行業概述
　　高端制造業是指制造業不斷吸收電子信息、計算機、機械、材料以及現代管理技術等方面的高新技術成果，并將這些先進制造技術綜合應用于工業產品的研發設計、生產制造、在線檢測、營銷服務和管理的全過程，實現優質、高效、低耗、清潔、靈活生產，即實現信息化、自動化、智能化生產，取得很好經濟收益和市場效果的制造業。

　　半導體行業特點
　　半導體集成電路以其極高的產品附加值成為高端制造行業的典型代表。集成電路制造的過程就是硅的附加值快速增長的過程，集成電路的制造是一個復雜且耗時的精細流水線生產過程。首先要利用設計自動化軟件進行電路設計，然后將集成電路設計的版圖轉印到石英玻璃上的鉻膜層形成光刻板或倍縮光刻板；另一方面，由石英砂提煉出的初級硅經過純化后拉成單晶硅棒，然后切片做成晶圓。晶圓經過邊緣化和表面處理，再與光刻板/倍縮光刻板一起送到半導體制造廠制造集成電路芯片。整條工藝流程對生產設備可靠性要求極高。例如，一個典型的 12 寸原始硅片，價格約 120 美元，經過約 500~800 個工藝步驟，加工 40~60 天后，其價值能提高到約 3000 美元；假定一個芯片制造廠的月產能40000 片~100000 片，其月產出可以達到 1.2 億~3 億美元，甚至更高。因此，一個穩定運行的芯片制造廠可以說稱之為"印鈔機"也不為過。反之，如果芯片生產線出現任何問題，如停電、網絡中斷、感染病毒、工藝流程等，即使幾個小時的停產，也會給企業自身及其上下游企業帶來巨大的損失。
　　安全風險點
　　這次的臺積電三大生產基地停擺事件，目前臺積電方面已表示預估這起事件沖擊第三季營收約百分之三，并且公布了病毒感染的原因：新機臺在安裝軟件的過程中操作失誤，因此病毒在新機臺連接到公司內部網絡的時候發生了病毒擴散的情況。
　　在當前工業互聯網的大形勢下，高端制造業的生產控制網絡不再像人們傳統觀念中與互聯網完全隔離，隨著更多更先進的生產管理系統的上線，越來越多的無線終端的接入，并且在工業4.0的大形勢下更多的生產數據需要被采集到管理辦公網絡，企業的生產控制網暴露的風險點越來越多：
　　1、目前絕大多數的CNC設備依賴國外品牌，第三方運維人員（尤其是國外的技術人員）在進行現場或遠程運維時可能會泄露重要生產數據或NC文件。
　　2、生產管理網的DNC服務器在從生產控制網中采集生產數據時，使得生產控制網存在被惡意攻擊、感染病毒的風險。
　　3、未對工業控制網絡區域間進行隔離、惡意代碼監測、異常監測、 訪問控制等一系列的防護措施，很容易一點發生病毒或攻擊，影響全部車間甚至全公司。
　　4、未統一對設備及日志進行統一管理，使得相關工控系統事件不能統一收集、分析，不易關聯分析設備間的事件和日志，難于及時發現復 雜的問題。
　　5、在進行日常運維及流程工業調整時多使用移動介質將NC文件導入高精尖數控設備或接入網絡，會導致機臺感染病毒或惡意代碼并且擴散.
　　6、未對操作站主機及服務器進行合規的安全配置，使得暴露的終端被攻擊成功的可能性很高。
　　7、逐漸增加的無線接入點缺少認證控制措施。
　　8、管理制度上的缺失及難于管理，缺乏相應的安全責任人，供應商、運維服務商管理不嚴格，缺乏安全意識等。
　　解決方案
　　在《工業控制系統信息安全防護指南》及一系列等級保護相關標準的指導下，面對高端制造行業的嚴峻安全現狀，天地和興推出高端制造業的工控信息安全整體解決方案，幫助制造業企業提升自身的安全防護能力、建立安全可控的監管手段、完善可視可量化的安全評估考核體系，保障生產業務環境安全可靠，持續提升工控安全監管能力。
　　方案架構：
　　通過工業防火墻、主機防護系統、入侵檢測、工控威脅檢測、工控安全審計、賬號管理及運維審計系統、工控安全監管與分析平臺、工控安全檢查工具箱等工控安全專用產品，實現生產控制網的安全隔離、邊界防護、訪問控制、入侵防范、APT攻擊防范、安全審計、集中管控、主機安全等，架構圖如下：

　　邊界防護：
　　1、滿足合規性要求《工業控制系統信息安全防護指南》第三項"邊界安全防護"的技術要求等"；
　　2、采用專門針對工控系統的專業數據隔離防護產品來進行邊界防護，能夠深度解析工業通信協議，并且對于利用工控協議漏洞、工控系統漏洞進行滲透攻擊的行為進行實時攔截和告警；
　　3、對于未授權的接入與訪問能夠在域間鏈路上進行杜絕；
　　4、能夠對非授權設備私自聯到網絡的行為進行檢查和阻斷；
　　入侵檢測：
　　1、滿足合規性要求（生產控制系統可以統一部署一套網絡入侵檢測系統，應當合理設置檢測規則，檢測發現隱藏于網絡邊界正常信息中的入侵行為，分析潛在威脅并進行安全審計）；
　　2、實時監測網絡中的病毒、蠕蟲、木馬以及各類威脅引起的攻擊、掃描、傳輸等事件，并告警提示；
