作者 | 陳峻

審校 | 重樓

制造執(zhí)行系統(tǒng)（MES）是當(dāng)今制造設(shè)施中不可或缺的重要組成部分，可以有效地控制和管理制造型企業(yè)的生產(chǎn)過程。此類系統(tǒng)往往可以提供實時的數(shù)據(jù)收集、高效的資源分配、以及富有洞見的決策?？梢哉f，在日益互聯(lián)和數(shù)據(jù)驅(qū)動的制造環(huán)境中，MES正憑借著其在優(yōu)化生產(chǎn)質(zhì)量和效率的優(yōu)勢，改變著制造型企業(yè)管理其生產(chǎn)流程和可見性方面的綜合能力。

不過，隨著網(wǎng)絡(luò)威脅的不斷迭代、遠(yuǎn)程攻擊的日趨復(fù)雜，MES系統(tǒng)正在面臨前所未有的網(wǎng)絡(luò)安全、系統(tǒng)攻擊、數(shù)據(jù)隱私和知識產(chǎn)權(quán)等方面新的風(fēng)險。下面，我們將深入探討MES的潛在安全風(fēng)險，技術(shù)與管理防護(hù)，以及在出現(xiàn)異常情況時的特征識別與應(yīng)急處置。

潛在威脅挑戰(zhàn)

鑒于MES與其他系統(tǒng)與網(wǎng)絡(luò)的互連復(fù)雜性，它往往會成為各種網(wǎng)絡(luò)攻擊的潛在目標(biāo)。因此，一旦安全保護(hù)措施不到位，MES就可能出現(xiàn)以下方面的嚴(yán)重安全問題：

• 知識產(chǎn)權(quán)盜竊：制造企業(yè)往往會在產(chǎn)品研發(fā)上投入巨資。對此，保護(hù)其知識產(chǎn)權(quán)變得非常重要。如果MES在配置上存在漏洞，就可能會為未經(jīng)授權(quán)的攻擊者提供入口，進(jìn)而導(dǎo)致產(chǎn)品配比、制造流程等敏感數(shù)據(jù)被盜。
• 生產(chǎn)運營中斷：在生產(chǎn)環(huán)境中，制造流程嚴(yán)重依賴MES的實時監(jiān)督和控制。其漏洞一旦被惡意者利用，就可能會造成生產(chǎn)中斷，進(jìn)而導(dǎo)致運營停擺、交貨延遲、以及重大的財務(wù)損失。
• 合規(guī)監(jiān)管處罰：一些與國計民生相關(guān)的制造型企業(yè)的日常運營時常會受到行業(yè)、乃至地區(qū)的嚴(yán)格監(jiān)管。而MES受到攻擊后出現(xiàn)的數(shù)據(jù)泄露、以及產(chǎn)品問題，則會讓企業(yè)蒙受法律懲處和經(jīng)濟(jì)處罰的嚴(yán)重后果。
• 品牌聲譽(yù)損害：生產(chǎn)資料及客戶數(shù)據(jù)的泄露，除了有損產(chǎn)能，也會給企業(yè)的聲譽(yù)造成持久的影響。雖然此類影響并不會直接顯露，但是在事后的一段時間，必然會給企業(yè)的品牌信任度、產(chǎn)品市占率等帶來常用的連鎖損失。

技術(shù)防護(hù)措施

面對錯綜復(fù)雜的潛在威脅，負(fù)責(zé)OT環(huán)境的安全團(tuán)隊?wèi)?yīng)當(dāng)主動采取業(yè)界普遍采用的技術(shù)手段，降低MES及其所處環(huán)境的風(fēng)險，保障系統(tǒng)與數(shù)據(jù)的完整性、可用性和機(jī)密性。下面便是在工業(yè)制造領(lǐng)域，常被使用的安全管控原則與防護(hù)措施：

