防止文件傳輸引發病毒感染10月20日下午2點，何還眾里第122期線上安全講壇如期舉辦。原電原電此次講壇由我們眾里數碼的腦出腦出技術總監蔡體智Tim來主講。眾所周知，廠設廠設制造型企業的置還置產線一旦中病毒，那后

防止文件傳輸引發病毒感染

10月20日下午2點，殺病眾里第122期線上安全講壇如期舉辦。何還此次講壇由我們眾里數碼的原電原電技術總監蔡體智Tim來主講。眾所周知，腦出腦出制造型企業的廠設廠設產線一旦中病毒，那后果是置還置非常嚴重的——業務中斷、產線停擺、殺病數據外泄，何還這些對于制造型企業都是原電原電災難性的后果。而且近幾年被病毒攻擊的腦出腦出企業更是數不勝數。

本次講壇我們圍繞數據進出廠的四個核心關切點來展開：

1. 供應商怎么安全的把文件帶進來?

2. 文件怎么從OT出去不泄密?

3. 產線和辦公怎么安全交換文件?

4. USB怎么防毒又方便管理?

對于這四個核心點，我們總結為十個字：進廠不帶毒，出廠不泄密。

首先我們來理一下目前大家在產線中文件傳輸時會用到的工具，主要是：移動存儲介質（U盤）、FTP/文件服務器、內部網盤以及網閘，而這幾個工具他們都各有優缺點。

01、供應商安全的將文件帶進產線

對于供應商如何安全的將文件帶進產線，本期講壇我們將這個分為三個場景：新進機臺的入廠管理、供應商帶文件進廠、供應商帶筆記本電腦進廠。

首先對于新進機臺的入廠管理，我們建議是分為三塊步驟來進行，分別是離線操作、專網操作以及生產網操作。

然后對于供應商帶文件進廠，這一塊主要是兩個途徑：移動存儲與網絡上傳，這兩條路徑都是極易帶病毒進來的，因此我們也要分多塊來進行檢查。具體流程我們可以看下面的流程圖。

最后對于供應商帶筆記本電腦進廠，我們如何防止病毒進入，我們可以通過一整套的流程來進行預防。

1. 員工將安全檢查的Client下載鏈接提供給訪客。
2. 訪客于外部下載安裝后，強制執行全盤掃描。
3. 訪客將掃描結果(利用MAC address )通過郵件發給相關承辦人員。
4. 員工將掃描結果導入至平臺進行記錄，井將該設備的MAC address提供給門崗。
5. 門崗依據掃描結果井進行快掃，設備入廠or不得入廠。

02、文件出OT不泄密

說到文件從OT出去時泄密，我們主要分為以下四種情況：手機拍照或拷貝泄露、筆電調試出廠泄露、流轉到OA后泄露、供應鏈協作的泄露。

我們針對手機拍照或拷貝泄露其實目前已經有一個較為成熟的方案，就是我們在手機里安裝一個軟件來進行定位與功能限制，當軟件定位到你進入產線核心區域時，就會將你手機的一部分功能進行限制。

對于筆電調試出廠的泄露，本文中我們只介紹一種較為有效的方案。就是在上文筆電進廠的流程中，當你的筆電進廠殺毒的同時，對你進行一個整機的備份，在你操作完需要出廠的時候，對你的筆電進行一個還原，這樣我們就能確保你不會攜帶者我們的文件出去。

而對于流轉到OA的泄露，如果你的企業對于數據的泄露非常的重視，那我們建議采用DLP的體系，相對于別的防泄密方式，DLP是較為有效的。當你采用了DLP之后，是否要將DLP衍生到OT就需要看你的企業的實際情況而定。

