2001年，新能源汽车的研究项目被列入国家“863”重大科技课题，到2015年5月，国务院发布了《中国制造2025》，将新能源汽车列为重点发展领域之一，提出要加快新能源汽车的技术研发和产业化进程。接下来的几年，各部门先后推出70余项新能源汽车产业支持政策措施，建立了完整、有机协同的产业体系。政府还出台了多项补贴政策，对新能源汽车的生产和销售给予高额补贴。

在财政补贴等政策刺激以及市场需求推动下，截至2023年，新能源汽车新车年销量占汽车新车年销量的比例提升至31.6%。我国新能源汽车年销量949.5万辆，占全球市场份额超过60%，连续9年全球第一，其中中国品牌新能源乘用车销量728.9万辆，占国内市场份额的80.6%。

新能源汽车作为汽车行业的一大创新领域，其发展迅速，不仅在动力系统上实现了从传统燃油向电力的转变，而且在智能化、网联化方面也取得了显著进展。

图1 新能源汽车生产制造过程

随着新能源汽车产业的蓬勃发展，智能化、网络化的深入融合使得汽车生产基地不仅仅是物理空间的集合，更是有着数据流动和信息交互的复杂网络。因此，新能源汽车生产基地的网络安全建设成为了保障生产安全、维护企业核心竞争力的关键要素。基地网络连接着设计、研发、生产、供应链管理等多个环节，涉及大量敏感数据和知识产权的传输，包括车辆设计图纸、生产工艺流程、客户信息等，一旦遭受网络攻击，可能导致生产中断、数据泄露甚至产品安全隐患，造成不可估量的经济损失和品牌信誉损害。

本文将描述某新能源汽车集团下属生产基地的安全建设流程，该生产基地生产控制系统集成了数据处理、分析与决策能力，旨在优化和自动化汽车制造流程。这类系统部署在工厂的现场层级，直接与生产设备、传感器、执行器等底层硬件交互，执行实时的数据处理与控制任务。基地集成了大量先进的信息技术，如物联网（IoT）、大数据分析、云计算平台，这些技术的广泛应用虽然增强了生产流程的灵活性和响应速度，但同时也增加了网络遭受攻击的风险。

因此，构建全方位、多层次的网络安全防护体系成为新能源汽车生产基地的迫切需求。

图2 新能源汽车生产基地车间构成图

图3 生产基地网络现状拓扑图

就整个生产基地生产控制系统需要考虑主要面临两方面的典型安全问题：一是安全技术问题；二是安全管理制度问题。

生产基地整体工控网络与信息网络之间、以及基地各车间之间的安全隔离措施和防病毒措施，需要建设有效的访问控制和安全隔离，避免来自互联网或信息网横向的恶意攻击蔓延，影响基地工控系统的正常运行。

整个汽车制造企业已经成为APT组织重点攻击的对象，未知威胁成为破坏工控系统的攻击利器，特别是随着工业互联网建设，云端、供应链、信息网多个环节都存在攻击风险，需要采取的安全技术必须能够有效地检测和防范未知攻击。

生产基地生产网的工控主机操作系统大部分没有安装任何杀毒软件，少部分安装杀毒软件但限于工业网络现状，长期没有进行病毒库更新并且存在误杀现象，缺少恶意代码防护能力，同时随着工业互联网的连通，更需注重对终端病毒扩散蔓延进行有效防护。

在开展生产基地生产控制系统整体安全建设的同时，大部分工控厂商现场工程师们基本靠移动U盘或光盘等与工控网中的设备上传或下载数据信息，而往往这些移动介质是没有通过专门的安全检查就被带入网络中使用，这时很容易将病毒木马带入终端，然后通过终端散播到网络的各个区域，最终致使整体生产网络瘫痪，所以必须加强移动介质的管控，避免非授权，非安全移动介质接入到业务系统内。

在集团整体IT网络建设后期，为了集团管理的规范化和信息管理的统一化，需要设立生产基地工控安全运维中心，并通过集团统一安全管理实现对基地安全产品分布式集管，有益于集团统一纳管做总体安全决策。

除了采用信息安全技术措施控制信息安全威胁外，安全管理措施也是必不可少的手段，所谓“三分技术，七分管理”就是这个道理。安全技术措施和安全管理措施可以相互补充，共同构建全面、有效的信息安全保障体系。管理层主要考虑如下方面的内容：

• 安全管理制度

• 安全组织机构

• 安全管理人员

• 安全建设管理

• 安全运维管理

针对新能源汽车生产基地的工控系统工控安全现状，结合PDCA全面质量管理体系模型对基地的工控安全建设进行整体规划，分别从安全规划、安全建设、安全评估、安全运营 这四个维度来开展工作。

