互联工厂整体安全性制造研究报告.pptx

互联工厂整体安全性制造研究报告,“,远程设备,现场网络,互联网,云系统,来自受感染HMI 的威胁,全球制造商利用互联工厂安全解决方案保护关键任务工业运营的安全制造商面临的威胁飙升对于世界领先的制造商而言，网络安全比以往更加重要，而他们如此看重网络安全也是有充分理由的。尽管近年来网络安全有了突飞猛进的发展，但制造和工业运营仍是“易受攻击的孤岛”，往往会被危险分子利用。传统工业控制系统中有很多系统在创建时并未考虑安全性，因而特别容易遭受网络威胁。而且，由于这些系统与企业 IT 技术融合和集成，新的攻击手段层出不穷。最近的戴尔安全年度威胁报告指出， 使用老化的工业机械基础设施会带来巨大的安全挑战，并且这种挑战在未来数月和数年中将持续加剧。” 1今天，制造商们需要更先进的技术来掌控新的 IoT 格局，跨全球网络连接数百万台机器设备。然而，许多工厂和 OT 经理对于实施可能影响生产计划的措施十分谨慎，因此不愿转变现有的分离式网络。此外，图 1. 制造商面临的威胁状况演变图企业网络来自云服务和互联网的威胁,外泄攻击,DMZ,控制,网络,服务器监控网络SCADA,记录者,记录者,系统网络HMI,IED/PLC,IED/PLC,VPN,经由远程访问产生的威胁,来自未授权控制的威胁不受控制的访问,来自未授权控制的威胁,y,“,图 2. 如果网络安全问题导致全数字化计划推迟实施，增长潜力和市场地位将受到重创制造业全数字化使用案例预测性维护（分析）,1-2 年,2-3 年,35 年,质量和缺陷控制自动化,如果网络安全问题导致全数字化延迟实施，您可能需要 5 年时间实现价值并赶上竞争对手。,采用滞后,能源管理,互联产品维护装配线转换,远程维护可视化工厂采用时间管理者忙于监督合作伙伴和供应商对工厂车间的访问（通常涵盖多个工厂），这为危险分子的侵入制造了更多可乘之机。事实上，人为错误是导致安全漏洞的最重要原因之一。McAfee 指出， 攻击者往往会瞄准那些能轻易被侵入的系统，而工业自动化和控制系统 (IACS) 网络正好是一个有很多目标可让攻击者下手的环境。” 2代价高昂的漏洞企业及工业运营者都很清楚安全漏洞造成的危害。它涵盖从物理损害和环境危害到无形影响（如品牌声誉和客户信任）的方方面面。在工业环境中，安全漏洞造成的经济损失尤其严重，一次攻击可能导致损失数百万美元的故障停机、生产计划中断以及造价昂贵的机器设备损坏。在最严重的情况下，工人的健康和 /或安全也可能受到威胁。未能应对安全威胁的制造商还不得不面对另一个代价高昂的风险：错失创收和增加市场份额的机会。图 1显示了 7 个使用案例中网络安全风险和全数字化采用延迟产生的潜在影响，这些将在未来 10 年推动制造业大部分的“全数字化经济价值”。所有这些使用案例都需要制造商在其运营环境中采用新的全数字化解决方案。但是，制造商首先必须对他们的集成化 IT 和 OT 网络安全策略有信心。否则，他们将错失全数字化带来的重要经济价值及其可提升的盈利能力。由于当今制造商面临的网络威胁日益升级，而且未能及时部署安全解决方案的企业面临真正的竞争劣势，难怪最近对 350 多家企业的调研显示 89% 的企业称他们有专门的高级管理者直接负责安全事务。 3,策略程序和意识物理网络电脑应用设备,整体策略为了在新的威胁格局下安全地运营，制造商需要实施新策略和架构。通过防火墙和访问管理“防护网络边缘”与强有力的 OT 分段策略一样必要，两者在现今的 ICS 网络中均普遍缺乏。不过，这只是现今脆弱工业环境下安全解决方案的一部分，因为在这样的环境中，威胁可能自工厂内和工厂外而生，也可能因无意的人为错误所致。实际上，当今的制造商还需要整合多层独立安全控制（物理控制、程序控制和电子控制）的“深度防御”策略。在当今融合 IT 和 OT 网络、云计,图 3. 深度防御,算、移动性和 IoT 平台盛行的时代，整体数据安全保护方法必不可少。