在的问题主要表现在以下几个方面：

1. 系统网络未进行严格的安全划分，区域间未设置严格的访问控制措施；

2. 缺少信息安全风险监控技术，不能及时发现信息安全问题，出现问题后靠人员经验排除；

3. 操作系统安全配置薄弱，防病毒软件安装不全面；

4. 工程师缺少身份认证和接入控制，且权限很大；

5. 存在使用移动存储介质不规范问题，易引入病毒及黑客攻击程序；

6. 第三方运维生产系统无审计措施，不能追根溯源；

7. 生产上线前未进行信息安全测试，存在安全风险漏洞；

在信息安全管理方面存在的问题主要表现在以下几个方面：

1. 组织结构人员职责不完善，工控安全人员缺乏；

2. 生产信息安全管理制度和流程不够完善；

3. 应急响应机制不健全，需进一步提供安全事件应对能力；

4. 人员信息安全培训不足，人员安全意识有待提高；

5. 尚需完善第三方人员管理体制。

2. 对策与措施
安服人员发现上位机感染WannaCry病毒之后，为了避免上位机中数据被加密带来进一步的危害，紧急在生产网络中部署一台伪装病毒服务器，域名设定为病毒网站，并通过策略设置将生产网上位机DNS指向此伪装服务器，阻止了WannaCry病毒的后续影响。
企业生产园区占地范围很大，感染病毒的上位机几乎遍布各个园区，单纯依靠人力难以逐一定位问题终端。工业安全检查评估工具在此过程中发挥了巨大作用，不仅给出了感染病毒的准确研判，而且详细统计出所有问题终端的IP地址和MAC地址，结合企业提供的资产清单，安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
完成定位之后，安服人员第一时间关闭了网络和终端的445端口，避免病毒进一步扩散。经过现场细致排查沟通，确定以下信息：

（1）上位机硬件配置资源有限，无法安装杀毒软件；
（2）专用的生产软件对操作系统版本有严格限制，无法对操作系统进行打补丁操作；
（3）重装系统会导致专用软件授权失效，带来经济损失。
结合上述信息，安服人员只能对问题终端采取杀毒处理。为了避免杀毒过程中对上位机系统和数据造成影响，安服人员首先备份了问题终端系统及数据，然后用WannaCry病毒专杀工具进行杀毒处理，清除感染的病毒。

3. 具体应用场景和解决方案
为了避免处理完成的上位机再次感染病毒，安服人员在上位机上部署安装了工业主机安全防护软件，该软件基于轻量级“应用程序白名单”技术，能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线，放行正常的操作系统进程及专用工业软件，主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，为工业主机创建干净安全的运行环境。同时，针对可联网的上位机，通过部署网络版的工业主机安全防护软件进行分组管理、策略制定下发、终端软硬件资产管理、安全日志收集告警等，从而实现统一管理、配置和安全风险管控。

图1 工业主机安全防护部署架构图
 

4. 其他亮点

（1）工业专用的主机防护软件：
针对比亚迪工业主机复杂性特点，工业主机防护系统须进行老旧操作系统（如winXP）的兼容、比亚迪工业软件C15/MES系统、专用的电池软件等几十种工业软件的适配支持以及各类工业主机硬件的支持。

1. 比亚迪生产线上工控系统不允许在运行期间进行升级，白名单技术无需进行病毒库升级，能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线，并且白名单支持三种工作模式，告警、防护、关闭一键切换。

（2）工业主机“永恒之蓝”防御：

1. 针对比亚迪的“永恒之蓝”勒索病毒，白名单在防护模式下会放行正常的操作系统进程及专用工业软件，主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行，同时结合漏洞防御进行永恒之蓝的超前防御，可以形成关卡一样层层拦截模式。

2. 针对比亚迪生产线上通过U盘进行文件拷贝容易造成病毒传播的情况，工业主机安全防护可针对主机插入的USB移动存储进行权限管控，通过针对USB移动存储的硬件ID进行识别和匹配，对所允许的外设进行权限管控（读和读写），对不允许的外设进行禁用。从而，避免工业主机通过USB移动存储进行病毒传播和非法外设进行文件读取。

