工业信息安全应急处置解决方案.docx

工业信息安全应急处■解决方案比亚迪永恒之蓝”病毒应急处置和安全解决方案 在工业信息安全领域，以集团管控为核心，通过办公自动化、财务一体化、内控风险管控等管理信息系统为主要建设对象，提高办公效率、实现全集团有效监控。公司对两化融合工作进行系统、全面的整体规划，按照“统一规划、分布实施”的总体实施策略，制定了分阶段的两化融合可实施路线。通过合理规划和有序实施，构建出行业领先的工程机械全产业链信息化业务管理平台，实现了技术融合、产品融合、业务融合与资源融合，取得了在产品全生命周期集成应用、业务模式创新等方面的系列成果。 一、项目概况项目背景 由于工业控制系统（以下简称工控系统）上位机操作系统老旧且长期运行未升级，存在很多的安全隐患，病毒问题一直是威胁工控系统主机安全的一个棘手问题，从震网病毒到2017年末的工业破坏者，这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动，一旦得手就会带来巨大的危害。 项目简介 制造产线遭受病毒侵袭，生产制造产线几台上位机莫名出现频繁蓝屏死机现象，并迅速蔓延至整个生产园区内大部分上位机，产线被迫停止生产。企业日产值超千万，停产直接损失严重，信息安全部门采取了若干紧急处理措施，防止病毒扩散的同事，尽快解决问题恢复生产，同时寻求安全厂商共同制定长期有效的安全解决方案。 项目目标 解决生产厂区感染WannaCry病毒带来的蓝屏重启问题，提升上位机的主动防御能力，实现上位机从启动、加载到持续运行过程的全生命周期安全保障。 二、项目实施概况1.安全问题研判 工业现场的上位机大多老旧，服役10年以上仍在运行的主机也很常见，而工业现场的相对封闭性，使得补丁升级、病毒处理变成一件很复杂的事情。工姓产的稳定性往往会面临上位机脆弱性的挑战，一旦感染病毒就会造成巨大影响。 企业生产网络与办公网络连通，未部署安全防护措施进行隔离；生产制造产线上位机运行异常，重复重启或蓝屏，初步断定为病毒入侵。 由于上位机操作系统都是老旧的WindowsXP，感染病毒之后频繁蓝屏重启，无法在问题终端采样进行病毒分析。在生产网络核心交换机位置旁路部署工业安全检查评估系统对生产网络数据流量进行检测，基于安全大数据能力生成多维度 海量恶意威胁情报数据库，对工业控制网络进行自动化数据采集与关联分析，识别网络中存在的各种安全威胁。借助工业安全检查评估系统的强大检测分析能位服人员很快判定该上位机感染了“永恒之蓝”蠕虫病毒（也称为WannaCry）。 比亚迪生产环境有如下复杂的特性： （1）场景复杂性 比亚迪有IT、汽车、新能源和轨道交通四大产业，每个产业群都有多个生产工厂、车间，如：电池、电子、手机、PAD、笔记本电脑、汽车电子、汽车零配件、发动机、动力电池、储能设备、云轨、云巴、轨道通信等多达上百个大大小小的车间。 （2）应用复杂性 公司生产应用系统、软件复杂多样，MEgPLC、DCS等等，不同的产业群、产品车间，都有不同的产品测试、检测、调校、数据采集、分析等各类生产应用。 （3）网络复杂性 管理层面已规划办公网络、生产网络、无线网络、有线网络、独立局域网络，但很多生产网络环境并没有严格隔离，网络情况复杂。 （4）适配复杂性 各种IT、汽车、储能、轨道交通车间的检测机、测试板卡、数据采集卡、烧录器、U盘、SD卡、扫描器等外设设备的适配。 （5）实施复杂性 集团产业多样、工业园分布全球各地，生产车间业务繁忙，给予的时间、人员协调有限，必须要准备充分，根据不同生产线准备对应的应急响应措施。 在信息安全技术方面存在的问题主要表现在以下几个方面： （1）系统网络未进行严格的安全划分，区域间未设置严格的访问控制措施；（2）缺少信息安全风险监控技术，不能及时发现信息安全问题，出现问题后靠人员经验排除； （3）操作系统安全配置薄弱，防病毒软件安装不全面； （4）工程师缺少身份认证和接入控制，且权限很大； （5）存在使用移动存储介质不规范问题，易引入病毒及黑客攻击程序； （6）第三方运维生产系统无审计措施，不能追根溯源； （7）生产上线前未进行信息安全测试，存在安全风险漏洞； 在信息安全管理方面存在的问题主要表现在以下几个方面： （1）组织结构人员职责不完善，工控安全人员缺乏； （2）生产信息安全管理制度和流程不够完善； （3）应急响应机制不健全，需进一步提供安全事件应对能力； （4）人员信息安全培训不足，人员安全意识有待提高； （5）尚需完善第三方人员管理体制。 对策与措施安服人员发现上位机感染WannaCry病毒之后，为了避免上位机中数据被加密带来进一步的危害，紧急在生产网络中部署一台伪装病毒服务器，域名设定为病毒网站，并通过策略设置将生产网上位机DNS指向此伪装服务器，阻止了WannaCry病毒的后续影响。 企业生产园区占地范围很大，感染病毒的上位机几乎遍布各个