国内知名智慧家电品牌,布局全国,生产基地遍布各地。产品线覆盖冰箱、洗衣机、热水器、空调和电视等多种家电,为用户提供一站式的智慧家庭解决方案。随着科技的快速发展,企业生产线的智能化不断升级,工业控制和互联网技术紧密融合。在这个背景下,终端主机作为人与机器的交互接口,成为了整个工控系统最脆弱、最易受到攻击和恶意破坏的关键环节。因此,部署一套高效、便捷、轻量的终端安全防护体系,成为了该品牌家电企业安全生产的重要工作内容 。
图 某智慧家电企业生产车间
一、 场景分析
根据该品牌生产线业务系统架构,智能工厂分为设备层、控制层、监控层、生产资源层和企业办公网。企业资源网包括生产资源层和企业办公网,生产管理网则包括监控层、控制层及设备层。终端安全问题需从企业资源网和生产管理网两个维度进行分析和应对。
企业资源网承载重要数据,如CRM、ERP、邮箱系统等,数据泄露会导致重大损失、品牌受损和监管压力。数据传播媒介包括个人PC等电子设备、U盘等移动存储设备,使用这些设备进行的活动可能泄露数据。企业资源网与互联网直连,面临病毒感染等安全威胁,且威胁可能扩散至生产线控制网络。
生产管理网涉及生产控制相关系统,如MES、DCS、PLC、HMI等,终端类型多样,包括工业计算机、瘦终端、触摸屏等。主要安全需求是防病毒和防误操作,同时由于厂区分散、终端规模庞大,具备集中运维管理需求。
图 智慧工厂终端安全架构图
二、 六方云家电制造企业生产线终端安全解决方案
1. 方案介绍
六方云智慧家电生产线终端安全解决方案针对企业资源网和生产管理网的不同特点,采取分类分区、按需防护、统一管理的策略。企业资源网终端多、信息交互频繁、人员复杂,采用终端安全管理软件,实现恶意代码防护、主机访问控制、终端资产监控、移动存储介质管理、数据防泄漏、终端安全审计等功能。
生产管理网软件功能固定、使用人员固定、稳定性要求高、存在高频运行程序等,采用轻量级“白名单”技术、权限控制、主机加固等多重防护技术,实现工业主机全运行周期的安全防护,避免病毒、木马和未授权软件等对其造成破坏和影响。同时部署统一监管平台,对企业全网终端事件进行综合分析,消除信息孤岛提升全局视角下的安全分析和风险预警能力,确保智慧家电生产线业务安全稳定运行。
2. 技术特点
n智能化白名单管理,阻止非法程序运行
系统运行于操作系统内核态,智能一键扫描、精准识别各类可执行程序,建立白名单库、自动跟踪软件安装、自定义添加、手工导入等方式智能追加白名单。确保工业主机不因病毒、木马或非授权行为造成停机,保障生产业务连续可靠运行。
n深度主机加固,全方位安全防护
加固操作系统关键目录、文件和注册表项,通过识别和阻止非法行为,如篡改注册表、删改关键目录文件等,确保操作系统及业务应用的安全性和完整性,进而保障生产业务的连续和稳定。
n灵活外设管控策略,防范数据泄漏与病毒传染
只允许经过认证的USB设备在主机上运行,根据业务需要灵活设定u盘等存储外设的读写权限,有效减少数据泄露和病毒感染事件发生。
n终端主机信息监控,实现资产精确管理
自动识别终端主机CPU、内存、硬盘等资源信息,生成资产清单;管理员可标记主机所属的组织单元、编号等资产信息,实现资产属性的统一维护,降低管理成本。
n终端行为记录,及时追溯与识别安全风险
收集工控终端系统日志、违规行为、资源使用记录等数据,追溯和分析工控终端设备的行为和运行记录,评估和识别潜在安全风险及违规行为。
n管控全局终端安全态势
实时采集终端主机运行状况,监控异常行为,及时发现主机离线、资源不足、非法程序运行、恶意篡改及未授权外设接入等安全事件,并支持统一任务下发,策略配置,帮助管理人员及时掌握安全风险,提升安全事件处置效率。
3. 方案价值
n保障工业主机安全
有效管理工业主机应用程序,只允许受信任的程序运行,防止未知恶意程序(病毒、木马及其变种)的入侵和破坏,保障工业主机的安全性和稳定性,避免因恶意攻击导致生产事故和经济损失。
n主机威胁免疫,防范数据泄露
对系统关键目录、文件和注册表项全方位加固,控制资源访问权限,增强操作系统的自身免疫能力,确保工业主机稳定运行。对外加强对USB存储/非存储设备的管控,防止病毒携入的同时有效减少数据泄露面,保证数据安全。
n简化管理,合法合规
采用平台集中化、管理一体化理念,降低终端安全建设、运维的复杂性,提升运维效率。具有完全自主知识产权,并符合国家信息安全等级保护合规要求,为企业降低监管风险。
四、结语
综上所述,六方云智慧家电制造业生产线终端安全解决方案通过多种防护技术和策略的结合,实现对智慧家电生产企业工业终端的全面安全防护,提升生产效率和稳定性,降低管理成本和风险。该方案具有较高的实用性和可扩展性,可广泛应用于各类智慧家电生产企业及其他相关领域。