汽车产业是我国工业体系的重要支柱产业，汽车制造业的自动化系统和IT系统功能日益强大，技术融合度越来越高，高度智能化制造技术将会成为未来的发展方向。随着自动化技术和工业以太网的发展，给工业控制系统带来了一些工控信息安全的风险和隐患。诸如工业控制系统下的生产工艺易受到非法入侵、木马病毒攻击、非授权访问、生产核心数据被窃取、破坏生产设备等恶意行为，可能会造成生产线的瘫痪，生产数据被破坏、窃取等威胁，从而造成生产安全事故。

　　某汽车制造厂家使用了高度自动化、智能化和网络化的生产线控制和管理系统，广泛地应用了自动化总线技术、PLC、变频器、机器人等汽车制造行业的自动化设备。通过将信息管理系统、MES系统、生产线自动化控制系统、WMS物流仓储系统等互联互通，信息共享，生产管理集中管控，实现企业信息管理和生产管理的统一。

　　该厂的上级集团公司信息安全要求，结合公司生产控制系统信息安全需求的实际情况，需要加强公司工业控制系统的安全防护工作，加大安全管理力度，保障安全生产，杜绝安全隐患的发生。
　　2017年下半年，该汽车制造厂家生产线频频出现终端主机死机、蓝屏等异常现象，经从生产安全及传统信息安全角度，历时半年的排查，均未发现问题根源所在。

　　威努特临危受命，委派北京总部专家，紧急召集上海分公司专业技术人员连夜奋战，经过了解客户现场网络环境和异常现象、进行现场网络环境勘察、制定检查计划及应急预案、采用监测审计平台定位异常主机、对锁定的异常主机进行针对性的病毒检测。最终为厂家查清了问题所在，并提供了全套工控信息安全解决方案。以此为例，为大家分享该工业控制系统安全检测实例。    
　　首先，与动态变化的传统信息网络相比，工业控制网络由于生产工艺长时间保持一致，网络流量比较平稳，一般的病毒传播或黑客攻击都会造成工业控制网络的流量较大变化。因此，在工业控制网络中通过监测网络流量，就可以有效发现工业控制网络中的异常行为。威努特通过监测审计平台分析网络实时流量，查看流量波动情况，如下图：

　　图一 网络实时流量图

　　其次，针对实时流量异常波动的情况，进行更详细的流量统计分析，从而锁定异常主机范围，如下图：

　　图二 流量统计图

　　再次，对异常范围内主机的端口进行统计分析，如下图：

　　图三 端口统计图

　　最后，对锁定的异常主机进行针对性的病毒检测，如下图：

　　图四 检测结果

　　发现的主要问题及分析：
　　◆发现现场上位机发送大量数据包，经分析是由于上位机的DLL文件被篡改，造成广播探测，探测的目的疑似向外网发送内部信息。
　　◆终端主机发送大量广播报文，经分析是由于终端感染病毒所造成的。
　　◆通过对终端主机硬盘的病毒筛查，发现了大量恶意软件。
　　通过专业的工控安全产品的检查，在检查过程中发现了生产网缺乏分区分域措施和机制、工控系统安全漏洞、缺乏工控安全审计、生产网中存在大量的恶意软件，充分说明了工业控制系统安全防护工作已迫在眉睫。