作者 | 陳峻

審校 | 重樓

制造執行系統（MES）是當今制造設施中不可或缺的重要組成部分，可以有效地控制和管理制造型企業的生產過程。此類系統往往可以提供實時的數據收集、高效的資源分配、以及富有洞見的決策。可以說，在日益互聯和數據驅動的制造環境中，MES正憑借著其在優化生產質量和效率的優勢，改變著制造型企業管理其生產流程和可見性方面的綜合能力。

不過，隨著網絡威脅的不斷迭代、遠程攻擊的日趨復雜，MES系統正在面臨前所未有的網絡安全、系統攻擊、數據隱私和知識產權等方面新的風險。下面，我們將深入探討MES的潛在安全風險，技術與管理防護，以及在出現異常情況時的特征識別與應急處置。

潛在威脅挑戰

鑒于MES與其他系統與網絡的互連復雜性，它往往會成為各種網絡攻擊的潛在目標。因此，一旦安全保護措施不到位，MES就可能出現以下方面的嚴重安全問題：

• 知識產權盜竊：制造企業往往會在產品研發上投入巨資。對此，保護其知識產權變得非常重要。如果MES在配置上存在漏洞，就可能會為未經授權的攻擊者提供入口，進而導致產品配比、制造流程等敏感數據被盜。
• 生產運營中斷：在生產環境中，制造流程嚴重依賴MES的實時監督和控制。其漏洞一旦被惡意者利用，就可能會造成生產中斷，進而導致運營停擺、交貨延遲、以及重大的財務損失。
• 合規監管處罰：一些與國計民生相關的制造型企業的日常運營時常會受到行業、乃至地區的嚴格監管。而MES受到攻擊后出現的數據泄露、以及產品問題，則會讓企業蒙受法律懲處和經濟處罰的嚴重后果。
• 品牌聲譽損害：生產資料及客戶數據的泄露，除了有損產能，也會給企業的聲譽造成持久的影響。雖然此類影響并不會直接顯露，但是在事后的一段時間，必然會給企業的品牌信任度、產品市占率等帶來常用的連鎖損失。

技術防護措施

面對錯綜復雜的潛在威脅，負責OT環境的安全團隊應當主動采取業界普遍采用的技術手段，降低MES及其所處環境的風險，保障系統與數據的完整性、可用性和機密性。下面便是在工業制造領域，常被使用的安全管控原則與防護措施：

• 訪問控制：有效的賬號身份驗證和訪問控制對于防止MES被未經授權訪問是至關重要的。具體手段包括：強制采用強密碼策略（即規定了密碼長度、復雜程度和更換周期），實施多因素身份驗證（MFA），分配適當的用戶角色和權限等。當然，此類控制絕不僅僅是首次或一次性的，在企業日常運營過程中，安全團隊需要定期收集，協調審查，按需調整，使用訪問控制來降低內、外部威脅。
• 網絡分段：通過對OT環境的網絡基礎設施進行分段，將MES與企業其他系統及網絡相隔離，從而限制提權嘗試在網絡之間的橫向移動，以及利用系統漏洞的攻擊肆意傳播。
• 訪問通道：針對MES的遠程訪問，應采用私密網絡或安全的遠程桌面協議，防止中間人攻擊（MiTM）；而對于MES組件、設備和外部系統之間的傳輸通道，則需實施SSL/TLS等加密協議，保障數據往來的機密性和完整性。同時，用于遠程訪問和監控的安全連接也可以提供額外的保護。
• 檢測預防：通過在不同的邏輯網段安裝工業防火墻、部署入侵檢測和防御系統（IDPS），企業可以實時識別和緩解潛在的網絡威脅。這些系統可以實時監控網絡流量，識別攻擊模式，發出各種警報，甚至能夠針對違規活動采取主動的響應對策。
• 軟件開發：通過工作說明書（SOW）的形式，企業應要求供應商或內部開發團隊在開發MES軟件期間，遵循安全編碼實踐。同時，在MES上線前和運營中，需定期進行漏洞查找、代碼掃描、以及滲透測試。
• 補丁更新：與所有的軟件系統類似，MES軟件的定期更新和修補，可以確保其有效應對MES及其連接系統上已知的和新發現的安全漏洞。上述IDPS的簽名也需要得到定期下載與更新，以便安全團隊按需分析日志，跟蹤可疑行為，進而積極應對不斷演變的威脅與攻擊。
• 備份恢復：為MES定制周期性系統數據的自動備份，并配備相應的恢復測試過程，可以確保在系統受損或數據丟失等安全事件發生時，安全團隊能夠通過可靠的備份，快速實施系統與服務的恢復，并最大限度地減少關鍵數據的丟失。