随着移动设备和 Wi-Fi 网络激增以及 OT 网络越来越容易获得和遭受攻击，当今制造商必须部署新一代安全技术，以抵御几年前闻所未闻的安全威胁。这样，在制造安全方面领先的企业能保持竞争优势，并保护公司品牌和声誉。因此，在 OT 网络内以及 IT网络与 OT 网络之间实现安全连接势在必行。安全的网络架构可拓宽数据可访问性，同时确保企业可通过提升协作能力、总体设备效率 (OEE) 和产品质量安全地提高效率。而且，安全的集成化 IT 和 OT 网络能帮助制造商系统地应对工厂车间的环境、健康和安全问题，从而进一步降低风险。“充分了解之前未被发现的网络威胁，有助于让我们的团队确信，在我们整个工业网络中增加入侵防护技术是正确之道。” 法国液化空气集团国家供应及管道运营总监 Charles Harper,现代制造商的安全性,威胁,在现今互联工厂和机器设备比比皆是的世界中，威胁状况不断发展变化，强大可靠的安全性对制造商而言比以往任何时候都重要。随着工厂车间与业务流程更紧密地结合，安全问题已超出企业的范畴，可能会影响机器设备和运营。,新一代安全性,要在威胁愈加复杂、攻击手段成倍增加的环境下安全开展运营，现代制造商必须积极采用围绕多层防护构建且连接基础设施、机器流程和人员的整体安全模式。,安全工厂云,随着云成为企业以较低成本收集和分析数据的常用工具，制造业中云的应用将会显著增加。,工厂云技术使工厂管理者和远程专家能从各处安全地访问生产数据，并保护 IoT 连接的机器设备,之间的数据通信。,安全工厂数据中心,工厂数据中心若出现安全漏洞，其结果可能是毁灭性的，会造成数据丢失和故障停机。思,科 IPS 解决方案为数据中心提供切实可行的安全性，可屏蔽安全威胁，防止它们破坏数据中心服务。,此解决方案能帮助数据中心快速部署安全和弹性服务，同时防火墙还在性能和易管理性方面处于市场领先地位。,安全的工厂车间,不仅在工厂车间和企业之间实现深入连接，而且还涵盖制造商周边更广泛的生态系统。新的工厂车间要求有更灵活、更先进的安全和威胁防护。由安全路由器、防火墙、入侵防护系统、无,线 IPS 和 TrustSec 组成的产品组合共同为您的工厂车间以及与之连接的一切提供多层,防护。,安全的工厂机器设备,如今，企业通过云和 IoT 网络将成千上万台工厂机器设备连接，使生产效率和业务创新达到新高度，但同时也给 OT 和 IT 管理者带来了复杂的安全挑战。及其合作伙伴为企业提供新一代技术，,帮助抵御工厂车间内部和外部的攻击者。,互联工厂安全性,多年来，一直帮助制造商保护其某些最关键运营的安全。数千家工业运营商，其中包括通用汽,车、戴姆勒卡车北美公司、Stanley Black & Decker、法国液化空气集团等著名制造商，都在其制,造运营中实施了安全解决方案，以抵御安全威胁，确保运营连续性、系统完整性和安全性。,安全解决方案对各种制造流程进行改变，可使企业安全地保护整合基础设施、机器设备流程和人员。这些解决方案和服务旨在实现最佳的投资回报率和可衡量的业务成果，包括以下内容：, 资产盘点和监控。能使制造商识别和监控其网络中的所有资产和用户并为安全的远程访问奠定坚,实的基础。, 识别和访问管理。这些解决方案为供应商和承包商访问、设备加入合理化和动态策略实施提供便利。 工业 DMZ。的工业隔离区提供先进的外围网络缓冲区，在可信和不可信的网络之间执行数据安全,策略。, 网络地址转换 (NAT) 技术。这些 IP 寻址解决方案精简了工厂范围内的机器设备网络，并提供额外的安,全性，防止网络入侵。, 工业网络安全服务。能分析网络风险、评估安全漏洞并设计和实施可减轻风险的网络及物理安全,控制，借此帮助制造商保护工业资产和防止网络中断。, 安全的运营托管服务。此项针对运营环境的模块化网络安全和合规解决方案可随企业需求的变化扩展，,提供经济实惠的服务化交付选择。, ICS 网络架构和设计服务。