工業(yè)控制安全

工業(yè)控制系統(tǒng)ICS工業(yè)控制系統(tǒng)（IndustrialControlSystem,ICS）是可編程邏輯控制器（ProgrammableLogicController,PLC）、分散式控制系統(tǒng)（DistributedControlSystem,DCS）、監(jiān)控與數(shù)據(jù)采集系統(tǒng)（SupervisoryControlandDataAcquisition,SCADA）等工業(yè)系統(tǒng)的總稱。2020年4月24日至4月25日，黑客組織對以色列的關(guān)鍵基礎(chǔ)設(shè)施發(fā)起了攻擊，該國的水利行業(yè)的工控系統(tǒng)特別是SCADA系統(tǒng)多次遭受了網(wǎng)絡攻擊，嚴重影響了日常供水；2021年5月7日，黑客攻擊了美國最大的成品油管道運營商ColonialPipeline，迫使其一度關(guān)閉整個能源供應網(wǎng)絡，迫使供應商支付了近500萬的贖金；2022年8月20日希臘最大的天然氣分銷商的工控系統(tǒng)遭受網(wǎng)絡攻擊，導致多項服務被迫關(guān)閉，部分數(shù)據(jù)遭到泄露。9月6日，GhostSec組織控制了以色列國內(nèi)組織和平臺上55個Berghof可編程控制器（PLCs）。2022年9月22日，俄羅斯對烏克蘭展開大面積的網(wǎng)絡攻擊，40個變電站停電。PLC系統(tǒng)與DCS系統(tǒng)應用SCADA系統(tǒng)結(jié)構(gòu)SCADA系統(tǒng)的組件和配置。控制中心設(shè)有一個SCADA服務器（MTU）和通信路由器。其他控制中心組件包括HMI（人機界面），工程師工作站和歷史數(shù)據(jù)等，都通過局域網(wǎng)進行連接?？刂浦行氖占⒂涗泩稣臼占降男畔?，在HMI上顯示信息?？刂浦行倪€負責集中告警，趨勢分析和報告。場站負責對執(zhí)行器的本地控制的和對傳感器的監(jiān)視。SCADA通信拓撲結(jié)構(gòu)MTU-RTU通訊架構(gòu)實現(xiàn)類型SCADA系統(tǒng)實現(xiàn)分布式監(jiān)控SCADA系統(tǒng)實現(xiàn)鐵路監(jiān)控ICS網(wǎng)絡架構(gòu)ICS系統(tǒng)的關(guān)鍵組件：由控制回路、人機界面、遠程診斷和維護工具組成，并使用分層的網(wǎng)絡架構(gòu)上的網(wǎng)絡協(xié)議集合來構(gòu)建?？刂苹芈罚嚎刂苹芈钒y量傳感器，控制器硬件如PLC，執(zhí)行器如控制閥，斷路器，開關(guān)和電機，以及變量間的通信。遠程診斷和維護工具：用于預防、識別和恢復運行異?；蚬收系脑\斷和維護工具。人機界面（HMI）：操作員和工程師使用HMI來監(jiān)控和配置設(shè)置點，控制算法，并在控制器中調(diào)整和建立參數(shù)。工業(yè)以太網(wǎng)現(xiàn)場總線—FieldbusControlSystemModbus是MODICON公司于1979年開發(fā)的一種通訊協(xié)議，是一種工業(yè)現(xiàn)場總線協(xié)議標準，是最早的串行鏈路上的國際標準。1997年施耐德公司推出了基于以太網(wǎng)TCP/IP的Modbus協(xié)議——ModbusTCP。2004年，Modbus成為我國國家標準：GB/T19582-2008《基于Modbus協(xié)議的工業(yè)自動化網(wǎng)絡規(guī)范》。Modbus協(xié)議是一項應用層報文傳輸協(xié)議，包括ASCII、RTU、TCP三種報文類型，協(xié)議本身并沒有定義物理層，只是定義了控制器能夠認識和使用的消息結(jié)構(gòu)，而不管他們是經(jīng)過何種網(wǎng)絡進行通信的。標準的Modbus協(xié)議物理層接口有RS232、RS422、RS485和以太網(wǎng)口。采用Master/Slave（主/從）方式通信。