• 訪問控制：有效的賬號身份驗證和訪問控制對于防止MES被未經(jīng)授權(quán)訪問是至關(guān)重要的。具體手段包括：強(qiáng)制采用強(qiáng)密碼策略（即規(guī)定了密碼長度、復(fù)雜程度和更換周期），實施多因素身份驗證（MFA），分配適當(dāng)?shù)挠脩艚巧蜋?quán)限等。當(dāng)然，此類控制絕不僅僅是首次或一次性的，在企業(yè)日常運營過程中，安全團(tuán)隊需要定期收集，協(xié)調(diào)審查，按需調(diào)整，使用訪問控制來降低內(nèi)、外部威脅。
• 網(wǎng)絡(luò)分段：通過對OT環(huán)境的網(wǎng)絡(luò)基礎(chǔ)設(shè)施進(jìn)行分段，將MES與企業(yè)其他系統(tǒng)及網(wǎng)絡(luò)相隔離，從而限制提權(quán)嘗試在網(wǎng)絡(luò)之間的橫向移動，以及利用系統(tǒng)漏洞的攻擊肆意傳播。
• 訪問通道：針對MES的遠(yuǎn)程訪問，應(yīng)采用私密網(wǎng)絡(luò)或安全的遠(yuǎn)程桌面協(xié)議，防止中間人攻擊（MiTM）；而對于MES組件、設(shè)備和外部系統(tǒng)之間的傳輸通道，則需實施SSL/TLS等加密協(xié)議，保障數(shù)據(jù)往來的機(jī)密性和完整性。同時，用于遠(yuǎn)程訪問和監(jiān)控的安全連接也可以提供額外的保護(hù)。
• 檢測預(yù)防：通過在不同的邏輯網(wǎng)段安裝工業(yè)防火墻、部署入侵檢測和防御系統(tǒng)（IDPS），企業(yè)可以實時識別和緩解潛在的網(wǎng)絡(luò)威脅。這些系統(tǒng)可以實時監(jiān)控網(wǎng)絡(luò)流量，識別攻擊模式，發(fā)出各種警報，甚至能夠針對違規(guī)活動采取主動的響應(yīng)對策。
• 軟件開發(fā)：通過工作說明書（SOW）的形式，企業(yè)應(yīng)要求供應(yīng)商或內(nèi)部開發(fā)團(tuán)隊在開發(fā)MES軟件期間，遵循安全編碼實踐。同時，在MES上線前和運營中，需定期進(jìn)行漏洞查找、代碼掃描、以及滲透測試。
• 補(bǔ)丁更新：與所有的軟件系統(tǒng)類似，MES軟件的定期更新和修補(bǔ)，可以確保其有效應(yīng)對MES及其連接系統(tǒng)上已知的和新發(fā)現(xiàn)的安全漏洞。上述IDPS的簽名也需要得到定期下載與更新，以便安全團(tuán)隊按需分析日志，跟蹤可疑行為，進(jìn)而積極應(yīng)對不斷演變的威脅與攻擊。
• 備份恢復(fù)：為MES定制周期性系統(tǒng)數(shù)據(jù)的自動備份，并配備相應(yīng)的恢復(fù)測試過程，可以確保在系統(tǒng)受損或數(shù)據(jù)丟失等安全事件發(fā)生時，安全團(tuán)隊能夠通過可靠的備份，快速實施系統(tǒng)與服務(wù)的恢復(fù)，并最大限度地減少關(guān)鍵數(shù)據(jù)的丟失。

運營管理實踐

我們常說：“三分技術(shù)，七分管理”。光有上述技術(shù)措施是不夠的，制造型企業(yè)還需要依靠全面有效的管理實踐，來持續(xù)管控MES在企業(yè)日常運營中的各類風(fēng)險：

• 識別分類敏感數(shù)據(jù)：安全團(tuán)隊需要了解MES系統(tǒng)中收集、處理和存儲的數(shù)據(jù)類型（包括個人信息和商業(yè)秘密等敏感數(shù)據(jù)），并根據(jù)其敏感性對每一種類型進(jìn)行分類。此舉既有助于獲悉MES在數(shù)據(jù)安全方面所需的保護(hù)力度，又利于滿足GDPR和《數(shù)據(jù)安全法》等相關(guān)法律法規(guī)。
• 記錄監(jiān)控知識產(chǎn)權(quán)：制造型企業(yè)的MES中不乏各種專有算法、軟件或制造技術(shù)等寶貴的知識產(chǎn)權(quán)（IP）。對此，安全團(tuán)隊?wèi)?yīng)協(xié)同法務(wù)團(tuán)隊進(jìn)行全面盤點，記錄所有權(quán)、許可協(xié)議、以及對IP的訪問或使用限制，進(jìn)而核查是否已實施了加密、數(shù)字版權(quán)管理（DRM）和訪問控制等控制措施，并持續(xù)監(jiān)控其使用情況，以便及時針對侵犯或濫用的情況采取法律行動。此外，還應(yīng)遵從制造業(yè)的慣例，審查有權(quán)訪問此類信息的員工、承包商、及合作伙伴是否簽署了保密協(xié)議（NDA）。
• 執(zhí)行全面風(fēng)險評估：企業(yè)安全團(tuán)隊需要對包括MES系統(tǒng)、過程控制系統(tǒng)、以及數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)（SCADA）等OT環(huán)境內(nèi)的系統(tǒng)，開展軟件、硬件、集成點組件、以及網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面實施風(fēng)險評估，以識別潛在的漏洞和威脅。
• 實施行業(yè)標(biāo)準(zhǔn)實踐：參照本企業(yè)所處領(lǐng)域的優(yōu)秀行業(yè)實踐，如：NIST SP800-82、IEC 62443標(biāo)準(zhǔn)、以及我國的等級保護(hù)2.0三級等，制定和實施與廣泛認(rèn)可的標(biāo)準(zhǔn)相一致的安全策略和流程。
• 建立事件響應(yīng)計劃：通過問卷調(diào)查、現(xiàn)場排摸、小組討論、沙盤模擬等方式，制定全面的事件響應(yīng)計劃，以應(yīng)對安全攻擊或運營中斷等突發(fā)事件。其中，應(yīng)包含應(yīng)急處置的基本步驟、角色職能、電話樹（call tree）信息、以及遏制與恢復(fù)的詳細(xì)流程，進(jìn)而大幅減少宕機(jī)影響，并促進(jìn)快速恢復(fù)。
• 供應(yīng)商的合作管理：制造型企業(yè)的MES往往是由供應(yīng)商提供的，這就需要雙方在軟件、硬件、以及集成服務(wù)上的緊密合作。為了避免出現(xiàn)安全責(zé)任上的真空地帶，在實現(xiàn)簽署服務(wù)級別協(xié)議（SLA）的基礎(chǔ)上，企業(yè)應(yīng)持續(xù)對供應(yīng)商的資質(zhì)，及其網(wǎng)絡(luò)、系統(tǒng)的安全策略、配置、加固、更新、修補(bǔ)進(jìn)行記錄審查、報告交流、以及合規(guī)性評估。
• 安全文化意識培訓(xùn)：常言道：“與其被動遵守，不如主動擁抱”。對于MES安全管理貴在上下一心，共同營造安全文化與實踐的氛圍。其中包括：