与制造商紧密合作，提供不仅能交付新一代安全性，而且能确保提升运,营绩效和投资回报率的解决方案。,让我们来看看制造商如何部署解决方案以打造整体安全平台，进而增强竞争力。,“身份服务引擎彻底革新了我们的网络。”, 迪堡公司副总裁兼首席安全官 David Kennedy,“,“,“,“,“,“,拒绝访问外部承包商将其笔记本电脑连接至工厂车间开关设备上的开放端口，想要下载服务手册。ISE会检测他的连接和身份并拒绝他访问网络，防止出现潜在的停机事故。,全面的访问控制,随着连接至 IACS 网络的设备的数量和类型不断增加，用于管理安全性和减少风险的现有技术面临需要与时俱进的挑战。身份服务引擎 (ISE) 使制造商能采用新一代技术，确保实现工厂内高度安全的有线和无线访问，同时提供集中化的策略管理、简化的设备载入以及动态实施。身份服务引擎支持多个外部身份资源库，并通过为 IT 和 OT 网络提供单个集成管理接口来简化管理。利用该引擎，制造商现在拥有一个集中化的情境感知系统，可有效控制工业区内的访问。ISE 解决方案能根据用户角色和分组自动设置正确的访问权限和策略，并持续监控网络，以确保用户仅在经过授权且符合策略的设备上访问网络。用户只能访问工业网络中策略允许访问的分段，而不能访问其他分段，并且整个过程对于用户而言是透明的。迪堡利用身份服务引擎保护全球机器设备网络作为全球领先的 ATM 制造商，迪堡公司深知安全的重要性。 安全性是我们组织不可或缺的一个重要部分。”迪堡首席安全官 David Kennedy 表示。 我们的首要安全任务是确保我们的业务能产生收入。”迪堡目前部署了一系列的安全解决方案，包括身份服务引擎 (ISE)，以帮助保护其遍布 77 个国家/地区、共 87,000 台设备的网络。随着迪堡在工作场所引入新的技术和设备，Kennedy 表示公司在实现完整的网络可见性和控制方面面临更艰巨的挑战。他认为“如今有更多的风险暴露机会和内部威胁”，由于平板电脑、智能手机和其他移动设备纷纷涌入工业领域的工作场所，情况变得非常复杂。他表示，在这些情况下，很难对网络中活动的身份进行“精细控制”。迪堡仔细审视竞争对手，发现“没有一家公司可以做到 ISE 所做的一切”，Kennedy 回忆道。“ ISE 的全面性给我们带来了巨大优势。”该解决方案与 AnyConnect 安全移动客户端相集成，让迪堡能轻松了解网络中所有设备的概况，并简化客户和承包商的访问。 它使我们的整个流程变得简单许多，”迪堡首席安全官如是说同时也显著提升安全性。 利用 ISE，我们现在只分配给 承包商 所需的信息、端口和协议。”他说道，并表示整个流程完全自动化，而且对用户公开透明。最重要的是，迪堡现在能有效应对和解决工业环境中移动设备所带来的风险。 移动设备是我们关注的一个重要问题，但有了 ISE，我们就没那么担心了。”Kennedy 表示。 思科 ISE 彻底革新了我们的网络。”,全球铝业公司利用 DMZ 优化和保护工业网络,工业 DMZ 在保护和优化全球最大铝生产设施之一方面发挥着重要作用。这家位于阿布扎比的大型冶炼厂由阿联酋铝业公司（EMAL，阿联酋全球铝业公司的一部分）斥资 60 亿美元打造， 年产量为 140 万吨。工厂被分成几个独立的工业区和 IT 网络，与铝生产流程中的不同阶段相对应。,工厂面临的挑战是：如何融合这些不同的网络并共享重要信息，以便在不牺牲安全性和恢复能力的前提下优化生产。,“,“,为此，EMAL 部署基于的 IDMZ，使用企业 IT 将各个区域的信息连接，同时亦保证了安全性。每个区域都有一个配置两道防火墙的 DMZ，提供一个“中间区域”，在此区域可识别可疑流量并将其隔离，防止其渗入网络、服务器和系统。该公司使用 DMZ 作为桥梁，有效融合其公司和制造网络，进而实现两个网络间的数据共享，并克服了专用接口的问题。 DMZ 通常被用于保护公司网络免受互联网威胁，”BBA 自动化经理（项目顾问）Sylvain Boily 表示。 