如若推举能源革命和IT技术革命的集大成者，在过去的几年间，汽车产业可以说是当仁不让，舍我其谁。一方面是电动化时代，新能源车的产销率屡创新高，大有取代传统燃油车之势；另一方面，5G、V2X通信等技术正在赋能智能网联汽车行业加速发展，随着数字孪生、车载AI和自动驾驶等更加丰富的前沿技术互相融合，从设计生产环节，再到车内体验，汽车行业正在全面步入高效、安全和智能的数字化新纪元。

对于广大汽车制造企业而言，数字化技术的发展客观上会使得汽车本身与汽车安全体系之间的“代差”更加明显。以数据驱动的各类产品、技术和服务将使行业业态更加复杂和多样化，数据在跨组织，跨平台流动时大大增加了数据外泄，不当使用的安全合规风险，汽车制造企业可能遭遇的内外部攻击和数据窃取行为将无孔不入，如何进行有效的网络安全运营与管理是车企网络安全负责人需要去解决的问题。

汽车制造企业办公网和生产网的工控网络中通常网络设备、安全设备、终端服务器等资产繁多，由于对设备缺乏有效管理，不掌握资产运行状况、漏洞分布情况，加上终端本体安全防护能力弱，容易被不法分子利用，从而对企业生产控制系统和办公网造成重大危害。

经过多次项目实践，汽车制造企业通常在规划设计阶段缺乏对工业控制系统网络安全的统筹规划，后期靠网络安全事件驱动逐步建立的以“防护”为主的安全体系正面临极大挑战。在网络安全事件发生之前未能及时有效监测预警，网络安全工作处于被动应付状态，无法有效应对当前及未来以APT攻击为代表的威胁，给生产网络安全带来无法估量的风险，严重影响生产安全。

以态势分析与安全运营管理平台为技术基础，通过资产风险管理中心、溯源取证中心、事件处置中心、监控预警中心和威胁检测中心等构建平台中心层；以IOT基础设施/业务系统、安全能力资源池和安全威胁采集系统为基础支撑层，形成自上而下的整体安全态势感知、监测预警与处置。

依照“一个中心，三重防护”进行安全设计，通过“白环境”的安全防护技术思路对生产控制系统的通信网络、区域边界、计算环境进行安全加固，形成常态化、体系化、实战化的防护体系。

依托态势分析与安全运营管理平台构建贯穿智能制造生产系统全生命周期的安全服务体系与安全运营体系。

采用围绕“一个平台、两个体系”为主体的汽车智能制造一体化安全运营解决方案，搭建安全运营中心，通过对汽车智能制造生产系统的通信网络、区域边界、计算环境进行安全加固形成安全运营中心的能力资源池，从而形成可防御、可检测、可响应、可预测的全生命周期的防护体系；孵化出动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控的六大安全能力。

图 1 一体化安全运管中心技术架构

态势分析与安全运营管理平台技术思路是围绕“一个平台、两个体系”进行建设，一平台指的是安全运营平台；两体系指的是安全服务体系和安全运营体系。

• 一平台：安全运营平台以态势分析与安全运营管理平台为技术基础，核心包含平台中心层和基础支撑层。通过资产风险管理中心、溯源取证中心、事件处置中心、监控预警中心和威胁检测中心等五大中心构建平台中心层，以IOT基础设施/业务系统、安全能力资源池和安全威胁采集系统为基础支撑层，平台中心层与基础支撑层之间涉及策略下发、采集资产和威胁告警、威胁数据收集等交互，形成自上而下的整体安全态势感知和监测预警与处置。

• 两体系：安全服务体系和安全运营体系是安全运营中心之两翼，安全服务体系是对安全运营平台的服务保障，包含基础平台服务保障和智能制造生产系统生命周期安全服务保障；安全运营体系是安全运营平台发挥其功能特点的运营管理保障，包含运营组织、运维流程、日常运维机制、应急响应机制和管理制度流程。

图2 汽车制造生产系统安全运营平台结构图

首先在各厂区智能制造生产系统中依照“一个中心，三重防护”进行安全设计，通过“白环境”的安全防护技术思路对生产控制系统的通信网络、区域边界、计算环境进行安全加固，形成常态化、体系化、实战化的防护体系；其次在数据中心管理网搭建一套安全运营中心实现对多个厂区内的安全设备进行资源整合，形成一体化的安全运营。

在企业网核心交换区域旁路部署工控安全监测与审计系统，同时也作为安全通信网络层面态势分析与安全运营管理平台安全数据采集探针。

汽车生产网络中设备众多、网络通信复杂，用户很难全面地掌握网络中所必须的业务通信需求，给异常流量监测带来较大的困难。

异常通信行为检测问题

工控安全监测与审计系统智能学习模式，基于工控协议通信记录、智能学习通信关系、操作功能码和参数等方面对正常通信行为建模，对违规行为监测审计,包括工控网连接异常、工控协议异常、工控协议规约、工控关键事件监测审计。可有效解决当下汽车生产系统网络异常通信行为检测问题。