（3）工业资产全面可见

1. 针对比亚迪生产线中工业主机资产难以梳理，并依靠手工登记汇总的情况，工业主机防护具有强大的终端发现功能，通过定义网络IP段分组，对指定的网络分组进行周期性地发现与统计网络中的终端数量及类型。从而了解生产线上工业主机数量和工业主机安全防护系统终端的安装量，为比亚迪进行工业主机管理和安全运维提供有效的参考。

2. 比亚迪生产线中，当存在大量工业主机、设备时，尤其出现安全风险或问题时，需要一台一台主机和设备进行安全排查，工业主机防护具有软件化的控制中心，可以针对主机上客户端进行集中管理和安全风险分析，基于用户组织架构进行安全风险管理并可以进行终端功能进行单点维护和定制化。

三、下一步实施计划

1. 进行全面的资产排查，检查产线中是否还存在遗漏的未进行安全防护的工业主机。
2. 做好此次事件的总结，制定好工控应急响应计划和定期演练，避免再次出现病毒大规模扩散传播，及造成产线停产带来的严重经济损失。
3. 针对新购置和上线的机器进行安全防护措施，如上线前安装工业主机安全防护软件并进行白名单设置和U盘管控。

四、项目创新点和应用价值

1. 项目先进性及创新点
工业安全检查评估工具和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。工业主机安全防护软件基于轻量级“应用程序白名单”技术，以及基于ID的U盘管控技术，高稳定、低开销、无需升级库文件、网络版资产管理及安全风险管理等特点，真正贴合了工业企业的实际需求，操作简单的特点也符合生产技术人员的操作习惯。该方案能够适用于大部分工业控制系统，是一套成熟可靠的安全解决方案。 

2. 实施效果
针对比亚迪 “永恒之蓝”的安全问题，通过在全国各地园区生产线上共计部署17000多点工业主机安全防护软件，自部署以来运行稳定。通过工业主机安全防护软件，能够自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线，以及针对单个U盘的管控，为比亚迪工业主机创建安全的运行环境，让比亚迪信息基础设施运行的更安全、更可靠。
在比亚迪所有园区生产线中工业主机均部署了工业主机防护软件：

• 对生产线中裸奔的工业主机实现了安全防护，防止恶意程序攻击，保障生产稳定运行；

• 对生产线中工业主机进行了全面梳理，有利于实现资产统计和分析；

• 对生产线中的可联网工业主机进行全面风险监控和集中管理，能够在第一时间发现工业主机安全风险；

• 积攒了生产线中工业主机软件安装和生产之间的协调经验，有利于后续产线工业软件安装和处置。

3. 实施价值
（1）整体化的安全方案
从设备安全来看，从技术层面出发，全网终端形成了统一的防病毒体系，有效抵御病毒及木马的入侵，并结合终端管理软件对终端进行集中管理，安全策略集中部署、补丁下发控制、资产收集统计、终端行为控制与审计、流氓软件识别、安全控制等方面进行了整体部署。
从管理角度出发，工控态势感知、漏洞检测、安全审计和监测、功能的引入将实现对全网工控行为、漏洞、状态、安全趋势的完全管理。
从运维安全角度来看， 规范本行操作人员和第三方代维厂商的操作行为。审计和监测系统的部署，使得所有系统管理人员，第三方系统维护人员通过实施网络管理和服务器维护，对所有的操作行为，都做到可记录、可控制，审计人员通过定期对维护人员的操作审计，可以提高维护人员的操作规范性。

（2）针对性的区域隔离防护能力
在各个地区与总部之间分别部署安全防火墙，实现工业园级的病毒安全防护隔离，实现网络分层分区，边界访问控制。

（3）符合工控安全防护指南要求
方案针对《工业控制系统信息安全防护指南》所提出安全建议，对应实现的安全防护见表格中内容。

 
1、物理安全

2、网络安全

3、主机安全

 
4、工业控制设备安全

5、应用安全

6、数据安全