关于工业制造执行系统（MES）的安全防护与应急处置

作者 | 陈峻

审校 | 重楼

制造执行系统（MES）是当今制造设施中不可或缺的重要组成部分，可以有效地控制和管理制造型企业的生产过程。此类系统往往可以提供实时的数据收集、高效的资源分配、以及富有洞见的决策。可以说，在日益互联和数据驱动的制造环境中，MES正凭借着其在优化生产质量和效率的优势，改变着制造型企业管理其生产流程和可见性方面的综合能力。

不过，随着网络威胁的不断迭代、远程攻击的日趋复杂，MES系统正在面临前所未有的网络安全、系统攻击、数据隐私和知识产权等方面新的风险。下面，我们将深入探讨MES的潜在安全风险，技术与管理防护，以及在出现异常情况时的特征识别与应急处置。

潜在威胁挑战

鉴于MES与其他系统与网络的互连复杂性，它往往会成为各种网络攻击的潜在目标。因此，一旦安全保护措施不到位，MES就可能出现以下方面的严重安全问题：

• 知识产权盗窃：制造企业往往会在产品研发上投入巨资。对此，保护其知识产权变得非常重要。如果MES在配置上存在漏洞，就可能会为未经授权的攻击者提供入口，进而导致产品配比、制造流程等敏感数据被盗。
• 生产运营中断：在生产环境中，制造流程严重依赖MES的实时监督和控制。其漏洞一旦被恶意者利用，就可能会造成生产中断，进而导致运营停摆、交货延迟、以及重大的财务损失。
• 合规监管处罚：一些与国计民生相关的制造型企业的日常运营时常会受到行业、乃至地区的严格监管。而MES受到攻击后出现的数据泄露、以及产品问题，则会让企业蒙受法律惩处和经济处罚的严重后果。
• 品牌声誉损害：生产资料及客户数据的泄露，除了有损产能，也会给企业的声誉造成持久的影响。虽然此类影响并不会直接显露，但是在事后的一段时间，必然会给企业的品牌信任度、产品市占率等带来常用的连锁损失。

技术防护措施

面对错综复杂的潜在威胁，负责OT环境的安全团队应当主动采取业界普遍采用的技术手段，降低MES及其所处环境的风险，保障系统与数据的完整性、可用性和机密性。下面便是在工业制造领域，常被使用的安全管控原则与防护措施：

• 访问控制：有效的账号身份验证和访问控制对于防止MES被未经授权访问是至关重要的。具体手段包括：强制采用强密码策略（即规定了密码长度、复杂程度和更换周期），实施多因素身份验证（MFA），分配适当的用户角色和权限等。当然，此类控制绝不仅仅是首次或一次性的，在企业日常运营过程中，安全团队需要定期收集，协调审查，按需调整，使用访问控制来降低内、外部威胁。
• 网络分段：通过对OT环境的网络基础设施进行分段，将MES与企业其他系统及网络相隔离，从而限制提权尝试在网络之间的横向移动，以及利用系统漏洞的攻击肆意传播。
• 访问通道：针对MES的远程访问，应采用私密网络或安全的远程桌面协议，防止中间人攻击（MiTM）；而对于MES组件、设备和外部系统之间的传输通道，则需实施SSL/TLS等加密协议，保障数据往来的机密性和完整性。同时，用于远程访问和监控的安全连接也可以提供额外的保护。
• 检测预防：通过在不同的逻辑网段安装工业防火墙、部署入侵检测和防御系统（IDPS），企业可以实时识别和缓解潜在的网络威胁。这些系统可以实时监控网络流量，识别攻击模式，发出各种警报，甚至能够针对违规活动采取主动的响应对策。
• 软件开发：通过工作说明书（SOW）的形式，企业应要求供应商或内部开发团队在开发MES软件期间，遵循安全编码实践。同时，在MES上线前和运营中，需定期进行漏洞查找、代码扫描、以及渗透测试。
• 补丁更新：与所有的软件系统类似，MES软件的定期更新和修补，可以确保其有效应对MES及其连接系统上已知的和新发现的安全漏洞。上述IDPS的签名也需要得到定期下载与更新，以便安全团队按需分析日志，跟踪可疑行为，进而积极应对不断演变的威胁与攻击。
• 备份恢复：为MES定制周期性系统数据的自动备份，并配备相应的恢复测试过程，可以确保在系统受损或数据丢失等安全事件发生时，安全团队能够通过可靠的备份，快速实施系统与服务的恢复，并最大限度地减少关键数据的丢失。