图4 质量管理体系模型工控安全建设方案设计思路

结合企业当前的网络安全现状并结合工控系统运行环境相对稳定，系统更新频率较低的特点，按照工业和信息化部印发的《工业控制系统信息安全防护指南》关于工控主机安全软件的选择与管理的要求，提出基于“白名单”机制的工业控制系统网络安全“白环境”解决方案，通过对工控网络流量、工控主机状态等进行监控，收集并分析工控网络数据及软件运行状态，建立工控系统正常工作环境下的安全状态基线和模型，进而构筑工控安全“白环境”防护理念，确保：

• 只有可信任的设备，才能接入工控网络；

• 只有可信任的消息，才能在工控网络上传输；

• 只有可信任的软件，才允许被执行。

  
  

总体设计思路如下：

图5 基于“白环境”的“纵深安全防护技术体系”设计图

依照“一个中心，三重防护”进行安全设计，通过“白环境”的安全防护技术思路对新能源汽车生产基地的生产控制系统的通信网络、区域边界、计算环境、移动介质管控进行安全加固，形成常态化、体系化、实战化的防护体系。

在基地“白环境”安全能力资源池构建的基础上，从集团一体化安全运营的视角，以集团工业安全态势感知平台为技术底座，以IOT基础设施/业务系统、安全能力资源池和安全威胁采集为基础支撑层，形成自上而下的整体安全态势感知和监测预警与处置。

安全服务体系和安全运营体系是安全运营中心的羽翼，安全服务体系是对安全运营平台的服务保障，包含基础平台服务保障和智能制造生产系统生命周期安全服务保障；安全运营体系是安全运营平台发挥其功能特点的运营管理保障，包含运营组织、运维流程、日常运维机制、应急响应机制和管理制度流程。

按照生产基地的业务功能及重要性针对网络进行分区分域，在IT业务网与核心交换机交汇处，使用二代防火墙进行边界隔离，保障跨区域之间流量的安全性。在生产网与核心交换机之间，运用工业防火墙的白名单技术手段，实现IT&OT安全区域边界的“白环境”，借助访问控制白名单固化、工业协议白名单固化、业务白名单固化，提示区域边界安全和通信网络安全；其次，针对工业主机的特殊性，部署工控主机卫士，建立工控主机安全计算环境 “白名单”，实现应用锁定、系统锁定、外设锁定、网络锁定，协同集团工控统一安全管理平台对基地工控主机的安全管理、安全状态监测，保障计算环境安全。通过“移动介质安检站+工控主机卫士+安全U盘”的闭环管控模式，构建全生命周期的移动外设管控体系，实现移动介质管控。

在工业交换机旁挂工控安全监测与审计系统，实时监测生产系统内关键网络节点的业务流量，建立安全通信网络“白环境”，实现工控网络异常流量监测、异常行为监测；通过在工控安全运维中心部署工控日志审计与分析系统，有效解决生产系统信息安全孤岛，无法收集、存储和统一处理日志及告警信息。

在车间现场，经常会出现多名运维人员使用同一个资源账号远程访问同一资源信息的情况，导致出现安全事件后无法准确、清晰、快速定位事件责任人。在工控安全运维中心部署工控安全运维管理系统，可有效解决面临的问题；数据库审计系统帮助安全管理员打开数据库系统的“黑盒子”，全面地发现数据库在使用中的各种管理、系统配置风险，并给出合理化的修改建议。最后建立基地工控安全运维中心，采用集团工控统一安全管理平台实现对基地网络安全产品的统一策略下发，提高运维效率，降低维护成本，构建“一个中心、三重防护” 的纵深防御体系，方便以集团管理视角对基地进行统筹调度管理。

在此基础上，集团工业安全态势感知平台通过基地工业态感节点数据探针获取基地数据，以集团视角全方位做到业务安全整体监测，建立健全可靠的安全运营机制，全方位感知基地生产控制网络安全态势，实现资产管理、风险展示、业务可视、合规分析等，最终做到业务安全监测，建立可靠的安全运营机制，提升企业管理安全。

通过搭建与总部集团态势感知技术和威胁情报检测技术的动态防御体系，实现一个“全天候、全方位”的安全监护网，确保安全态势的透明度与可操作性，实现从被动应对到主动防御的战略转变。安全运营与数据分析紧密结合，通过对海量安全日志与事件的深度关联分析，揭示隐藏的安全模式与潜在的攻击链路，进一步优化防御策略。有效避免类似丰田、本田等汽车制造商曾遭遇的因网络病毒侵袭、工控系统漏洞利用而导致的重大经济损失和生产中断。

通过深度挖掘资产状况、潜在威胁与系统弱点，确保无论是内部还是外部的病毒攻击都无法渗透，保障生产活动免受干扰。建立新能源汽车生产基地工控系统正常工作环境下的安全状态基线和模型，进而构筑工业控制系统的网络安全“白环境”。

在新时代背景下，构建一套全面的生产网络安全管理体系，是推动汽车制造企业迈向数字化、网络化、智能化转型的必然要求。依托工业互联网技术的迅猛发展，我们致力于打造一个集安全性、高效性和创新性为一体的工控安全典范，为企业生产安全保驾护航。