工控关键事件检测问题

工控安全监测与审计系统对工控系统的工程师站组态变更、操控指令变更、PLC下装、所有写操作、负载变更等关键事件进行实时监控，对异常关键事件进行检测。可有效解决当下汽车生产系统工控关键事件检测问题。

网络攻击检测问题

工控安全监测审计系统可对畸形报文进行检测，包括：Land攻击、Teardrop攻击、Ping of Death攻击。异常流量进行检测，包括：SYN Flood攻击、Ping Flood攻击、UDP Flood攻击等典型DDoS攻击。扫描防护，包括：TCP、UDP、ICMP和文件异常扫描检测。当检测到此类攻击时，监测审计系统发出告警。可有效解决当下汽车生产系统网络攻击检测问题。

图3 工控安全监测与审计系统三重固化（示例）

工控系统自动化厂商在生产系统建设初期，关注的是工控系统功能实现，其外围控制设备的防护十分有限。

通过工业防火墙可有效检测到汽车生产系统网络中的通信异常和协议异常并加以阻止，进行各生产线之间的网络隔离、访问控制以及专用工控协议的控制。

在生产车间边界部署工业控制系统专用工业防火墙实现对边界的安全逻辑隔离和安全区域边界数据信息采集和上报，在工业防火墙上启用ACL和OPC访问控制策略实现对现场应用层协议进行值域级的管控，同时通过工业防火墙自带的安全策略写保护功能，避免未授权人员私自登录防火墙修改安全策略，提高生产车间边界安全防护能力。

图4 ACL+OPC访问控制策略（示例）

图5 工业防火墙硬件安全锁（示例）

通常汽车制造企业现场系统类型较为复杂，汽车制造产线对网络可用性与主机稳定性要求极高，因此工控主机卫士与系统的兼容性至关重要，目前威努特已服务有10000余家用户，在智能制造领域具有丰富的实施经验，同时威努特与国内外近20家自动化厂商做过系统兼容性测试，能够保证安全软件与生产控制系统的兼容性。

此外，汽车制造现场业务服务器、工程师站及操作员站缺乏针对恶意代码的有效防范手段。虽然部署有杀毒软件，但是病毒库升级不及时，且杀毒软件黑名单机制的本质决定了其对于新病毒的防御是滞后的。但是工控主机卫士通过采用“白名单”机制以及外设管控与安全基线加固等方式，可以有效阻止勒索病毒以及外接设备病毒传播的问题，进而避免系统感染震网病毒、Flame、Havex、BlackEnergy等工控恶意代码。

同时作为工业主机安全信息采集Agent实现信息采集和上传，在态势分析与安全运营管理平台中可实时对企业主机资产进行监控与安全事件处理。

图6 文件白名单防护（示例）

汽车制造车间现场资产种类繁多，且无资产台账，无法集中管理工控系统网络资产、安全资产，无法实现网络结构可视化。

通过在安全运营中心部署统一安全管理平台可实现对工业主机卫士、工业防火墙、工控安全监测与审计系统等安全设备的集中管控，包括设备运行状态集中监测、安全策略统一下发，同时通过网络传输的方式将日志信息上传到态势分析与安全运营管理平台上，由态势分析与安全运营管理平台对各厂区智能制造生产系统的网络安全信息进行集中监控。

图7 统一安全管理平台集中管控（示例）

企业安全运营体系搭建主要通过从资产管理、策略管理、脆弱性管理、监测预警、响应处置、追踪溯源、合规评估等方面进行展开。结合威努特态势分析与安全运营管理平台能力分析，具体内容如下：

系统提供完善的资产分区管理功能，管理人员能够建立资产及分区信息，支持主机设备、网络设备、安全设备和工控设备等多种设备类型。资产管理功能提供了灵活得多场景管理方式，包括资产列表、资产拓扑、资产画像等多种信息组合方式。

