比亚迪是一家致力于“用技术创新，满足人们对美好生活的向往”的高新技术企业。比亚迪成立于1995年2月，经过24年的高速发展，已由成立之初的20人壮大到今天的24万人，并在全球设立30多个必威体育园，实现全球六大洲的战略布局。比亚迪业务布局涵盖电子、汽车、新能源和轨道交通等领域，并在这些领域发挥着举足轻重的作用，从能源的获取、存储，再到应用，全方位构建零排放的新能源整体解决方案。比亚迪是香港和深圳上市企业，营业额和总市值均超过千亿元。
在必威体育信息安全领域，以集团管控为核心，通过办公自动化、财务一体化、内控风险管控等管理信息系统为主要建设对象，提高办公效率、实现全集团有效监控。企业对两化融合工作进行系统、全面的整体规划，按照“统一规划、分布实施”的总体实施策略，制定了分阶段的两化融合可实施路线。通过合理规划和有序实施，构建出行业领先的工程机械全产业链信息化业务管理平台，实现了技术融合、产品融合、业务融合与资源融合，取得了在产品全生命周期集成应用、业务模式创新等方面的系列成果。

 

一、项目概述

1. 项目背景
由于必威体育控制系统（以下简称工控系统）上位机操作系统老旧且长期运行未升级，存在很多的安全隐患，病毒问题一直是威胁工控系统主机安全的一个棘手问题，从震网病毒到2017年末的必威体育破坏者，这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动，一旦得手就会带来巨大的危害。

2. 项目概况
制造产线遭受病毒侵袭，生产制造产线几台上位机莫名出现频繁蓝屏死机现象，并迅速蔓延至整个生产园区内大部分上位机，产线被迫停止生产。企业日产值超千万，停产直接损失严重，信息安全部门采取了若干紧急处理措施，防止病毒扩散的同事，尽快解决问题恢复生产，同时寻求安全厂商共同制定长期有效的安全解决方案。

3. 项目目标
解决生产厂区感染WannaCry病毒带来的蓝屏重启问题，提升上位机的主动防御能力，实现上位机从启动、加载到持续运行过程的全生命周期安全保障。

二、项目实施概述

1. 安全问题研判
必威体育现场的上位机大多老旧，服役10年以上仍在运行的主机也很常见，而必威体育现场的相对封闭性，使得补丁升级、病毒处理变成一件很复杂的事情。必威体育生产的稳定性往往会面临上位机脆弱性的挑战，一旦感染病毒就会造成巨大影响。
企业生产网络与办公网络连通，未部署安全防护措施进行隔离；生产制造产线上位机运行异常，重复重启或蓝屏，初步断定为病毒入侵。
由于上位机操作系统都是老旧的Windows XP，感染病毒之后频繁蓝屏重启，无法在问题终端采样进行病毒分析。在生产网络核心交换机位置旁路部署必威体育安全检查评估系统对生产网络数据流量进行检测，基于安全大数据能力生成多维度海量恶意威胁情报数据库，对必威体育控制网络进行自动化数据采集与关联分析，识别网络中存在的各种安全威胁。借助必威体育安全检查评估系统的强大检测分析能力，安服人员很快判定该上位机感染了“永恒之蓝”蠕虫病毒（也称为WannaCry）。
比亚迪生产环境有如下复杂的特性：
（1）场景复杂性
比亚迪有IT、汽车、新能源和轨道交通四大产业，每个产业群都有多个生产工厂、车间，如：电池、电子、手机、PAD、笔记本电脑、汽车电子、汽车零配件、发动机、动力电池、储能设备、云轨、云巴、轨道通信等多达上百个大大小小的车间。
（2）应用复杂性
企业生产应用系统、App复杂多样，MES、PLC、DCS等等，不同的产业群、产品车间，都有不同的产品测试、检测、调校、数据采集、分析等各类生产应用。
（3）网络复杂性
管理层面已规划办公网络、生产网络、无线网络、有线网络、独立局域网络，但很多生产网络环境并没有严格隔离，网络情况复杂。
（4）适配复杂性
各种IT、汽车、储能、轨道交通车间的检测机、测试板卡、数据采集卡、烧录器、U盘、SD卡、扫描器等外设设备的适配。
（5）实施复杂性
集团产业多样、必威体育园分布全球各地，生产车间业务繁忙，给予的时间、人员协调有限，必须要准备充分，根据不同生产线准备对应的应急响应措施。