• 管理層的支持：通過安全團(tuán)隊對于真實安全事故和處罰案例的宣貫，確保企業(yè)管理層能夠為MES等OT系統(tǒng)的實施和運維分配必要的資源、設(shè)定明確的期望、以及給予賞罰的支持。
• 員工的意識培訓(xùn)：定期給日常接觸和可能接觸到MES的所有員工，培訓(xùn)有關(guān)系統(tǒng)與數(shù)據(jù)安全的常見風(fēng)險特征、社會工程攻擊的類型、現(xiàn)有法規(guī)與公司制度，以及最佳實踐與應(yīng)急操作。鼓勵員工報告其在MES運維過程中發(fā)現(xiàn)到的可疑安全問題，并及時獎懲他們對維護(hù)安全所做的行為。
• 定期安全審查審計：周期性審查、評估、更新企業(yè)現(xiàn)有的安全策略、流程和控制措施，以應(yīng)對新出現(xiàn)的威脅形勢和不斷出臺的法規(guī)要求。同時，也應(yīng)鼓勵員工分享反饋和改進(jìn)建議，以便酌情調(diào)整MES的安全設(shè)置，提高抗攻擊能力。此外，內(nèi)、外部審計人員也可通過定期安全審計的方式，識別運營中的漏洞，與適用的安全標(biāo)準(zhǔn)和法律法規(guī)的差距，以獲得客觀的建議。

異?，F(xiàn)象特征

相對于開放多變的IT環(huán)境，企業(yè)的OT環(huán)境可能相對比較封閉和穩(wěn)定，但是如果遭受攻擊，仍會產(chǎn)生上述嚴(yán)重的后果。對此，我們需要針對處于OT環(huán)境的MES開展持續(xù)的安全檢查，一旦發(fā)現(xiàn)有遭受攻擊的現(xiàn)象，應(yīng)立即采取行動。畢竟干預(yù)越早，控制措施越有效，損失就可能越小。相反，攻擊的持續(xù)時間越長，漏洞長時間無法得到修復(fù)，則生產(chǎn)線、供應(yīng)鏈、以及知識產(chǎn)權(quán)受到的損害也就越大。

在制造業(yè)中，常見的異常信號包括：控制機(jī)器、生產(chǎn)線或MES系統(tǒng)的網(wǎng)段上出現(xiàn)異?；顒印⒁约傲髁可系募ぴ觯ㄌ貏e是在閑時），這些很可能意味著有人擁有了由外向內(nèi)的訪問權(quán)限、或正在生產(chǎn)系統(tǒng)內(nèi)部進(jìn)行某種惡意活動、甚至是攻擊者正在使用MES或SCADA等其他關(guān)鍵性OT組件外傳數(shù)據(jù)。此外，其他異常的現(xiàn)象還包括：生產(chǎn)系統(tǒng)上出現(xiàn)了未經(jīng)獲批的軟件安裝、陌生進(jìn)程的運行、可疑賬號的創(chuàng)建、以及操作員賬號從不尋常的位置或陌生的設(shè)備上登錄等。這些都屬于未經(jīng)授權(quán)的運維活動。而識別這些異?，F(xiàn)象，對于早期檢測、及時響應(yīng)、及從防止輕微違規(guī)演變成重大事故，都是至關(guān)重要的。