　　3、通過溯源其攻擊源、攻擊目標、攻擊路徑，對網內受影響的風險節點進行精確定位，鎖定IP和MAC地址，協助用戶對事件進行快速處理；
　　4、從事件時間、事件類型、事件風險、事件危害等多個維度對監測到的安全事件進行統計分析；
　　安全審計：
　　1、滿足合規性要求（生產控制網的監控系統應當具備安全審計功能，能夠對操作系統、數據庫、業務應用的重要操作進行記錄、分析）；
　　2、實時監測網絡中的流量信息、人員操作信息、工控協議信息等進行分析，并告警提示；
　　3、實時監測網絡中的誤操作、違規行為、非法設備接入等異常行為，并告警提示；
　　4、提供全程的行為審計和事件還原能力，為電廠安全管理人員提供高效的安全事件追溯功能；
　　APT攻擊及惡意代碼防范：
　　1、滿足合規性要求（應在網絡邊界處對惡意代碼進行檢測和清除、應維護惡意代碼庫的升級和檢測系統的更新）；
　　2、對網絡整體進行安全檢測與監控，發現各類已知與未知威脅，并進行統計分析，綜合展現APT攻擊信息、威脅類型、分布范圍、源頭、趨勢等信息，展現整體網絡安全態勢；
　　3、在網絡邊界、主機邊界布防，形成多層安全部署結構，對已知威脅（已知惡意行為、已知惡意代碼）和可信對象進行過濾；
　　4、擁有高威脅感知，可自動甄別網絡訪問威脅行為；
　　主機安全加固：
　　1、滿足合規性要求《工業控制系統信息安全防護指南》第一項"安全軟件選擇和管理"的技術要求等）；
　　2、對操作系統中安裝的工控組態監控軟件的應用程序進行白名單注冊、登記和標識，對于修改文件內容和應用進程的行為進行實時攔截和審計；
　　3、對電廠操作員站和工程師站的上位機USB等外設接口使用技術手段進行有效的安全管理；
　　4、提供硬件的安全秘鑰對管理員的身份進行雙重審核，達到訪問控制的效果（雙因子認證）；
　　身份認證與操作審計：
　　1、滿足合規性要求（信息監控系統等業務系統應當逐步采用用戶數字證書，對用戶登錄應用系統、訪問系統資源等操作進行身份認證、提供登錄失敗處理功能，根據身份與權限進行訪問控制，并且對操作行為進行安全審計）；
　　2、接入認證授權，支持對終端用戶的身份鑒別，確保只有合法的終端用戶才能使用終端計算機；
　　3、終端使用控制，避免不符合安全策略和安全規定的終端計算機進入內部網絡；
　　4、終端數據安全，按照相應的授權級別和終端安全管理策略完成對終端授權用戶的操作行為控制和文件加密管理；
　　5、終端安全審計，統一策略配置與下發、集中管理與審計；
　　綜合安全管理：
　　1、滿足合規性要求（對工控系統的安全策略以及計算環境、應用區域邊界和通信網絡上的安全機制實現統一管理的平臺。在安全管理中心內部又分為系統資源管理、安全控制和審計三部分。可信管理對關鍵資源信息度量策略和基準庫進行管理。在一級可信/安全管理中心實現了多級互聯）；
　　2、實現對工控網絡中的安全設備（主機防護系統、安全審計系統、工控防火墻等）實施集中管理、策略下發等功能；
　　3、實施監控，通過流量探針可以獲取全網的流量態勢，分析業務主機的流量占用比率，系統自動建立動態基線，發現異常的主機流量；
　　4、對工控網絡中的安全事件日志、會話報文日志、系統事件日志等進行匯總、關聯分析并形成告警；
　　方案價值
　　1、以工控信息安全產品為方案核心的整體解決方案，適應工控系統安全防護在穩定性與機密性的共同需求。
　　2、方案中所有信息安全產品為天地和興自主研發，自主可控，安全產品聯動安全性更高，可提供定制化的功能開發，產品不斷迭代升級。
　　3、在提供windows工控機進行白名單機制防病毒功能外，可提供周期性人工加固和Linux服務器安全加固產品技術方案。
　　4、與同行業競品分析，增加工控威脅檢測系統對未知威脅和APT攻擊進行有效應對，滿足等保三級網絡與通信安全新增8.1.2.5入侵防范)應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是未知的新型網絡攻擊的檢測與分析。
　　5、統一品牌，工控安全管控平臺可對所有安全產品進行集中管控和分析，滿足等保三級網絡與通信安全新增8.1.2.8集中管控的要求。
　　結語
　　工控行業的網絡架構以及業務形態在不斷發展的同時，工業企業自身應該持續提升新興威脅的對抗能力。傳統的基于滿足合規性的防護體系，在對于勒索軟件等新興威脅在發現、檢測、處理上已經呈現出力不從心的狀態。而通過對網絡邊界、安全體系以及安全管理等多方面進行有計劃、周期性的風險評估，可有效提升企業對抗新興威脅的能力。對如何開展有效的風險評估以及安全體系的建設，請關注天地和興后續分享。