1  項(xiàng)目背景

伴隨著網(wǎng)絡(luò)安全法的正式頒布實(shí)施，中國網(wǎng)絡(luò)空間安全管理正式步入法制時代；針對工業(yè)控制系統(tǒng)，國家及各部委出臺了一系列工控安全的政策、標(biāo)準(zhǔn)，指導(dǎo)并規(guī)范工業(yè)控制系統(tǒng)領(lǐng)域網(wǎng)絡(luò)與信息安全工作，保障自動化控制系統(tǒng)持續(xù)、安全、穩(wěn)定運(yùn)行，提高企業(yè)生產(chǎn)安全態(tài)勢。

·  2017年6月1日正式生效的《中華人民共和國網(wǎng)絡(luò)安全法》中明確規(guī)定 “國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度” ，并明確 “國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。”

·  新發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》標(biāo)準(zhǔn)（即等保2.0）中也明確定義了針對工業(yè)控制系統(tǒng)的安全要求，要求安全的工業(yè)控制系統(tǒng)解決方案需要具備相應(yīng)的安全審計(jì)功能。

·  “中國制造2025”及工信部的《工業(yè)控制系統(tǒng)信息安全行動計(jì)劃（2018-2020年）》均對工控信息安全提出了新的要求，工控系統(tǒng)的安全運(yùn)營離不開堅(jiān)實(shí)的工控安全保障。

2  項(xiàng)目目標(biāo)與原則

本項(xiàng)目依據(jù)《中國石化工業(yè)儀表控制系統(tǒng)安全防護(hù)實(shí)施規(guī)定》（中國石化生〔2019〕318號）對青島煉化工業(yè)控制系統(tǒng)（DCS）網(wǎng)絡(luò)邊界進(jìn)行安全防護(hù)提升，涉及DCS系統(tǒng)網(wǎng)絡(luò)分區(qū)與邊界隔離防護(hù)，工控態(tài)勢感知系統(tǒng)（OSA）升級、惡意軟件檢測及預(yù)防策略部署、工控多引擎惡意代碼掃描檢測系統(tǒng)部署、控制系統(tǒng)補(bǔ)丁下載平臺與補(bǔ)丁測試平臺搭建、時鐘同步系統(tǒng)升級、第三方系統(tǒng)和DCS之間的隔離防護(hù)、工控系統(tǒng)等保體系認(rèn)證咨詢、數(shù)據(jù)采集接口測試等實(shí)施內(nèi)容。

 3  項(xiàng)目實(shí)施與應(yīng)用情況

（1）DCS系統(tǒng)網(wǎng)絡(luò)分區(qū)與邊界隔離防護(hù)

在OT網(wǎng)和辦公網(wǎng)絡(luò)之間部署天融信工控安全隔離與信息交換系統(tǒng)，保證數(shù)據(jù)傳輸?shù)陌踩院蛯?shí)現(xiàn)網(wǎng)絡(luò)的物理隔離，并采用冗余熱備的方式部署，保證網(wǎng)絡(luò)通訊的健壯性、穩(wěn)定性和高可用性。在終端總線上聯(lián)處部署天融信下一代防火墻，設(shè)置DMZ，該防火墻可識別工業(yè)通訊協(xié)議，實(shí)現(xiàn)IPS功能并能有效抵御DDoS攻擊。配置嚴(yán)格的訪問策略，實(shí)現(xiàn)DMZ區(qū)設(shè)備和終端總線主機(jī)的安全通訊。

（2）工控態(tài)勢感知系統(tǒng)（OSA）升級

在該項(xiàng)目中西門子會對目前青島大煉油工控網(wǎng)絡(luò)DMZ區(qū)的工控態(tài)勢感知系統(tǒng)進(jìn)行升級，升級到當(dāng)前最新的版本。在最新的工控態(tài)勢感知系統(tǒng)中OSA服務(wù)器通過采集上位機(jī)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、防火墻、工控應(yīng)用等安全日志以及工業(yè)控制網(wǎng)絡(luò)的全報文網(wǎng)絡(luò)流量，支持工控網(wǎng)絡(luò)資產(chǎn)清單發(fā)現(xiàn)和網(wǎng)絡(luò)拓?fù)渥詣由伞⒕W(wǎng)絡(luò)負(fù)載監(jiān)控、非法資產(chǎn)接入及變更管理、OT入侵檢測和安全事件管理、網(wǎng)絡(luò)狀態(tài)和違規(guī)行為檢測、集中日志審計(jì)和U盤管控等功能。

同時會在所有西門子工控系統(tǒng)DCS的上位機(jī)和服務(wù)器部署安全日志采集代理，采集上位機(jī)上的日志，并確保和現(xiàn)有的西門子工控系統(tǒng)DCS原生兼容。