在制造环境中应用DMZ 具有开创性意义。”,这家铝制造商正考虑采用其他解决方案，包括基于 IP 的监测系统，该系统可将视频监控与其他技,术（如分析和访问控制）相集成，提供不会过时的工厂整体安全解决方案。 我们创建了一个适用,“,”,于现在与未来的网络，Boily 说道 “它具有我们将信息传送至需要的地方所需的一切。冗余、安全性、,流量控制；一切都有。”,利用工业 DMZ 实现深度保护,没有任何一项产品、技术或方法能充分保护工业运营的安全。保护关键制造资产需要深度防护的整体安全方法，使用多层防护（物理防护、程序防护和电子防护）应对各种类型的威胁。,这也是为什么越来越多的制造商正将全面身份服务与先进的外围网络缓冲区相结合（即所谓的工业,DMZ），以便在可信网络（工业区域）和不可信网络（企业区域）之间执行数据安全策略。这些 IDMZ 构成了一个位于两个区域之间的单独网络。 IDMZ 通常由许多基础设施设备组成，包括防火墙、 VPN 服务器、IACS 应用程序主机和反向代理服务器，以及诸如开关、路由器和虚拟服务等网络基础设施设备。如果您十分重视 IACS 网络的安全性，可考虑采用针对融合式全厂以太网 (CPwE) 环境的一系列 IDMZ 解,决方案，这些解决方案通过和罗克韦尔自动化公司的战略联盟提供。,能源领导企业利用 Secure Ops 保护关键基础设施并缩减成本,这家全球领先能源企业每天在 70 个国家/地区产出超过 30 亿桶石油和天然气，网络攻击、运营风险以及合规性是其关注的首要问题。该公司工业控制系统 (ICS) 的发展和复杂性需要创新的解,决方案来保护关键基础设施（包括传统基础设施和新建基础设施），并帮助确保合规性，有效控制成本。,“,“无论 是 炼油厂、油井还是润滑油品调和厂，我们需要有效保护这些关键基础设施，”该公司首席信息官表示。 因此，我们请与我们合作，提供一个全面的解决方案。”这项 SecureOps 解决方案使用现场部署的软件和网络设备，远程监控 50 多个上游和下游工厂，提供一个涵盖从现场基础设施到集中化管理控制台的安全“通道”。全球服务台的工程师和 IT 专家可快速对,任何安全威胁做出回应。,与专注于 ICS 及工业健康和安全的合作伙伴合作，打造出一个提供全面服务的端到端解决方案，显著减少该公司的前期资本支出。该公司开展的投资回报率研究发现，在部署 5 年之后，Secure Ops 可帮助每处设施削减 70 万美元的成本。通过快速管理风险和减轻威胁，该公司有效,增加业务敏捷性、降低运营和安全成本并显著缩短停机时间。,Secure Ops：以可控成本提供全面安全性,随着威胁日益升级以及物联网帮助工厂显著提高效率，互联性的增强使其工业控制系统 (ICS) 更易受到,网络威胁的攻击。因此，制造商需要一个更强大的安全解决方案来保护其网络免受网络攻击的破坏。他们正考虑采用其他替代方案，以取代那些在资产设备和人员方面需要大量前期投资的传统解决方案。他们希望获得本身灵活性佳并且能随新业务需求的出现快速变化的解决方案。,基于这些原因，越来越多的制造商正在使用的托管安全服务 Secure Ops 来保护 ICS 以及监控与数据采集 (SCADA) 网络、提高效率并减少现场停机时间。这是一个全面的端到端系统，可让制造商集中了解多个远距离工厂的实时状况。Secure Ops 可以检测并针对异常情况发出警报，触发事故管理流程，,有效保护最重要的工厂系统。它利用模块化、构筑式的安全控制方法，随着业务发展和安全需求的变化，,以充分的灵活性应对新的攻击方式。此外，制造商还拥有在内部实施 Secure Ops 的灵活性。,该解决方案与每个大型自动化公司相配合，用于资产盘点和管理、安全访问等。而且，某些自动化供,应商是的共同交付合作伙伴。利用此强大的合作伙伴生态系统，Secure Ops 以独特方式为您提供,多样化的安全解决方案，将专业知识与工业控制系统安全性和运营智能相连接。