关于工业制造执行系统（MES）的安全防护与应急处置

作者 | 陈峻

审校 | 重楼

制造执行系统（MES）是关于工业当今制造设施中不可或缺的重要组成部分，可以有效地控制和管理制造型企业的制造执行生产过程。此类系统往往可以提供实时的系统数据收集 、高效的安全资源分配、以及富有洞见的防护决策。可以说 ，应急在日益互联和数据驱动的处置制造环境中，MES正凭借着其在优化生产质量和效率的关于工业优势，改变着制造型企业管理其生产流程和可见性方面的云计算制造执行综合能力 。

不过
，系统随着网络威胁的安全不断迭代、远程攻击的防护日趋复杂，MES系统正在面临前所未有的应急网络安全、系统攻击、处置数据隐私和知识产权等方面新的关于工业风险
。下面 ，我们将深入探讨MES的潜在安全风险 ，技术与管理防护 ，以及在出现异常情况时的建站模板特征识别与应急处置 。

潜在威胁挑战

鉴于MES与其他系统与网络的互连复杂性，它往往会成为各种网络攻击的潜在目标。因此 ，一旦安全保护措施不到位，MES就可能出现以下方面的严重安全问题：

知识产权盗窃 ：制造企业往往会在产品研发上投入巨资  。对此，保护其知识产权变得非常重要 。如果MES在配置上存在漏洞，就可能会为未经授权的攻击者提供入口，进而导致产品配比 、制造流程等敏感数据被盗
。源码下载生产运营中断：在生产环境中，制造流程严重依赖MES的实时监督和控制 。其漏洞一旦被恶意者利用
，就可能会造成生产中断 ，进而导致运营停摆 、交货延迟、以及重大的财务损失 。合规监管处罚：一些与国计民生相关的制造型企业的日常运营时常会受到行业
、乃至地区的严格监管
。而MES受到攻击后出现的数据泄露、香港云服务器以及产品问题，则会让企业蒙受法律惩处和经济处罚的严重后果
。品牌声誉损害：生产资料及客户数据的泄露 ，除了有损产能，也会给企业的声誉造成持久的影响。虽然此类影响并不会直接显露，但是在事后的一段时间 ，必然会给企业的品牌信任度、产品市占率等带来常用的高防服务器连锁损失 。技术防护措施

面对错综复杂的潜在威胁 ，负责OT环境的安全团队应当主动采取业界普遍采用的技术手段，降低MES及其所处环境的风险，保障系统与数据的完整性、可用性和机密性。下面便是在工业制造领域，常被使用的安全管控原则与防护措施：

访问控制 ：有效的账号身份验证和访问控制对于防止MES被未经授权访问是模板下载至关重要的。具体手段包括：强制采用强密码策略（即规定了密码长度、复杂程度和更换周期），实施多因素身份验证（MFA） ，分配适当的用户角色和权限等。当然，此类控制绝不仅仅是首次或一次性的 ，在企业日常运营过程中 ，安全团队需要定期收集 ，协调审查，按需调整，使用访问控制来降低内 、外部威胁 。网络分段：通过对OT环境的网络基础设施进行分段，将MES与企业其他系统及网络相隔离 ，从而限制提权尝试在网络之间的横向移动，以及利用系统漏洞的攻击肆意传播。访问通道 ：针对MES的远程访问，应采用私密网络或安全的远程桌面协议，防止中间人攻击（MiTM）；而对于MES组件 
、设备和外部系统之间的传输通道
，则需实施SSL/TLS等加密协议 ，保障数据往来的机密性和完整性。同时 ，用于远程访问和监控的安全连接也可以提供额外的保护。检测预防：通过在不同的逻辑网段安装工业防火墙、部署入侵检测和防御系统（IDPS），企业可以实时识别和缓解潜在的网络威胁 。这些系统可以实时监控网络流量，识别攻击模式 ，发出各种警报
 ，甚至能够针对违规活动采取主动的响应对策 。软件开发：通过工作说明书（SOW）的形式，企业应要求供应商或内部开发团队在开发MES软件期间，遵循安全编码实践。同时，在MES上线前和运营中，需定期进行漏洞查找、代码扫描、以及渗透测试。补丁更新：与所有的软件系统类似
，MES软件的定期更新和修补，可以确保其有效应对MES及其连接系统上已知的和新发现的安全漏洞 。上述IDPS的签名也需要得到定期下载与更新
 ，以便安全团队按需分析日志，跟踪可疑行为 ，进而积极应对不断演变的威胁与攻击。备份恢复：为MES定制周期性系统数据的自动备份，并配备相应的恢复测试过程，可以确保在系统受损或数据丢失等安全事件发生时，安全团队能够通过可靠的备份 ，快速实施系统与服务的恢复，并最大限度地减少关键数据的丢失。运营管理实践