最后關于供應鏈協作的泄露，這一部分的泄露主要發生在兩個場景，就是你的機密文件在內部流轉，但面對客戶又不得不發以及外發之后流轉失控，保密制度失效。

對于這兩個場景我們主要有以下幾種解決方案：

1. 外發中轉Server端數據密文存放，不怕外泄，不怕勒索。

   不銹鋼廚具去漬竅門:用做菜剩下的蘿卜頭反復擦拭漬跡處，便能除去。如果漬跡產生的時間已久，那么在蘿卜頭上沾些去污粉，效果很好 。

2. 隱私安裝agent，外部人員低感知或零感知。

3. 限制文件流轉后的操作權限：時間、水印、設備綁定、閱后即焚等。

   燒葷菜時，在加了酒后，再加點醋，菜就會變得香噴噴的。燒豆芽之類的素菜時，適當加點醋，味道好營養也好，因為醋對維生素有保護作用。

03、產線和辦公安全交換文件

這個交換的數據我們可以歸類為兩種，一種是非結構化的數據，一種是結構化的數據。

對于非結構化的數據，我們平時大多會采用FTP或是網盤等形式進行，但這種方式是很容易造成病毒傳播的，我們建議最好是去使用雙主機的擺渡機制。就是我們生產網一個主機，辦公網一個主機，兩個主機相對立，當雙方需要傳輸數據時，我們就可以在兩個主機當中采用多種管控措施，從而達到進防毒、出防泄密的最終目的。

對于結構化的數據我們建議是采用網閘的方式，因為你的MES與ERP難免會有數據的交換，如果是使用長連接的方式很容易被外部病毒攻擊，導致數據泄露。而用網閘我們就可以將長連接給隔斷，防止不同區域之間的病毒傳播。

04、U盤的防毒與管理

U盤這一塊兒雖然上文說到，它有很多的弊端，但目前很多企業都在大量的使用U盤進行文件傳輸，并且不想去引進新的方案進行改變，那對此我們就要對U盤做好防毒與管理。

那這一塊我們要做好兩個方面，首先第一個方面就是我們要去設置OT機臺的USB基線，讓它只能用我們所指定的U盤。

第二個方面就是我們要去科學化的管理U盤。目前許多企業對于U盤的管理其實還停留在用人進行管理，當你申請使用U盤后，需要去OA辦公人員處領取，那辦公效率就會跟這個辦公人員所掛鉤。對此我們有一個新的方案，就是使用U盤柜進行管理。相對比之下，使用U盤柜可以提高很高的工作效率，因為U盤柜只需要線上進行申請，然后刷員工卡就可以去領取U盤了。這樣就能夠極大的節省人力成本，并且U盤柜還內置殺毒引擎，不需要再去人為的殺毒、清除資料、上傳日志等行為。

在線問&答

問：

對于工廠制造業，如果初期沒有好的管理工具管理內部FILE SERVER的權限軟件（除了AD，已有AD但未加域），還有什么其他方式管理內部文件夾權限嗎？

答：

在辦公里面，如果是初期，推薦是使用網盤一類的工具進行管理。如果是已有AD但未加域，可以做一個身份和訪問管理，有這個平臺可以與AD進行對接，將AD域作為源，所有pc通過公司統一的認證管理平臺再去進行訪問。

講壇預告

我們的下一期講壇將由我們眾里數碼的研發長 Haven老師 來給大家講解有關于《快速讓Al+RPA在工廠落地》，主要給大家解決以下幾個問題：

1. 怎么把無塵室的人都撤出來？
2. 怎么樣才能不選錯Recipe?
3. 怎么樣才能自動化操作老舊機臺？
4. 靠人眼看屏幕的事，全讓Al去做？
5. 電子顯微鏡復判太累，讓Al來做？
6. AOI的復判太累又有漏檢，讓Al來做？

詳細問題可以私信詢問

END

美白牙齒：干牙刷上撒點鹽可以讓牙齒變白。

免責聲明：本站所有信息均搜集自互聯網，并不代表本站觀點，本站不對其真實合法性負責。如有信息侵犯了您的權益，請告知，本站將立刻處理。聯系QQ：1640731186