运营管理实践

我们常说：“三分技术，七分管理”。光有上述技术措施是不够的，制造型企业还需要依靠全面有效的管理实践，来持续管控MES在企业日常运营中的各类风险：

• 识别分类敏感数据：安全团队需要了解MES系统中收集、处理和存储的数据类型（包括个人信息和商业秘密等敏感数据），并根据其敏感性对每一种类型进行分类。此举既有助于获悉MES在数据安全方面所需的保护力度，又利于满足GDPR和《数据安全法》等相关法律法规。
• 记录监控知识产权：制造型企业的MES中不乏各种专有算法、软件或制造技术等宝贵的知识产权（IP）。对此，安全团队应协同法务团队进行全面盘点，记录所有权、许可协议、以及对IP的访问或使用限制，进而核查是否已实施了加密、数字版权管理（DRM）和访问控制等控制措施，并持续监控其使用情况，以便及时针对侵犯或滥用的情况采取法律行动。此外，还应遵从制造业的惯例，审查有权访问此类信息的员工、承包商、及合作伙伴是否签署了保密协议（NDA）。
• 执行全面风险评估：企业安全团队需要对包括MES系统、过程控制系统、以及数据采集与监视控制系统（SCADA）等OT环境内的系统，开展软件、硬件、集成点组件、以及网络基础设施的全面实施风险评估，以识别潜在的漏洞和威胁。
• 实施行业标准实践：参照本企业所处领域的优秀行业实践，如：NIST SP800-82、IEC 62443标准、以及我国的等级保护2.0三级等，制定和实施与广泛认可的标准相一致的安全策略和流程。
• 建立事件响应计划：通过问卷调查、现场排摸、小组讨论、沙盘模拟等方式，制定全面的事件响应计划，以应对安全攻击或运营中断等突发事件。其中，应包含应急处置的基本步骤、角色职能、电话树（call tree）信息、以及遏制与恢复的详细流程，进而大幅减少宕机影响，并促进快速恢复。
• 供应商的合作管理：制造型企业的MES往往是由供应商提供的，这就需要双方在软件、硬件、以及集成服务上的紧密合作。为了避免出现安全责任上的真空地带，在实现签署服务级别协议（SLA）的基础上，企业应持续对供应商的资质，及其网络、系统的安全策略、配置、加固、更新、修补进行记录审查、报告交流、以及合规性评估。
• 安全文化意识培训：常言道：“与其被动遵守，不如主动拥抱”。对于MES安全管理贵在上下一心，共同营造安全文化与实践的氛围。其中包括：

• 管理层的支持：通过安全团队对于真实安全事故和处罚案例的宣贯，确保企业管理层能够为MES等OT系统的实施和运维分配必要的资源、设定明确的期望、以及给予赏罚的支持。
• 员工的意识培训：定期给日常接触和可能接触到MES的所有员工，培训有关系统与数据安全的常见风险特征、社会工程攻击的类型、现有法规与公司制度，以及最佳实践与应急操作。鼓励员工报告其在MES运维过程中发现到的可疑安全问题，并及时奖惩他们对维护安全所做的行为。
• 定期安全审查审计：周期性审查、评估、更新企业现有的安全策略、流程和控制措施，以应对新出现的威胁形势和不断出台的法规要求。同时，也应鼓励员工分享反馈和改进建议，以便酌情调整MES的安全设置，提高抗攻击能力。此外，内、外部审计人员也可通过定期安全审计的方式，识别运营中的漏洞，与适用的安全标准和法律法规的差距，以获得客观的建议。