我们常说：“三分技术 ，七分管理”
 。光有上述技术措施是不够的 ，制造型企业还需要依靠全面有效的管理实践 ，来持续管控MES在企业日常运营中的各类风险 ：

识别分类敏感数据
：安全团队需要了解MES系统中收集、处理和存储的数据类型（包括个人信息和商业秘密等敏感数据），并根据其敏感性对每一种类型进行分类。此举既有助于获悉MES在数据安全方面所需的保护力度，又利于满足GDPR和《数据安全法》等相关法律法规 。记录监控知识产权
：制造型企业的MES中不乏各种专有算法
、软件或制造技术等宝贵的知识产权（IP）。对此，安全团队应协同法务团队进行全面盘点，记录所有权、许可协议、以及对IP的访问或使用限制，进而核查是否已实施了加密
、数字版权管理（DRM）和访问控制等控制措施，并持续监控其使用情况，以便及时针对侵犯或滥用的情况采取法律行动。此外，还应遵从制造业的惯例，审查有权访问此类信息的员工、承包商、及合作伙伴是否签署了保密协议（NDA） 。执行全面风险评估：企业安全团队需要对包括MES系统、过程控制系统、以及数据采集与监视控制系统（SCADA）等OT环境内的系统
，开展软件 、硬件
、集成点组件 、以及网络基础设施的全面实施风险评估，以识别潜在的漏洞和威胁。实施行业标准实践 ：参照本企业所处领域的优秀行业实践，如：NIST SP800-82、IEC 62443标准 、以及我国的等级保护2.0三级等  ，制定和实施与广泛认可的标准相一致的安全策略和流程。建立事件响应计划：通过问卷调查、现场排摸、小组讨论
、沙盘模拟等方式，制定全面的事件响应计划，以应对安全攻击或运营中断等突发事件
。其中，应包含应急处置的基本步骤 、角色职能、电话树（call tree）信息、以及遏制与恢复的详细流程，进而大幅减少宕机影响
，并促进快速恢复 。供应商的合作管理：制造型企业的MES往往是由供应商提供的，这就需要双方在软件、硬件、以及集成服务上的紧密合作 。为了避免出现安全责任上的真空地带 ，在实现签署服务级别协议（SLA）的基础上，企业应持续对供应商的资质 ，及其网络、系统的安全策略 、配置 
、加固、更新 、修补进行记录审查、报告交流、以及合规性评估。安全文化意识培训
：常言道：“与其被动遵守，不如主动拥抱”。对于MES安全管理贵在上下一心，共同营造安全文化与实践的氛围。其中包括 ：管理层的支持
：通过安全团队对于真实安全事故和处罚案例的宣贯，确保企业管理层能够为MES等OT系统的实施和运维分配必要的资源
、设定明确的期望、以及给予赏罚的支持 。员工的意识培训
：定期给日常接触和可能接触到MES的所有员工，培训有关系统与数据安全的常见风险特征 、社会工程攻击的类型 、现有法规与公司制度  ，以及最佳实践与应急操作 。鼓励员工报告其在MES运维过程中发现到的可疑安全问题，并及时奖惩他们对维护安全所做的行为。定期安全审查审计：周期性审查 、评估 、更新企业现有的安全策略、流程和控制措施，以应对新出现的威胁形势和不断出台的法规要求 。同时
，也应鼓励员工分享反馈和改进建议，以便酌情调整MES的安全设置 ，提高抗攻击能力 。此外，内、外部审计人员也可通过定期安全审计的方式 ，识别运营中的漏洞，与适用的安全标准和法律法规的差距，以获得客观的建议 。异常现象特征