图8 资产管理（示例）

资产发现

基于设备指纹的内网资产自动发现，能够发现内网中的各类主机设备、网络设备、安全设备、工控设备和物联网设备。

资产画像

全面刻画资产硬件、操作系统、应用程序、访问关系、安全策略、漏洞、告警信息。

资产评分

基于资产漏洞和告警信息，自动计算资产风险评分。

配置检查

基于等保要求自动对资产进行配置检查，提供配置检查报告。

态势分析与安全运营管理平台作为统一管理入口，实现多设备集中运维、安全策略集中配置和下发、日志集中收集和分析、设备操作集中审计。

图9策略管理（示例）

统一入口

支持防火墙、网闸、入侵检测、日志审计、数据库审计等设备单点登录。

策略管理

支持工业防火墙、工控安全监测与审计、工控主机卫士安全策略集中配置和下发。

设备维护

支持被管状态监测、接口监测、软件升级、授权管理、配置保存、故障定位。

日志收集

支持被管设备日志集中收集、解析、范化分析、告警。

行为审计

实时记录系统中各设备的登录、权限、账号、文件、外设、命令指令、配置变更等行为，对各类行为日志进行统计分析，筛选出可能存在风险的行为操作。

资产的脆弱性是网络安全中的短板，严重影响网络的安全性，脆弱性内容包括漏洞和不安全配置，不合规项属于脆弱性内容。提前获悉资产和业务中存在的脆弱性信息，进行修补或者做好应急预案，是网络安全运维的重点工作。

图10 脆弱性管理（示例）

漏扫联动

支持和我司的漏扫设备进行联动扫描，下发漏洞扫描任务，收集扫描结果，扫描结果和资产自动匹配。

合规评估

支持按照等保2.0规范要求检查网络和主机的配置，统计展示不合规项。

知识库关联

系统内置漏洞知识库和等保知识库，内置漏洞知识信息，等保知识信息，帮助用户更好地完成漏洞处置和合规处理。

漏洞处理分析

支持按照资产维度看漏洞，以及按照漏洞维度看资产，并记录漏洞处理的历史，方便跟踪定位。

对系统内资产和设备运行状态、网络链路、安全状况进行监测，通过综合分析研判生成预警信息。整合多维监测数据，构建多种数据模型，通过关联分析引擎基于流式处理框架进行分析，能够在大数据量级下对各维度安全数据进行实时关联分析，发现更复杂的、更具价值的威胁事件，并支持对输出结果进行回溯分析。

图11 监测预警（示例）

汇总整合

采集汇总系统内各类资产和设备的状态和运行数据、操作访问数据、威胁攻击数据，对数据进行过滤、去重、提取、范化、补全等操作，生成数据基础库，为进一步数据分析提供数据基础。

模型构建

基于数据基础库，构建各资产的违规操作模型、攻击入侵模型、异常行为模型，并支持根据数据检出情况，对模型进行调整优化。这些模型固化为各种基线或规则，违反基线和规则的行为数据被判断异常并进行预警。

关联分析

通过事件关联、时序关联、统计关联方法，对不同数据源、不同业务的安全事件进行关联分析，减少误告警和漏告警。系统预置了几百条规则，规则语义覆盖统计、基线、关联和序列等，规则中提供了详细的规则描述和处置建议，帮助用户理解威胁场景的危害、影响和检测方法，有效指导用户进行处置响应。

安全事件的复杂性决定了安全事件响应处置是一个复杂的流程，与安全运维人员能力、整个单位工作分工安排、工具平台的分析能力都有关系，这其中比较消耗时间和比较容易出错的环节集中在安全事件的分析和系统配合方面，运营平台通过以下环节提升响应处置效率：针对上述问题，运营平台在事前预测、事中分析取证、事后跟踪监督全过程多方面提升事件响应效率。

图12 响应处置（示例）

事件分级

内置事件规则库，根据事件的危害程度，自动对事件进行分级分类，根据内部规则模型自动筛选出真正影响业务的有价值的事件，屏蔽其他误报或对系统无影响事件。

分析取证

从单点事件出发，进行横向（网络维度）和纵向（时间维度）的关联分析，自动对事件原因、事件影响面、事件原始日志进行挖掘和分析，减少事件分析取证环节中浪费的时间。

系统工单

通过内部工单，向相关人员进行任务派发，将告警、漏洞、配置核查等统一跟踪确保每一个威胁处置过程都能及时有效地跟踪和记录，增强安全管理团队内部处置联动的协作能力，使威胁处置过程有据可循。

事前预测

基于历史事件趋势，预测未来时间窗口内事件趋势，便于提前防御准备，同时，内置分析模型自动对系统内海量安全事件进行关联度挖掘，排查出潜在的威胁行为，便于提前跟踪和整改。

事后分析

支持按照级别、类型、所在区域、处置情况展示系统告警的分布和处置情况。

支持对已经发生的安全事件进行回溯追查。系统采集记录了大量历史数据，包括网络拓扑结构、用户登录日志、网络会话日志、外设接入日志等。安全事件发生后，系统支持从海量数据中挖掘统计，查找相关的日志记录，对整个攻击事件进行溯源追踪。