Modbus協(xié)議定義了一個與基礎(chǔ)通信層無關(guān)的簡單協(xié)議數(shù)據(jù)單元（PDU），特定總線或網(wǎng)絡上的Modbus協(xié)議映射在應用數(shù)據(jù)單元（ADU）上引入附加域。ModbusMODBUS協(xié)議規(guī)范Modbus事務處理當從站對主站響應時，Modbus通過功能碼域來指示通訊是否正常；正常響應，從站會復制主站功能碼，加入到響應報文啟動請求接收響應功能碼數(shù)據(jù)請求執(zhí)行操作啟動響應功能碼數(shù)據(jù)響應啟動請求接收響應功能碼數(shù)據(jù)請求執(zhí)行操作啟動差錯異常功能碼異常碼請求：010300000010…應答：010310……請求：010300000010…應答：018302……異常響應，從站會將功能碼域最高位置“1”，異常碼指示錯誤類型對于異常響應，服務器將原始功能碼的最高有效位設(shè)置邏輯1后返回。異常碼指示差錯類型。當服務器對客戶機響應時，它使用功能碼域來指示正常（無差錯）響應或者出現(xiàn)某種差錯（稱為異常響應）。對于一個正常響應來說，服務器僅復制原始功能碼。Modbus協(xié)議在串行鏈路上的實現(xiàn)Modbus協(xié)議是主從站通訊協(xié)議;網(wǎng)絡上的每個從站必須有唯一的地址（范圍從1到247）;從站地址用于尋址從站設(shè)備，由主站發(fā)起;地址0用于廣播模式，不需要響應;串行鏈路上的Modbus傳輸模式分為ModbusRTU和ModbusASCIIRS485Modbus請求：地址100開始讀20個字Modbus響應：地址100至119的20個字的值主站從站Modbus協(xié)議在串行鏈路上的實現(xiàn)RTU協(xié)議中的指令由地址碼(一個字節(jié)），功能碼（一個字節(jié)），起始地址（兩個字節(jié)），數(shù)據(jù)（N個字節(jié)），校驗碼（兩個字節(jié)）五個部分組成，其中數(shù)據(jù)又由數(shù)據(jù)長度（兩個字節(jié)，表示的是寄存器個數(shù)，假定內(nèi)容為M）和數(shù)據(jù)正文（M乘以2個字節(jié)）組成我們下發(fā)的十六進制的指令為:“0103018E000425DE”模塊返回的指令是：“010308000100010001000128D7”Modbus協(xié)議MODBUS協(xié)議規(guī)范Modbus的數(shù)據(jù)模型是以一組具有不同特征的表為基礎(chǔ)建立的，四個基本表為：Modbus數(shù)據(jù)模型基本表對象類型訪問類型注釋離散量輸入（輸入繼電器）單位個只讀I/O系統(tǒng)可提供這種類型數(shù)據(jù)線圈（輸出繼電器）單位個讀寫通過應用程序可改變這種類型數(shù)據(jù)輸入寄存器16位字只讀I/O系統(tǒng)可提供這種類型數(shù)據(jù)保持寄存器（輸出寄存器）16位字讀寫通過應用程序可改變這種類型數(shù)據(jù)Modbus協(xié)議地址與PLC地址對應關(guān)系設(shè)備安全防護策略工業(yè)互聯(lián)網(wǎng)安全防護旨在加強工業(yè)互聯(lián)網(wǎng)各層防護對象安全水平，保障系統(tǒng)網(wǎng)絡安全運營，防范網(wǎng)絡攻擊。工業(yè)互聯(lián)網(wǎng)安全防護內(nèi)容具體包括：設(shè)備安全：包括設(shè)備及運維用戶的身份鑒別、訪問控制，以及設(shè)備的入侵防范、安全審計等?？刂瓢踩喊刂茀f(xié)議的完整性保護、控制軟件的身份鑒別、訪問控制、入侵防范、安全審計等。網(wǎng)絡安全：包括網(wǎng)絡與邊界的劃分隔離、訪問控制、機密性與完整性保護、異常監(jiān)測、入侵防范、安全審計等。