異常應(yīng)急處置

一旦在生產(chǎn)系統(tǒng)中檢測到了上述異常現(xiàn)象，負(fù)責(zé)OT系統(tǒng)的安全團(tuán)隊?wèi)?yīng)立即采取如下關(guān)鍵步驟，以防止損害的擴(kuò)大，并及時予以補(bǔ)救：

• 隔離涉事系統(tǒng)：安全團(tuán)隊?wèi)?yīng)立即從OT網(wǎng)絡(luò)中對疑似受到攻擊的系統(tǒng)，包括：生產(chǎn)機(jī)械、裝配線、SCADA系統(tǒng)或MES等予以物理和邏輯上的隔離。如果無法隔離，請對其休眠或關(guān)閉，以防止損害的進(jìn)一步擴(kuò)散。
• 捕獲收集證據(jù)：盡快運用多種方式錄入或捕獲發(fā)現(xiàn)到的受影響系統(tǒng)（如：計算機(jī)數(shù)控（CNC）機(jī)器、機(jī)器人系統(tǒng)、可編程邏輯控制器（PLC）等）上，可疑現(xiàn)象或攻擊事件的特征與異常行為，為應(yīng)急響應(yīng)團(tuán)隊提交“第一手”參考信息與判斷依據(jù)。
• 檢查保存日志：檢查OT環(huán)境中的安防系統(tǒng)，如：工業(yè)防火墻、防病毒系統(tǒng)、端點檢測和響應(yīng)（EDR）、信息和事件管理（SIEM）、以及IDPS系統(tǒng)，從相關(guān)日志中查找“蛛絲馬跡”，并及時對發(fā)現(xiàn)到的日志文件妥善保護(hù)和轉(zhuǎn)存，以防止被篡改或刪除。
• 溝通報告事件：根據(jù)企業(yè)既定的應(yīng)急處置指南，與內(nèi)、外部利益方（如：企業(yè)管理層、上下游供應(yīng)商、當(dāng)?shù)乇O(jiān)管機(jī)構(gòu)、協(xié)會、甚至是受到影響的個人）溝通。鑒于當(dāng)前網(wǎng)絡(luò)與系統(tǒng)可能已存在威脅，因此溝通的方式可采取非常規(guī)的通信方法（如：電話和加密的即時通訊），以避免被攻擊者截獲、甚至篡改。同時，安全團(tuán)隊也應(yīng)協(xié)同關(guān)鍵利益方（如：供應(yīng)商和客戶）對生產(chǎn)系統(tǒng)、及業(yè)務(wù)數(shù)據(jù)受到的影響開展評估。
• 重建恢復(fù)系統(tǒng)：根據(jù)應(yīng)急處置的策略，確定關(guān)鍵生產(chǎn)系統(tǒng)（如：MES、人機(jī)界面（HMI）等其他基本生產(chǎn)控制系統(tǒng)）的優(yōu)先級，通過既定的重建方式，使其恢復(fù)基本運能。同時，按需對受影響的賬戶重置密碼，從離線加密備份中恢復(fù)數(shù)據(jù)，以最小化受到的損失。
• 記錄經(jīng)驗教訓(xùn)：在安全事件得到控制后，安全團(tuán)隊?wèi)?yīng)主動開展事后復(fù)盤，以比對應(yīng)急設(shè)計與真實響應(yīng)之間的差距，從中吸取經(jīng)驗與教訓(xùn)，按需協(xié)同涉事部門對受損的系統(tǒng)進(jìn)行整改和加固。

小結(jié)

綜上所述，和工業(yè)控制系統(tǒng)（ICS）、企業(yè)資源規(guī)劃（ERP）系統(tǒng)類似，MES作為OT環(huán)境中的一個重要組成部分，雖然能夠給企業(yè)帶來制造運營上的顯著好處，但也帶來了上文提到的各種潛在風(fēng)險與挑戰(zhàn)。而由于MES集成了企業(yè)基礎(chǔ)架構(gòu)中多個技術(shù)系統(tǒng)，因此安全團(tuán)隊需要持續(xù)監(jiān)控和評估MES的潛在漏洞，通過采用上文提到的各項預(yù)防措施和優(yōu)秀實踐，來降低由MES給制造型企業(yè)帶來的運營風(fēng)險。

作者介紹

陳峻（Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經(jīng)驗，善于對內(nèi)外部資源與風(fēng)險實施管控，專注傳播網(wǎng)絡(luò)與信息安全知識與經(jīng)驗。