,Secure Ops 为远程供应商提供单个优化的安全方法，以实现安全地访问工厂车间的系统。此方法包括,对合规能力进行严格细致的审核、检查访问系统的人员，旨在实现高效运营。,物理安全：您的第一道防线,制造商面临一些来自网络罪犯的最严重威胁，这些罪犯可以侵入工厂车间，然后从内部造成破坏。无论是防止库存被窃或数据损失，企业都能从与安全有线和无线工业网络相集成的全面物理安全解决方案中获益。,对物理安全性的顾虑使得总部位于德克萨斯州的区域啤酒分销商 Del Papa Distributing 将基于 IP 的监控和安全系统整合到其邻近墨西哥湾的 27 英亩新总部的设计中。 我们希望新的分销,“,中心有一个单独的安全网络，能用于确保物理安全性、通信、协作甚至监控我们库存产品的温,度，”Del Papa 信息系统经理 Steve Holtsclaw 表示。,“,该分销商与合作伙伴 Zones 合作，构建了一个安全的 IP 网络，全面整合用于视频监控、物理访问控制、全数字化签名、温度传感器等的解决方案。IP 摄像头可监控分销中心周边的情况、10 万平方英尺的仓库、办公区走廊和所有出货口。当限制区的大门打开时，系统警报装置会提醒员工，并提供即时影像的链接。相关人员可按下 IP 电话上的一个按钮打开和关闭大门。物理安全和监控系统只是 Del Papa 总体融合网络架构的一部分，该网络架构还具有的统一通信和协作解决方案，可提升安全性和业务效率。 今天，物联网的时代已经来临，”Zones 物联网副总裁 Stephen Lurie 说道。 对于 Del Papa 分销商而言， 将没有连接的要素连接起来可帮助,“ ,增强物理安全性并改善业务流程。”,借助 Secure Ops，制造商可以利用人员、流程和技术来： 自动执行进入 Purdue 制造模型第 1 级的资产盘点和管理流程 更新系统、限制远程访问和监控合规性，从而加强安全性 自动执行下载和分发合格系统补丁及防病毒更新的流程, 使用行为分析和机器学习技术深入了解运营情况，进而针对人为和系统错误或恶意安全事件发出警报 减少停机时间，以提高 OEE 和生产力, 以更低的复杂性和更高的一致性，提高可见性并控制成本 更轻松地根据各个设施的具体情况管理网络安全和合规性 解决缺乏用于管理和控制网络安全的技术资源的问题,“现在我们处理安全事件和恶意软件问题所花的时间远少于过去。事实上，,自从使用云网络安全 (Cisco Cloud Web Security) 后，我记得再没,有客户受到安全问题的影响，而且我们很少需要进入管理门户。”, Arup IT安全经理 Peter Kersting,网络地址转换：增加灵活性和安全性,制造商在联网的工厂环境中面临众多独特的挑战。其中一项挑战就是工业机器和机器制动器往往使用相同,的 IP 地址范围，因而很难在工厂车间复制设备，避免重复的 IP 地址进入 IACS 架构。制造商可能需要承,担大量的开发和机器调试费用来克服此缺点。,为此，和罗克韦尔自动化公司利用专为融合以太网工厂环境设计的网络地址转换 (NAT) 解决方案，,共同解决了这一问题，同时还提供了额外的安全性。和罗克韦尔自动化公司的架构基于行业标准，给,予制造商足够的灵活性来重复使用他们有限的 IP 地址，从而为其带来重要优势。由于相同的机器和制动器有相同的 IP 地址，该解决方案更便于对硬件进行故障排除和维护，而且还能通过快速轻松地映射重复的 IP 地址，显著减少调试时间。,此外，NAT 解决方案在进行配置后，能够只对外公布一个适用于整个网络的地址，因而有效隐藏该地址背后制造商的整个内部网络，从而提升安全性。富有经验的制造商越来越多地利用 NAT 提供地址转换和,安全性，尤其是在远程访问环境中。,保护网络边缘,制造商网络的一个重要部分就是网络边缘，即企业网络与公共网络相接处。