應用安全：包括工業(yè)互聯(lián)網(wǎng)平臺及工業(yè)應用程序的訪問控制、攻擊防范、入侵防范、行為管控、來源控制等數(shù)據(jù)安全：包括數(shù)據(jù)機密性保護、完整性保護、數(shù)據(jù)備份恢復、數(shù)據(jù)安全銷毀等。云安全：工業(yè)互聯(lián)網(wǎng)云平臺需要強化其在感知、檢測、預警、應急、評估的安全框架，保障安全生產(chǎn)的各個環(huán)節(jié)；工業(yè)互聯(lián)網(wǎng)云平臺需要支持面向安全生產(chǎn)的工業(yè)應用，在加密、數(shù)字簽名、訪問認證等方面需要探索使用新型的工業(yè)級的安全算法。工業(yè)入侵檢測工業(yè)入侵檢測的功能要求支持工控專用協(xié)議的解析支持傳統(tǒng)入侵檢測規(guī)則支持工控網(wǎng)絡特有檢測策略支持擴展的網(wǎng)絡檢測高性能檢測技術(shù)工業(yè)入侵檢測通過對核心交換機的鏡像流量進行分析（包含傳統(tǒng)協(xié)議、病毒分析以及工業(yè)協(xié)議的分析），以及與攻擊規(guī)則庫進行比對，從流量中發(fā)現(xiàn)入侵行為或隱藏式攻擊行為。奇安信網(wǎng)神工業(yè)入侵檢測系統(tǒng)部署IIDS通常旁路部署在工業(yè)生產(chǎn)網(wǎng)的匯聚交換機和接入交換機位置，對交換機鏡像流量進行檢測。根據(jù)工業(yè)安全需求深度的不同，部署位置和部署數(shù)量也有所不同，針對多臺IIDS的場景，通過奇安信工業(yè)安全態(tài)勢感知與管理平臺IMAS進行統(tǒng)一管理與分析。漏洞掃描漏洞掃描是指基于漏洞數(shù)據(jù)庫，通過掃描等手段對指定的遠程或者本地計算機系統(tǒng)的脆弱性進行檢測，發(fā)現(xiàn)可利用漏洞的一種安全檢測行為。漏洞掃描包括網(wǎng)絡漏掃、主機漏掃、數(shù)據(jù)庫漏掃、Web掃描等不同種類。奇安信網(wǎng)神工業(yè)安全漏洞掃描系統(tǒng)工控掃描可以對西門子、施耐德、羅克韋爾等14個品牌的PLC、SCADA、DCS、RTU、工控專用網(wǎng)絡設(shè)備等主流生產(chǎn)業(yè)務設(shè)備及軟件進行漏洞匹配。系統(tǒng)掃描更龐大探測引擎，可探測覆蓋Linux、Windows、ios、工業(yè)控制系統(tǒng)、視頻系統(tǒng)、移動設(shè)備、網(wǎng)絡設(shè)備、安全設(shè)備、中間件等眾多類型漏洞，擁有高達150000+漏洞規(guī)則，深度感知系統(tǒng)Web掃描流量日志審計IT/OT行為審計工藝操作內(nèi)容數(shù)據(jù)庫掃描具備數(shù)據(jù)庫漏洞檢測能力，可檢測Oracle、Sybase、SQLServer、DB2、MySQL、Postgres等常見數(shù)據(jù)庫，并提供登錄掃描功能，全面發(fā)現(xiàn)數(shù)據(jù)庫漏洞信息。口令猜解漏洞庫支持漏洞總數(shù)160000+支持主流的CVE、CNNVD、CNVD、Bugtraq、CVSS漏洞公開平臺漏洞挖掘漏洞挖掘是指對未知漏洞的探索，綜合應用各種技術(shù)和工具，盡可能地找出軟件中的潛在漏洞。根據(jù)分析對象的不同，漏洞挖掘技術(shù)可以分為基于源碼的漏洞挖掘技術(shù)和基于目標代碼的漏洞挖掘技術(shù)。目前工業(yè)控制系統(tǒng)漏洞挖掘集中在操作系統(tǒng)、工控協(xié)議、Activex控件、文件格式、WebHMI、數(shù)據(jù)庫、固件后門、移動應用等幾個方向。其中，操作系統(tǒng)、工控協(xié)議、Activex控件、文件格式、數(shù)據(jù)庫這些漏洞的挖掘用到的主要是模糊測試技術(shù)；固件后門、移動應用等漏洞挖掘更多使用的是靜態(tài)分析技術(shù)和逆向技術(shù)；WebHMI可以使用模糊測試技術(shù)和靜態(tài)分析技術(shù)。