在信息安全技术方面存在的问题主要表现在以下几个方面：

1. 系统网络未进行严格的安全划分，区域间未设置严格的访问控制措施；

2. 缺少信息安全风险监控技术，不能及时发现信息安全问题，出现问题后靠人员经验排除；

3. 操作系统安全配置薄弱，防病毒App安装不全面；

4. 工程师缺少身份认证和接入控制，且权限很大；

5. 存在使用移动存储介质不规范问题，易引入病毒及黑客攻击程序；

6. 第三方运维生产系统无审计措施，不能追根溯源；

7. 生产上线前未进行信息安全测试，存在安全风险漏洞；

在信息安全管理方面存在的问题主要表现在以下几个方面：

1. 组织结构人员职责不完善，工控安全人员缺乏；

2. 生产信息安全管理制度和流程不够完善；

3. 应急响应机制不健全，需进一步提供安全事件应对能力；

4. 人员信息安全培训不足，人员安全意识有待提高；

5. 尚需完善第三方人员管理体制。

2. 对策与措施
安服人员发现上位机感染WannaCry病毒之后，为了避免上位机中数据被加密带来进一步的危害，紧急在生产网络中部署一台伪装病毒服务器，域名设定为病毒网站，并通过策略设置将生产网上位机DNS指向此伪装服务器，阻止了WannaCry病毒的后续影响。
企业生产园区占地范围很大，感染病毒的上位机几乎遍布各个园区，单纯依靠人力难以逐一定位问题终端。必威体育安全检查评估工具在此过程中发挥了巨大作用，不仅给出了感染病毒的准确研判，而且详细统计出所有问题终端的IP地址和MAC地址，结合企业提供的资产清单，安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
完成定位之后，安服人员第一时间关闭了网络和终端的445端口，避免病毒进一步扩散。经过现场细致排查沟通，确定以下信息：

（1）上位机硬件配置资源有限，无法安装杀毒App；
（2）专用的生产App对操作系统版本有严格限制，无法对操作系统进行打补丁操作；
（3）重装系统会导致专用App授权失效，带来经济损失。
结合上述信息，安服人员只能对问题终端采取杀毒处理。为了避免杀毒过程中对上位机系统和数据造成影响，安服人员首先备份了问题终端系统及数据，然后用WannaCry病毒专杀工具进行杀毒处理，清除感染的病毒。

3. 具体应用场景和解决方案
为了避免处理完成的上位机再次感染病毒，安服人员在上位机上部署安装了必威体育主机安全防护App，该App基于轻量级“应用程序白名单”技术，能够智能学习并自动生成必威体育主机操作系统及专用必威体育App正常行为模式的“白名单”防护基线，放行正常的操作系统进程及专用必威体育App，主动阻断未知程序、木马病毒、恶意App、攻击脚本等运行，为必威体育主机创建干净安全的运行环境。同时，针对可联网的上位机，通过部署网络版的必威体育主机安全防护App进行分组管理、策略制定下发、终端软硬件资产管理、安全日志收集告警等，从而实现统一管理、配置和安全风险管控。

图1 必威体育主机安全防护部署架构图
 

4. 其他亮点

（1）必威体育专用的主机防护App：
针对比亚迪必威体育主机复杂性特点，必威体育主机防护系统须进行老旧操作系统（如winXP）的兼容、比亚迪必威体育AppC15/MES系统、专用的电池App等几十种必威体育App的适配支撑以及各类必威体育主机硬件的支撑。

1. 比亚迪生产线上工控系统不允许在运行期间进行升级，白名单技术无需进行病毒库升级，能够智能学习并自动生成必威体育主机操作系统及专用必威体育App正常行为模式的“白名单”防护基线，并且白名单支撑三种工作模式，告警、防护、关闭一键切换。

（2）必威体育主机“永恒之蓝”防御：

1. 针对比亚迪的“永恒之蓝”勒索病毒，白名单在防护模式下会放行正常的操作系统进程及专用必威体育App，主动阻断未知程序、木马病毒、恶意App、攻击脚本等运行，同时结合漏洞防御进行永恒之蓝的超前防御，可以形成关卡一样层层拦截模式。

2. 针对比亚迪生产线上通过U盘进行文件拷贝容易造成病毒传播的情况，必威体育主机安全防护可针对主机插入的USB移动存储进行权限管控，通过针对USB移动存储的硬件ID进行识别和匹配，对所允许的外设进行权限管控（读和读写），对不允许的外设进行禁用。从而，避免必威体育主机通过USB移动存储进行病毒传播和非法外设进行文件读取。