网络边缘是制造商和其他企业进入其余网络空间的门户，并为典型企业网络的其他部分服务。由于网络用户会访问网站并使用电子邮件来进行企业对企业的沟通，因此企业网络应确保用户能访问其资源并确保安全性。,针对网络边缘提供模块化、构筑式的安全方法，能够实现灵活且定制化的网络设计，以满足不同规模和要求的客户和商业模式的需求。正因如此，制造商求助于，期望能提供“网络边缘的安全性”并减轻他们在这一网络关键区域面临的许多威胁。这包括用于以下目的的解决方案和经验证的设计：, 防火墙和入侵防护。 保护网络基础设施和数据不受互联网威胁的破坏，例如蠕虫、病毒和有针对性的攻击。 远程访问 (RA) VPN。提供从远程位置对网络资源安全、一致的访问。, 电子邮件的安全性。提供垃圾邮件和恶意软件过滤服务，帮助预防数据丢失和网络用户生产力下降。 Web 安全。对可接受使用进行控制和监控，同时管理与浏览互联网的客户端相关的风险。,安全地连接机器设备,当工厂经理和企业主管在近期问卷调查中回答他们目前已连接及未来会连接哪些“事物”时，有 62% 的受访者将生产设备列在首位。实际上，还有许多需要连接的事物：据估计，全世界的工厂有 6 千万台机器设备，其中的 90% 没有连接。4 随着越来越多的制造商利用 IoT 技术连接工厂车间以外的机器设备和,工厂机器人，连接的机器数量预计将快速增加，甚至可以与生产设备和机器人的机器制造商互联。,率先发起安全地连接世界各地工厂中机器设备的行动。互联机器解决方案是一项全数字化解决方,案组合，可快速、重复地连接机器设备，使业务得到改善，例如总体设备效率 (OEE) 提高、预测性维护和,流程优化。该解决方案为机器设备制造商和终端用户制造商提供设备内嵌或设备附近的切换、安全和计算技术。制造商可通过该解决方案进行边缘和云分析，为预测性机器设备监控和维护提供支持。,总结,制造商正进入一个大胆尝试互联工厂的新世界。工业运营者不再与其他工厂和供应商隔绝，甚至不再与总部隔绝，相反在生产力、质量和可视性等方面达到了新高度。但是，这些更大、更复杂的网络同样也为网,络犯罪和安全漏洞提供了可乘之机，使得制造商难以防护。随着 IoT 持续发展，更广泛的连接设备生态系,统为安全防护再添新的挑战。,制造商正通过实施专门针对 IoT 时代的新一代安全防护努力应对这些挑战，积极获得竞争优势。这些解决,方案部署了多层防护来保护知识产权和实物资产免受意外漏洞和网络盗窃的破坏，同时更快解决威胁、减少停机时间并提升各设施的效率。,由及其合作伙伴打造的互联工厂安全解决方案在这一新形势下设立了标准，帮助迪堡、通用汽车、法国液化空气集团等数千家制造商确保高效、可靠的工厂车间安全性，同时保护其品牌，并为其未来发展奠定基础。,从工业网络安全威胁评估着手,贵公司的工业运营有多容易受到攻击？可通过全面的工业网络安全风险与易受攻击性评估帮您找到,答案。我们将评估贵公司的 ICS 基础设施、网络和流程，以了解贵公司的网络风险和易受攻击性。我,们能够量化企业领导者面临的财务风险并合理地制定可减轻已确定之重大网络安全风险的具体网络安全解决方案，帮您确定未来的网络安全投资。通过制定商业案例和行动计划，将帮助保护您的运营免受当前威胁和正在演变的威胁的破坏。,您认为现在的 ICS 安全架构和设计怎么样？可为您的 OT 网络构建一个针对具体业务现场或全公司,范围内的工业网络安全参考架构。我们会评估您的工业网络基础设施的能力以保护商务核心资产，并且在现有的网络架构和设计的价值基础上提供全面的供应商透明式工业最佳实践。与之相关的成果和打造的工业网络安全参考架构将为您提供如何加强网络安全的计划，包括在何处实施特定的安全控制以及如,何将各个系统归类到具体的安全区域中。它与 ISA-95 模型和 ISA-99/IEC-62443 安全框架保持一致，,并涵盖所有必要的安全控制，包括本白皮书前文中提到的产品和解决方案。,谢谢观看,THANK YOU,