運營管理實踐

我們常說：“三分技術，七分管理”。光有上述技術措施是不夠的，制造型企業還需要依靠全面有效的管理實踐，來持續管控MES在企業日常運營中的各類風險：

• 識別分類敏感數據：安全團隊需要了解MES系統中收集、處理和存儲的數據類型（包括個人信息和商業秘密等敏感數據），并根據其敏感性對每一種類型進行分類。此舉既有助于獲悉MES在數據安全方面所需的保護力度，又利于滿足GDPR和《數據安全法》等相關法律法規。
• 記錄監控知識產權：制造型企業的MES中不乏各種專有算法、軟件或制造技術等寶貴的知識產權（IP）。對此，安全團隊應協同法務團隊進行全面盤點，記錄所有權、許可協議、以及對IP的訪問或使用限制，進而核查是否已實施了加密、數字版權管理（DRM）和訪問控制等控制措施，并持續監控其使用情況，以便及時針對侵犯或濫用的情況采取法律行動。此外，還應遵從制造業的慣例，審查有權訪問此類信息的員工、承包商、及合作伙伴是否簽署了保密協議（NDA）。
• 執行全面風險評估：企業安全團隊需要對包括MES系統、過程控制系統、以及數據采集與監視控制系統（SCADA）等OT環境內的系統，開展軟件、硬件、集成點組件、以及網絡基礎設施的全面實施風險評估，以識別潛在的漏洞和威脅。
• 實施行業標準實踐：參照本企業所處領域的優秀行業實踐，如：NIST SP800-82、IEC 62443標準、以及我國的等級保護2.0三級等，制定和實施與廣泛認可的標準相一致的安全策略和流程。
• 建立事件響應計劃：通過問卷調查、現場排摸、小組討論、沙盤模擬等方式，制定全面的事件響應計劃，以應對安全攻擊或運營中斷等突發事件。其中，應包含應急處置的基本步驟、角色職能、電話樹（call tree）信息、以及遏制與恢復的詳細流程，進而大幅減少宕機影響，并促進快速恢復。
• 供應商的合作管理：制造型企業的MES往往是由供應商提供的，這就需要雙方在軟件、硬件、以及集成服務上的緊密合作。為了避免出現安全責任上的真空地帶，在實現簽署服務級別協議（SLA）的基礎上，企業應持續對供應商的資質，及其網絡、系統的安全策略、配置、加固、更新、修補進行記錄審查、報告交流、以及合規性評估。
• 安全文化意識培訓：常言道：“與其被動遵守，不如主動擁抱”。對于MES安全管理貴在上下一心，共同營造安全文化與實踐的氛圍。其中包括：

• 管理層的支持：通過安全團隊對于真實安全事故和處罰案例的宣貫，確保企業管理層能夠為MES等OT系統的實施和運維分配必要的資源、設定明確的期望、以及給予賞罰的支持。
• 員工的意識培訓：定期給日常接觸和可能接觸到MES的所有員工，培訓有關系統與數據安全的常見風險特征、社會工程攻擊的類型、現有法規與公司制度，以及最佳實踐與應急操作。鼓勵員工報告其在MES運維過程中發現到的可疑安全問題，并及時獎懲他們對維護安全所做的行為。
• 定期安全審查審計：周期性審查、評估、更新企業現有的安全策略、流程和控制措施，以應對新出現的威脅形勢和不斷出臺的法規要求。同時，也應鼓勵員工分享反饋和改進建議，以便酌情調整MES的安全設置，提高抗攻擊能力。此外，內、外部審計人員也可通過定期安全審計的方式，識別運營中的漏洞，與適用的安全標準和法律法規的差距，以獲得客觀的建議。

