【干货】产线文件的进出安全（企业中毒的几种常见场景）

10月20日下午2点，众里第122期线上安全讲坛如期举办。此次讲坛由我们众里数码的技术总监蔡体智Tim来主讲。 众所周知，制造型企业的产线一旦中病毒，那后果是非常严重的——业务中断、产线停摆、数据外泄，这些对于制造型企业都是灾难性的后果。而且近几年被病毒攻击的企业更是数不胜数。

本次讲坛我们围绕数据进出厂的四个核心关切点来展开：

问题一：供应商怎么安全的把文件带进来?

问题二：文件怎么从OT出去不泄密?

问题三：产线和办公怎么安全交换文件?

问题四：USB怎么防毒又方便管理?

对于这四个核心点，我们总结为十个字：进厂不带毒，出厂不泄密。

首先我们来理一下目前大家在产线中文件传输时会用到的工具，主要是：移动存储介质（U盘）、FTP/文件服务器、内部网盘以及网闸，而这几个工具他们都各有优缺点。

对于供应商如何安全的将文件带进产线，本期讲坛我们将这个分为三个场景：新进机台的入厂管理、供应商带文件进厂、供应商带笔记本电脑进厂。

首先对于新进机台的入厂管理，我们建议是分为三块步骤来进行，分别是离线操作、专网操作以及生产网操作。

然后对于供应商带文件进厂，这一块主要是两个途径：移动存储与网络上传，这两条路径都是极易带病毒进来的，因此我们也要分多块来进行检查。具体流程我们可以看下面的流程图。

最后对于供应商带笔记本电脑进厂，我们如何防止病毒进入，我们可以通过一整套的流程来进行预防。

1、员工将安全检查的Client下载链接提供给访客。

2、访客于外部下载安装后，强制执行全盘扫描。

3、访客将扫描结果(利用MAC address )通过邮件发给相关承办人员。

4、员工将扫描结果导入至平台进行记录，井将该设备的MAC address提供给门岗。

5、门岗依据扫描结果井进行快扫，设备入厂or不得入厂。

说到文件从OT出去时泄密，我们主要分为以下四种情况：手机拍照或拷贝泄露、笔电调试出厂泄露、流转到OA后泄露、供应链协作的泄露。

我们针对手机拍照或拷贝泄露其实目前已经有一个较为成熟的方案，就是我们在手机里安装一个软件来进行定位与功能限制，当软件定位到你进入产线核心区域时，就会将你手机的一部分功能进行限制。

对于笔电调试出厂的泄露，本文中我们只介绍一种较为有效的方案。就是在上文笔电进厂的流程中，当你的笔电进厂杀毒的同时，对你进行一个整机的备份，在你操作完需要出厂的时候，对你的笔电进行一个还原，这样我们就能确保你不会携带者我们的文件出去。

而对于流转到OA的泄露，如果你的企业对于数据的泄露非常的重视，那我们建议采用DLP的体系，相对于别的防泄密方式，DLP是较为有效的。当你采用了DLP之后，是否要将DLP衍生到OT就需要看你的企业的实际情况而定。

最后关于供应链协作的泄露，这一部分的泄露主要发生在两个场景，就是你的机密文件在内部流转，但面对客户又不得不发以及外发之后流转失控，保密制度失效。

对于这两个场景我们主要有以下几种解决方案：

1、外发中转Server端数据密文存放，不怕外泄，不怕勒索。

2、隐私安装agent，外部人员低感知或零感知。

3、限制文件流转后的操作权限：时间、水印、设备绑定、阅后即焚等。

这个交换的数据我们可以归类为两种，一种是非结构化的数据，一种是结构化的数据。

对于非结构化的数据，我们平时大多会采用FTP或是网盘等形式进行，但这种方式是很容易造成病毒传播的，我们建议最好是去使用双主机的摆渡机制。就是我们生产网一个主机，办公网一个主机，两个主机相对立，当双方需要传输数据时，我们就可以在两个主机当中采用多种管控措施，从而达到进防毒、出防泄密的最终目的。

对于结构化的数据我们建议是采用网闸的方式，因为你的MES与ERP难免会有数据的交换，如果是使用长连接的方式很容易被外部病毒攻击，导致数据泄露。而用网闸我们就可以将长连接给隔断，防止不同区域之间的病毒传播。

U盘这一块儿虽然上文说到，它有很多的弊端，但目前很多企业都在大量的使用U盘进行文件传输，并且不想去引进新的方案进行改变，那对此我们就要对U盘做好防毒与管理。

那这一块我们要做好两个方面，首先第一个方面就是我们要去设置OT机台的USB基线，让它只能用我们所指定的U盘。

第二个方面就是我们要去科学化的管理U盘。目前许多企业对于U盘的管理其实还停留在用人进行管理，当你申请使用U盘后，需要去OA办公人员处领取，那办公效率就会跟这个办公人员所挂钩。对此我们有一个新的方案，就是使用U盘柜进行管理。相对比之下，使用U盘柜可以提高很高的工作效率，因为U盘柜只需要线上进行申请，然后刷员工卡就可以去领取U盘了。这样就能够极大的节省人力成本，并且U盘柜还内置杀毒引擎，不需要再去人为的杀毒、清除资料、上传日志等行为。

问

对于工厂制造业，如果初期没有好的管理工具管理内部FILE SERVER的权限软件（除了AD，已有AD但未加域），还有什么其他方式管理内部文件夹权限吗？

答

在办公里面，如果是初期，推荐是使用网盘一类的工具进行管理。如果是已有AD但未加域，可以做一个身份和访问管理，有这个平台可以与AD进行对接，将AD域作为源，所有pc通过公司统一的认证管理平台再去进行访问。

详细问题可以私信询问