（1）動態(tài)測試技術(shù):針對工業(yè)控制系統(tǒng)的動態(tài)測試技術(shù)是指在工業(yè)控制系統(tǒng)運行狀態(tài)下，通過基于工控協(xié)議的模糊測試、雙向測試、風暴測試等進行漏洞挖掘的方法。模糊測試是一種向目標輸入大量非預期的數(shù)據(jù)并監(jiān)控目標，以期發(fā)現(xiàn)安全漏洞的一種技術(shù)。（2）靜態(tài)分析技術(shù)針對工業(yè)控制系統(tǒng)的靜態(tài)分析技術(shù)是指在工業(yè)控制系統(tǒng)的非運行狀態(tài)下進行漏洞挖掘的技術(shù)，包括靜態(tài)代碼審計、逆向分析、二進制補丁比對等通用的漏洞挖掘方法。工業(yè)控制系統(tǒng)安全審計工業(yè)控制系統(tǒng)安全審計對于敏感數(shù)據(jù)項（如口令通行字等）的訪問。目標對象的刪除。訪問權(quán)限或能力的授予和廢除。主體或目標安全屬性的改變。標識定義和用戶授權(quán)認證功能的使用。審計功能的啟動和關(guān)閉。工業(yè)控制系統(tǒng)安全審計架構(gòu)主要包含三個方面：數(shù)據(jù)采集、行為分析以及數(shù)據(jù)的展示。工業(yè)控制系統(tǒng)蜜罐技術(shù)工控蜜罐需要具備特征能夠響應Nmap掃描，并反饋控制器信息可以使用相應的客戶端軟件連接蜜罐能夠響應請求，向攻擊者反饋完整的配置和狀態(tài)不僅能模擬出工控設(shè)備，還能對工程師站、操作員站進行模擬工控蜜罐采用的是防御欺騙技術(shù)。完整防御欺騙過程為：①事前準備，即部署蜜罐進行全面的預警分析，構(gòu)筑模擬的工控業(yè)務系統(tǒng)；②事中響應，即吸引和響應攻擊行為，通過事件的聚合獲取完整的入侵過程取證；③事后分析，即通過獲取的多源攻擊數(shù)據(jù)進行分析、溯源。奇安信攻擊誘捕平臺網(wǎng)絡安全態(tài)勢感知網(wǎng)絡安全態(tài)勢感知平臺的主要功能包括數(shù)據(jù)采集、數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)分析、展示和告警、安全管理和自身安全管理，各類前端探針（如流量探針、服務器探針、監(jiān)測平臺等）功能、利用產(chǎn)品結(jié)果進行決策和處置以及數(shù)據(jù)共享相關(guān)系統(tǒng)等網(wǎng)絡隔離技術(shù)網(wǎng)絡隔離（NetworkIsolation）技術(shù)是把兩個或者兩個以上可路由的網(wǎng)絡（如TCP/IP）通過不可路由的協(xié)議（如IPX/SPX、NetBEUI等）進行數(shù)據(jù)交換而達到隔離目的，也稱為協(xié)議隔離。1.宿主機/兩個網(wǎng)絡接口卡2.辦公網(wǎng)和控制網(wǎng)絡之間的防火墻網(wǎng)絡隔離技術(shù)使用了路由器和防火墻結(jié)合的方式。路由器配置在防火墻之前，提供一些基本的包過濾服務，防火墻則利用狀態(tài)檢測或代理技術(shù)負責更加復雜的事物。這種設(shè)計廣泛應用于面向因特網(wǎng)的防火墻，因為它令更快速的路由器處理了大量傳入的數(shù)據(jù)包，尤其是DoS攻擊，并降低了防火墻的負載。同時提供了更好的深度檢測，對于兩臺不同的設(shè)備，對手必須繞道。3.辦公網(wǎng)和控制網(wǎng)絡之間的防火墻和路由器網(wǎng)絡隔離技術(shù)在辦公網(wǎng)和控制網(wǎng)絡之間建立隔離區(qū)的防火墻是一個顯著地提高。每個隔離區(qū)隔離出一個或多個重要組成部分，比如海量數(shù)據(jù)記錄系統(tǒng)，無線網(wǎng)絡接入點或者遠程、第三方接入系統(tǒng)。實際上，能夠制造隔離區(qū)的防火墻如同構(gòu)建了一個中間網(wǎng)絡。為了構(gòu)建隔離區(qū)，除了傳統(tǒng)的公共和私有接口外，防火墻至少需要提供3個接口。