異常現象特征

相對于開放多變的IT環境，企業的OT環境可能相對比較封閉和穩定，但是如果遭受攻擊，仍會產生上述嚴重的后果。對此，我們需要針對處于OT環境的MES開展持續的安全檢查，一旦發現有遭受攻擊的現象，應立即采取行動。畢竟干預越早，控制措施越有效，損失就可能越小。相反，攻擊的持續時間越長，漏洞長時間無法得到修復，則生產線、供應鏈、以及知識產權受到的損害也就越大。

在制造業中，常見的異常信號包括：控制機器、生產線或MES系統的網段上出現異常活動、以及流量上的激增（特別是在閑時），這些很可能意味著有人擁有了由外向內的訪問權限、或正在生產系統內部進行某種惡意活動、甚至是攻擊者正在使用MES或SCADA等其他關鍵性OT組件外傳數據。此外，其他異常的現象還包括：生產系統上出現了未經獲批的軟件安裝、陌生進程的運行、可疑賬號的創建、以及操作員賬號從不尋常的位置或陌生的設備上登錄等。這些都屬于未經授權的運維活動。而識別這些異常現象，對于早期檢測、及時響應、及從防止輕微違規演變成重大事故，都是至關重要的。

異常應急處置

一旦在生產系統中檢測到了上述異常現象，負責OT系統的安全團隊應立即采取如下關鍵步驟，以防止損害的擴大，并及時予以補救：

• 隔離涉事系統：安全團隊應立即從OT網絡中對疑似受到攻擊的系統，包括：生產機械、裝配線、SCADA系統或MES等予以物理和邏輯上的隔離。如果無法隔離，請對其休眠或關閉，以防止損害的進一步擴散。
• 捕獲收集證據：盡快運用多種方式錄入或捕獲發現到的受影響系統（如：計算機數控（CNC）機器、機器人系統、可編程邏輯控制器（PLC）等）上，可疑現象或攻擊事件的特征與異常行為，為應急響應團隊提交“第一手”參考信息與判斷依據。
• 檢查保存日志：檢查OT環境中的安防系統，如：工業防火墻、防病毒系統、端點檢測和響應（EDR）、信息和事件管理（SIEM）、以及IDPS系統，從相關日志中查找“蛛絲馬跡”，并及時對發現到的日志文件妥善保護和轉存，以防止被篡改或刪除。
• 溝通報告事件：根據企業既定的應急處置指南，與內、外部利益方（如：企業管理層、上下游供應商、當地監管機構、協會、甚至是受到影響的個人）溝通。鑒于當前網絡與系統可能已存在威脅，因此溝通的方式可采取非常規的通信方法（如：電話和加密的即時通訊），以避免被攻擊者截獲、甚至篡改。同時，安全團隊也應協同關鍵利益方（如：供應商和客戶）對生產系統、及業務數據受到的影響開展評估。
• 重建恢復系統：根據應急處置的策略，確定關鍵生產系統（如：MES、人機界面（HMI）等其他基本生產控制系統）的優先級，通過既定的重建方式，使其恢復基本運能。同時，按需對受影響的賬戶重置密碼，從離線加密備份中恢復數據，以最小化受到的損失。
• 記錄經驗教訓：在安全事件得到控制后，安全團隊應主動開展事后復盤，以比對應急設計與真實響應之間的差距，從中吸取經驗與教訓，按需協同涉事部門對受損的系統進行整改和加固。

小結

綜上所述，和工業控制系統（ICS）、企業資源規劃（ERP）系統類似，MES作為OT環境中的一個重要組成部分，雖然能夠給企業帶來制造運營上的顯著好處，但也帶來了上文提到的各種潛在風險與挑戰。而由于MES集成了企業基礎架構中多個技術系統，因此安全團隊需要持續監控和評估MES的潛在漏洞，通過采用上文提到的各項預防措施和優秀實踐，來降低由MES給制造型企業帶來的運營風險。

作者介紹

陳峻（Julian Chen），51CTO社區編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。