异常现象特征

相对于开放多变的IT环境，企业的OT环境可能相对比较封闭和稳定，但是如果遭受攻击，仍会产生上述严重的后果。对此，我们需要针对处于OT环境的MES开展持续的安全检查，一旦发现有遭受攻击的现象，应立即采取行动。毕竟干预越早，控制措施越有效，损失就可能越小。相反，攻击的持续时间越长，漏洞长时间无法得到修复，则生产线、供应链、以及知识产权受到的损害也就越大。

在制造业中，常见的异常信号包括：控制机器、生产线或MES系统的网段上出现异常活动、以及流量上的激增（特别是在闲时），这些很可能意味着有人拥有了由外向内的访问权限、或正在生产系统内部进行某种恶意活动、甚至是攻击者正在使用MES或SCADA等其他关键性OT组件外传数据。此外，其他异常的现象还包括：生产系统上出现了未经获批的软件安装、陌生进程的运行、可疑账号的创建、以及操作员账号从不寻常的位置或陌生的设备上登录等。这些都属于未经授权的运维活动。而识别这些异常现象，对于早期检测、及时响应、及从防止轻微违规演变成重大事故，都是至关重要的。

异常应急处置

一旦在生产系统中检测到了上述异常现象，负责OT系统的安全团队应立即采取如下关键步骤，以防止损害的扩大，并及时予以补救：

• 隔离涉事系统：安全团队应立即从OT网络中对疑似受到攻击的系统，包括：生产机械、装配线、SCADA系统或MES等予以物理和逻辑上的隔离。如果无法隔离，请对其休眠或关闭，以防止损害的进一步扩散。
• 捕获收集证据：尽快运用多种方式录入或捕获发现到的受影响系统（如：计算机数控（CNC）机器、机器人系统、可编程逻辑控制器（PLC）等）上，可疑现象或攻击事件的特征与异常行为，为应急响应团队提交“第一手”参考信息与判断依据。
• 检查保存日志：检查OT环境中的安防系统，如：工业防火墙、防病毒系统、端点检测和响应（EDR）、信息和事件管理（SIEM）、以及IDPS系统，从相关日志中查找“蛛丝马迹”，并及时对发现到的日志文件妥善保护和转存，以防止被篡改或删除。
• 沟通报告事件：根据企业既定的应急处置指南，与内、外部利益方（如：企业管理层、上下游供应商、当地监管机构、协会、甚至是受到影响的个人）沟通。鉴于当前网络与系统可能已存在威胁，因此沟通的方式可采取非常规的通信方法（如：电话和加密的即时通讯），以避免被攻击者截获、甚至篡改。同时，安全团队也应协同关键利益方（如：供应商和客户）对生产系统、及业务数据受到的影响开展评估。
• 重建恢复系统：根据应急处置的策略，确定关键生产系统（如：MES、人机界面（HMI）等其他基本生产控制系统）的优先级，通过既定的重建方式，使其恢复基本运能。同时，按需对受影响的账户重置密码，从离线加密备份中恢复数据，以最小化受到的损失。
• 记录经验教训：在安全事件得到控制后，安全团队应主动开展事后复盘，以比对应急设计与真实响应之间的差距，从中吸取经验与教训，按需协同涉事部门对受损的系统进行整改和加固。

小结

综上所述，和工业控制系统（ICS）、企业资源规划（ERP）系统类似，MES作为OT环境中的一个重要组成部分，虽然能够给企业带来制造运营上的显著好处，但也带来了上文提到的各种潜在风险与挑战。而由于MES集成了企业基础架构中多个技术系统，因此安全团队需要持续监控和评估MES的潜在漏洞，通过采用上文提到的各项预防措施和优秀实践，来降低由MES给制造型企业带来的运营风险。

作者介绍

陈峻（Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。