一個接口連接辦公網(wǎng)，一個接口連接控制網(wǎng)，剩余的接口則連接DMZ中那些共享的不安全的設(shè)備，比如海量數(shù)據(jù)記錄系統(tǒng)服務器，無線網(wǎng)絡接入點，4.辦公網(wǎng)和控制網(wǎng)絡之間帶DMZ(隔離區(qū))的防火墻防火墻技術(shù)工業(yè)防火墻屬于工業(yè)控制系統(tǒng)信息安全的邊界防護類產(chǎn)品，由于工控網(wǎng)絡的高實時性和高可用性要求，工業(yè)防火墻通常采用包過濾+應用層解析的模式實現(xiàn)對工控網(wǎng)絡的安全防護，通常以串接方式工作，部署在工控網(wǎng)與企業(yè)管理網(wǎng)絡之間、廠區(qū)不同區(qū)域之間、控制層與現(xiàn)場設(shè)備層之間，通過一定的訪問控制策略對工業(yè)控制系統(tǒng)邊界、內(nèi)部區(qū)域進行邊界保護工業(yè)防火墻的特點網(wǎng)絡邊界隔離。支持透明和路由兩種工作模式安全域劃分。能夠靈活配置不同區(qū)域安全規(guī)則訪問控制。提供基于IP地址、端口、時間及服務的包過濾。工控協(xié)議深度解析。工業(yè)網(wǎng)絡可視化支持常用工業(yè)協(xié)議支持OPC協(xié)議的工業(yè)防火墻對訪問權(quán)限的限定對常見網(wǎng)絡攻擊的防護防火墻技術(shù)奇安信網(wǎng)神工業(yè)防火墻可以部署在企業(yè)網(wǎng)絡層（L4）與生產(chǎn)管理層（L3）之間，作為控制網(wǎng)邊界的第一道防線。奇安信工業(yè)防火墻也可以部置在生產(chǎn)管理層（L3）和過程監(jiān)控層（L2）之間用于保護過程監(jiān)控層網(wǎng)絡及現(xiàn)場控制層網(wǎng)絡。針對工控網(wǎng)絡中IT/OT流量進行全方位安全防護，通過應用識別、深度數(shù)據(jù)包解析以及一體化安全策略進行安全過濾，結(jié)合白名單、入侵防御、病毒檢測等技術(shù)進行安全威脅檢測和防護，保障工控網(wǎng)絡安全。白名單技術(shù)白名單是一個列表或者實體的注冊表，這些實體被賦予了特別的操作服務、移動性、接入和認可。在列表上的實體是可以被接受、獲準和/或認可的。和白名單相反，黑名單是確定被拒絕、不被承認和被排斥的實體列表。奇安信網(wǎng)神工業(yè)主機安全防護系統(tǒng)是工業(yè)主機專屬的安全防護軟件，通過基于智能匹配的白名單管控技術(shù)、基于ID的USB移動存儲外設(shè)管控技術(shù)、以及入口攔截、運行攔截、擴散攔截三大“關(guān)卡式”攔截技術(shù)，防范惡意程序運行、非法外設(shè)接入，從而進行全面的工業(yè)資產(chǎn)、安全風險集中管理，實現(xiàn)對工業(yè)主機的安全防護。網(wǎng)閘技術(shù)網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)，連接兩個獨立主機系統(tǒng)的信息安全設(shè)備。其中包括一系列的阻斷特征，如沒有通信連接、沒有命令、沒有協(xié)議、沒有TCP/IP連接、沒有應用連接、沒有包轉(zhuǎn)發(fā)、只有文件“擺渡”，以及對固態(tài)介質(zhì)只有讀和寫兩個命令。。奇安信網(wǎng)神工業(yè)網(wǎng)閘可以部署在企業(yè)網(wǎng)絡層（L4）與生產(chǎn)管理層（L3）之間，作為工業(yè)網(wǎng)絡邊界的第一道防線，用來阻止來自企業(yè)管理信息網(wǎng)的病毒、木馬、網(wǎng)絡入侵等安全威脅。奇安信工業(yè)網(wǎng)閘也可以部置在生產(chǎn)管理層（L3）和過程監(jiān)控層（L2）之間，用于保護過程監(jiān)控層網(wǎng)絡及現(xiàn)場控制層網(wǎng)絡。ICS信息安全管理技術(shù)管理組織防護技術(shù)：1.管理控制對一個ICS來說，管理控制是安全對策，因為其集中在風險的管理和信息安全的管理。