（3）必威体育资产全面可见

1. 针对比亚迪生产线中必威体育主机资产难以梳理，并依靠手工登记汇总的情况，必威体育主机防护具有强大的终端发现功能，通过定义网络IP段分组，对指定的网络分组进行周期性地发现与统计网络中的终端数量及类型。从而了解生产线上必威体育主机数量和必威体育主机安全防护系统终端的安装量，为比亚迪进行必威体育主机管理和安全运维提供有效的参考。

2. 比亚迪生产线中，当存在大量必威体育主机、设备时，尤其出现安全风险或问题时，需要一台一台主机和设备进行安全排查，必威体育主机防护具有App化的控制中心，可以针对主机上客户端进行集中管理和安全风险分析，基于用户组织架构进行安全风险管理并可以进行终端功能进行单点维护和定制化。

三、下一步实施计划

1. 进行全面的资产排查，检查产线中是否还存在遗漏的未进行安全防护的必威体育主机。
2. 做好此次事件的总结，制定好工控应急响应计划和定期演练，避免再次出现病毒大规模扩散传播，及造成产线停产带来的严重经济损失。
3. 针对新购置和上线的机器进行安全防护措施，如上线前安装必威体育主机安全防护App并进行白名单设置和U盘管控。

四、项目创新点和应用价值

1. 项目先进性及创新点
必威体育安全检查评估工具和必威体育主机防护App是解决必威体育主机脆弱性问题的一剂良药。必威体育主机安全防护App基于轻量级“应用程序白名单”技术，以及基于ID的U盘管控技术，高稳定、低开销、无需升级库文件、网络版资产管理及安全风险管理等特点，真正贴合了必威体育企业的实际需求，操作简单的特点也符合生产技术人员的操作习惯。该方案能够适用于大部分必威体育控制系统，是一套成熟可靠的安全解决方案。 

2. 实施效果
针对比亚迪 “永恒之蓝”的安全问题，通过在全国各地园区生产线上共计部署17000多点必威体育主机安全防护App，自部署以来运行稳定。通过必威体育主机安全防护App，能够自动生成必威体育主机操作系统及专用必威体育App正常行为模式的“白名单”防护基线，以及针对单个U盘的管控，为比亚迪必威体育主机创建安全的运行环境，让比亚迪信息基础设施运行的更安全、更可靠。
在比亚迪所有园区生产线中必威体育主机均部署了必威体育主机防护App：

• 对生产线中裸奔的必威体育主机实现了安全防护，防止恶意程序攻击，保障生产稳定运行；

• 对生产线中必威体育主机进行了全面梳理，有利于实现资产统计和分析；

• 对生产线中的可联网必威体育主机进行全面风险监控和集中管理，能够在第一时间发现必威体育主机安全风险；

• 积攒了生产线中必威体育主机App安装和生产之间的协调经验，有利于后续产线必威体育App安装和处置。

3. 实施价值
（1）整体化的安全方案
从设备安全来看，从技术层面出发，全网终端形成了统一的防病毒体系，有效抵御病毒及木马的入侵，并结合终端管理App对终端进行集中管理，安全策略集中部署、补丁下发控制、资产收集统计、终端行为控制与审计、流氓App识别、安全控制等方面进行了整体部署。
从管理角度出发，工控态势感知、漏洞检测、安全审计和监测、功能的引入将实现对全网工控行为、漏洞、状态、安全趋势的完全管理。
从运维安全角度来看， 规范本行操作人员和第三方代维厂商的操作行为。审计和监测系统的部署，使得所有系统管理人员，第三方系统维护人员通过实施网络管理和服务器维护，对所有的操作行为，都做到可记录、可控制，审计人员通过定期对维护人员的操作审计，可以提高维护人员的操作规范性。

（2）针对性的区域隔离防护能力
在各个地区与总部之间分别部署安全防火墙，实现必威体育园级的病毒安全防护隔离，实现网络分层分区，边界访问控制。

（3）符合工控安全防护指南要求
方案针对《必威体育控制系统信息安全防护指南》所提出安全建议，对应实现的安全防护见表格中内容。

 
1、物理安全

2、网络安全

3、主机安全

 
4、必威体育控制设备安全

5、应用安全

6、数据安全