图13 追踪溯源（示例）

攻击溯源

针对网络攻击事件，寻找相关日志，识别威胁来源，追查攻击源头、入侵路径和攻击时间轴。

攻击链分析

基于攻击链模型对网络攻击进度进行分析，攻击链包括扫描探测、渗透入侵、下载植入、横向扩散、命令控制和攻击生效共6个阶段，覆盖攻击的全生命周期。

系统支持对目标区域系统进行合规评测，系统通过采集主机终端的配置信息，结合国标或行标的安全要求，检查识别不合规配置，自动计算合规指数，并对多个区域或系统的合规指数进行对比分析。

图14 合规评估（示例）

评估标准

系统内置等保2.0知识库，参照等保2.0的国标要求，根据每个业务系统的等保级别，自动检查网络部署和资产的安全配置信息，判别合规性。部分不支持自动检查的项目支持人工手动确认。

评估分析

系统对多个区域对应的业务系统进行合规评估，综合多个业务系统的合规评分，进行横向和纵向对比分析。横向对比分析，即多个业务系统之间进行对比分析；纵向对比分析，即一个业务系统不同时间点的对比分析。

以内网资产为中心，对资产的部署分布、资产的访问关系、资产的运行状态、资产脆弱性、资产遭受的攻击、资产的运维操作等多个维度数据进行建模分析，通过可视化大屏直观全面地展示内网资产和安全情况。

整体安全态势可视化

态势分析与安全运营管理平台通过实时采集汽车生产系统工控网络区域边界、网络通信和计算环境的安全告警和日志，可以实时分析车间网络的安全态势；通过企业工控安全健康指数计算方法，可以实时计算汽车车间的工控安全健康指数，将车间网络的安全态势量化分析，通过将安全告警和网络拓扑中的设备资产相结合，可以实现车间整体的安全态势可视化。可有效解决当下车间整体安全态势可视化的问题。

图15 整体安全态势可视化示意图（示例）

资产态势可视化

态势分析与安全运营管理平台可以自动识别出高风险的资产，通过资产存在的漏洞和关联的安全事件告警，可以计算出资产的风险评分，通过资产的合规检查，获得资产的安全配置不合规项，可以计算出资产的合规评分。另外，还有资产的可疑互联记录分析和资产的行为统计分析。可有效解决当下车间资产态势可视化的问题。

图16 资产画像示意图（示例）

脆弱性态势可视化

态势分析与安全运营管理平台通过自动识别出车间生产系统资产中高、中、低危漏洞的数量，漏洞级别的分布，漏洞类型的统计，漏洞的设备类型排名，漏洞的设备厂商排名，以及资产的漏洞数量排名。另外，还有资产配置核查中发现的弱点分析。可有效解决当下车间资产脆弱性态势可视化的问题。

图17 脆弱性态势可视化示意图（示例）

网络攻击态势可视化

态势分析与安全运营管理平台通过自动识别紧急、重要、一般的安全事件的变化趋势，获取安全事件的类型统计结果。通过对源IP的安全事件数量分析，可以迅速识别攻击的发起源头。通过对目的IP的安全事件数量分析，可以迅速识别攻击的受害者。通过对安全事件的发生数量统计分析，可以迅速识别当前网络里面的核心攻击事件。可有效解决当下车间生产系统网络攻击态势可视化的问题。

图18 网络攻击态势可视化示意图（示例）

该方案所采用的安全防护技术和相关产品拥有完全自主知识产权，在满足重点工业行业信息安全合规要求的同时也可满足工业控制系统网络安全防护需求，通过在江淮汽车、小鹏汽车等多个项目试点应用，充分证明设计方案成熟度高，现场安全产品易于部署，为后续汽车智能制造行业一体化安全运营平台建设的推广应用提供了宝贵的方案设计经验与现场实施经验，在汽车智能制造行业具有广泛可复制性与推广性。

当前，汽车产业生态正朝着智能化、网联化、电动化方向融合发展，智能网联汽车成为集出行、娱乐、服务等为一体的新型数字空间，大幅提升用户体验的同时，也面临着更多的安全风险，既包括硬件、固件、操作系统及应用等范畴的传统安全问题，还引发了数据安全、云端安全、供应链安全等新型复杂威胁。

依托在智能制造场景的深厚沉淀，威努特也在持续推动车联网安全技术创新和产品创新，提出构建多层次安全防护能力的智能网联汽车安全解决方案。通过主动免疫机制的安全芯片、叠加安全功能的V2X/T-Box/网关、国际领先的工控漏洞挖掘平台，威努特为智能网联汽车生态构建起从内核到边界到供应链的多层次、全方位安全体系，满足国际和国内的合规标准，并且搭建起内生的强大安全能力，以韧性应对不断升级的复杂威胁。