NISTSP800-53在管理控制等級中定義了5個控制成員:安全評估和授權(quán)(CA)、規(guī)劃(PL)、風險評估(RA)、系統(tǒng)和服務獲取(SA)、項目群管理(PM)；2.風險評估風險是一種功能，給定威脅源利用潛在安全漏洞的可能性和成功利用該漏洞所造成的影響。風險評估是一個識別組織運作、資產(chǎn)和個人風險的過程，該過程由識別出的漏洞所造成影響的概率所確定。一個評估包括一個安全控制評價，這個安全控制能減輕每個威脅和實施相關(guān)安全控制的成本。一個安全評估也必須比較安全成本和一個事件相關(guān)的成本3.操作控制網(wǎng)絡架構(gòu)優(yōu)化機制NISTSP800-53在技術(shù)控制類中定義四個控制族：鑒定和授權(quán)(IA):通過特殊資格(例如密碼、象征、生物測定)來更改用戶識別的進程、或者設(shè)備來作為用于授權(quán)連接到IT系統(tǒng)中的資源的前提。（1）密碼授權(quán)

（2）挑戰(zhàn)-應答鑒定

（3）物理標志授權(quán)（4）生物授權(quán)訪問控制(AC):用于獲取和使用信息以及相關(guān)的用于物理訪問信息系統(tǒng)環(huán)境的信息進程服務的授權(quán)或者否定請求。（1）基于角色的訪問控制(RBAC)（2）WEB服務器（3）虛擬本地局域網(wǎng)絡(VLAN)（4）無線區(qū)域網(wǎng)絡：審核和解釋(AU):獨立的記錄和評估系統(tǒng)控制的準確性的動作的審核，以確保確立的政策和操作過程的依賴性并推薦在控制、政策和過程中必要的改變。系統(tǒng)和交流保護(SC):用于保護系統(tǒng)和數(shù)據(jù)傳播組成部分的機械。深度防御架構(gòu)這種架構(gòu)包括了防火墻，采用隔離區(qū)以及ICS架構(gòu)中的入侵檢測能力。圖中的隔離區(qū)提供額外功能隔離和訪問權(quán)限的能力，并已被證實對于那些由不同任務組成的大型網(wǎng)絡架構(gòu)是有效的。單一的安全產(chǎn)品、技術(shù)或者解決方案并不能很好的處理ICS保護問題。多層級策略寶庫兩個(或更多)重疊的安全機制能夠最小化單一機制造成的不良影響，深度防御架構(gòu)策略包括使用防火墻，創(chuàng)建隔離區(qū)，帶有效安全策略的入侵檢測，培訓計劃和事件響應機制。汽車制造廠區(qū)域邊界安全防護在企業(yè)數(shù)據(jù)中心和生產(chǎn)網(wǎng)之間部署奇安信工業(yè)防火墻，開啟IPS、AV、漏洞防護、攻擊防護等功能，防止外部對生產(chǎn)網(wǎng)絡的攻擊。在工業(yè)防火墻開啟工業(yè)協(xié)議白名單功能，針對網(wǎng)絡內(nèi)傳輸?shù)腛PC、Modbus等工業(yè)協(xié)議進行針對指令級控制?？蛻魞r值及時解決IT網(wǎng)絡威脅向OT網(wǎng)絡蔓延，快速恢復生產(chǎn)，挽回經(jīng)濟損失；提高企業(yè)工業(yè)網(wǎng)絡的整體安全性，確保OT網(wǎng)絡的可靠性、穩(wěn)定性和安全性，為安全生產(chǎn)保駕護航；提升工業(yè)網(wǎng)絡的安全管理能力，針對各層級間，各域間的安全風險進行集中管控，同時滿足國家工控安全政策法規(guī)要求。

比亞迪辦公網(wǎng)安全隔離工業(yè)專用的主機防護軟件比亞迪生產(chǎn)線上工控系統(tǒng)不允許在運行期間進行升級，白名單技術(shù)無需進行病毒庫升級，能夠智能學習并自動生成工業(yè)主機操作系統(tǒng)及專用工業(yè)軟件正常行為模式的“白名單”防護基線，并且支持三種工作模式一鍵切換，保障生產(chǎn)連續(xù)性工業(yè)主機“永恒之藍”防御針對比亞迪的“永恒之藍”勒索病毒，白名單在防護模式下會放行正常的操作系統(tǒng)進程及專用工業(yè)軟件，主動阻斷未知程序、木馬病毒、惡意軟件、攻擊腳本等運行，同時結(jié)合漏洞防御進行永恒之藍的超前防御、網(wǎng)絡防護可以形成關(guān)卡一樣層層攔截模式。針對比亞迪生產(chǎn)線上