相对于开放多变的IT环境，企业的OT环境可能相对比较封闭和稳定
，但是如果遭受攻击 ，仍会产生上述严重的后果。对此，我们需要针对处于OT环境的MES开展持续的安全检查 ，一旦发现有遭受攻击的现象
，应立即采取行动。毕竟干预越早
，控制措施越有效 ，损失就可能越小。相反
，攻击的持续时间越长，漏洞长时间无法得到修复，则生产线、供应链 、以及知识产权受到的损害也就越大。

在制造业中，常见的异常信号包括
：控制机器
、生产线或MES系统的网段上出现异常活动
、以及流量上的激增（特别是在闲时）
，这些很可能意味着有人拥有了由外向内的访问权限  、或正在生产系统内部进行某种恶意活动、甚至是攻击者正在使用MES或SCADA等其他关键性OT组件外传数据。此外 ，其他异常的现象还包括：生产系统上出现了未经获批的软件安装、陌生进程的运行 、可疑账号的创建  、以及操作员账号从不寻常的位置或陌生的设备上登录等。这些都属于未经授权的运维活动。而识别这些异常现象 ，对于早期检测、及时响应  、及从防止轻微违规演变成重大事故，都是至关重要的 。

异常应急处置

一旦在生产系统中检测到了上述异常现象 ，负责OT系统的安全团队应立即采取如下关键步骤 ，以防止损害的扩大，并及时予以补救：

隔离涉事系统：安全团队应立即从OT网络中对疑似受到攻击的系统 ，包括 ：生产机械 、装配线 、SCADA系统或MES等予以物理和逻辑上的隔离 。如果无法隔离，请对其休眠或关闭 ，以防止损害的进一步扩散。捕获收集证据：尽快运用多种方式录入或捕获发现到的受影响系统（如 ：计算机数控（CNC）机器、机器人系统、可编程逻辑控制器（PLC）等）上，可疑现象或攻击事件的特征与异常行为，为应急响应团队提交“第一手”参考信息与判断依据。检查保存日志 ：检查OT环境中的安防系统，如：工业防火墙 
、防病毒系统 、端点检测和响应（EDR）、信息和事件管理（SIEM） 、以及IDPS系统，从相关日志中查找“蛛丝马迹”，并及时对发现到的日志文件妥善保护和转存 ，以防止被篡改或删除 。沟通报告事件 ：根据企业既定的应急处置指南 ，与内、外部利益方（如：企业管理层 、上下游供应商 
、当地监管机构
、协会、甚至是受到影响的个人）沟通。鉴于当前网络与系统可能已存在威胁 ，因此沟通的方式可采取非常规的通信方法（如 ：电话和加密的即时通讯），以避免被攻击者截获、甚至篡改。同时，安全团队也应协同关键利益方（如 ：供应商和客户）对生产系统 、及业务数据受到的影响开展评估。重建恢复系统：根据应急处置的策略 ，确定关键生产系统（如 ：MES 
、人机界面（HMI）等其他基本生产控制系统）的优先级
，通过既定的重建方式，使其恢复基本运能。同时，按需对受影响的账户重置密码，从离线加密备份中恢复数据，以最小化受到的损失 。记录经验教训：在安全事件得到控制后，安全团队应主动开展事后复盘，以比对应急设计与真实响应之间的差距 ，从中吸取经验与教训  ，按需协同涉事部门对受损的系统进行整改和加固。小结

综上所述，和工业控制系统（ICS）
、企业资源规划（ERP）系统类似
，MES作为OT环境中的一个重要组成部分，虽然能够给企业带来制造运营上的显著好处 ，但也带来了上文提到的各种潜在风险与挑战。而由于MES集成了企业基础架构中多个技术系统，因此安全团队需要持续监控和评估MES的潜在漏洞，通过采用上文提到的各项预防措施和优秀实践，来降低由MES给制造型企业带来的运营风险。

作者介绍

陈峻（Julian Chen）
，51CTO社区编辑，具有十多年的IT项目实施经验
，善于对内外部资源与风险实施管控 ，专注传播网络与信息安全知识与经验
。