升級工控態(tài)勢感知系統(tǒng)流量采集設(shè)備探針到最新版本，版本號至少為OSA sensor 4.x,,在交換機(jī)配置鏡像口把工控網(wǎng)絡(luò)與DMZ之間通信流量傳輸?shù)焦た貞B(tài)勢感知系統(tǒng)流量采集設(shè)備探針（OSA sensor 4.x），提供網(wǎng)絡(luò)流量采集、網(wǎng)絡(luò)IDS（Intrusion Detection System）及DPA（Deep Packet Analysis）分析功能并通過和服務(wù)器端的VPN通道將相關(guān)數(shù)據(jù)傳輸至服務(wù)器端。

工業(yè)控制網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)（OSA及sensor）總體的系統(tǒng)架構(gòu)如下圖

OSA系統(tǒng)架構(gòu)圖

（3）基于白名單的惡意軟件檢測及預(yù)防

在OPC服務(wù)器上部署McAfee白名單軟件，把上位機(jī)和服務(wù)器上的進(jìn)程加入到白名單信任列表，可以阻止新的進(jìn)程、已知和未知惡意代碼在上位機(jī)和服務(wù)器上運(yùn)行。其中服務(wù)器上安裝McAfee服務(wù)器白名單軟件，在終端上安裝McAfee終端白名單軟件。

McAfee白名單僅允許可信任的應(yīng)用程序下載或執(zhí)行內(nèi)容。在系統(tǒng)內(nèi)，應(yīng)用程序級白名單功能可以通過簡單的被動式定義安全且獲授權(quán)的應(yīng)用程序來強(qiáng)制執(zhí)行命令。啟用白名單功能能禁止運(yùn)行名單之外的應(yīng)用程序，有助于降低系統(tǒng)崩潰或遭到攻擊的可能性。

（4）工控多引擎惡意代碼掃描工作站（Scanning Station）

在DMZ非軍事區(qū)前端防火墻外面部署工控多引擎惡意代碼掃描工作站（Scanning Station）, 型號為Scanning Station v3.0，提供針對可移動存儲介質(zhì)的多引擎惡意代碼掃描，同時把掃描結(jié)果通過前端防火墻上傳到OSA服務(wù)器，OSA服務(wù)器根據(jù)查殺結(jié)果通知安裝在上位機(jī)上的日志采集代理檢測及管控可移動存儲介質(zhì)及U盤。

對于不可拆解無法取出硬盤的的計(jì)算機(jī)工作站等，可通過工控多引擎惡意代碼掃描設(shè)備多引擎查殺USB，型號為便攜式病毒掃描設(shè)備，查殺計(jì)算機(jī)或工作站，實(shí)現(xiàn)上位機(jī)、服務(wù)器及新接入到系統(tǒng)中的設(shè)備的病毒查殺。

Scanning Station使用場景示意圖

（5）控制系統(tǒng)補(bǔ)丁下載平臺與補(bǔ)丁測試平臺搭建

及時地進(jìn)行Windows操作系統(tǒng)補(bǔ)丁升級可以有效的彌補(bǔ)已存在的漏洞，可增強(qiáng)工控系統(tǒng)的健壯性。但OT網(wǎng)絡(luò)又有別于普通的IT環(huán)境，OT環(huán)境更加敏感和固定，對運(yùn)行環(huán)境的依賴度很高，不接受計(jì)劃外的宕機(jī)，如果不加控制的對工控系統(tǒng)的主機(jī)進(jìn)行系統(tǒng)補(bǔ)丁升級，有可能會對現(xiàn)有系統(tǒng)造成的不確定的影響。為了使生產(chǎn)網(wǎng)絡(luò)中某些主機(jī)能及時的進(jìn)行操作系統(tǒng)的安全和關(guān)鍵補(bǔ)丁更新，在避免因系統(tǒng)漏洞帶來潛在威脅的同時兼顧原有業(yè)務(wù)系統(tǒng)功能不受影響，特設(shè)計(jì)了WSUS與終端防護(hù)部署方案。

如下是補(bǔ)丁升級示意圖，在DMZ 區(qū)部署WSUS服務(wù)器，從微軟官方網(wǎng)站下載必要系統(tǒng)補(bǔ)丁，并通過防火墻策略，生產(chǎn)環(huán)境的SCADA主機(jī)從WSUS服務(wù)器上同步必要的補(bǔ)丁，為了保證系統(tǒng)補(bǔ)丁升級不會帶來負(fù)面影響，需要在大范圍實(shí)施前對需要升級的補(bǔ)丁進(jìn)行測試，在測試環(huán)境中驗(yàn)證沒有不良影響之后再對生產(chǎn)環(huán)境OT主機(jī)進(jìn)行相應(yīng)的補(bǔ)丁升級。

補(bǔ)丁升級示意圖

（6） 第三方系統(tǒng)與DCS之間的隔離防護(hù)

在項(xiàng)目實(shí)施過程中，西門子根據(jù)現(xiàn)場第三方系統(tǒng)，DCS系統(tǒng)以及網(wǎng)絡(luò)的實(shí)際情況，和客戶制定有效的防火墻安全策略，同時確保安全策略實(shí)施后客戶的業(yè)務(wù)系統(tǒng)仍能夠安全穩(wěn)定的運(yùn)行。

（7）等保體系認(rèn)證與咨詢

2019年5月13日，網(wǎng)絡(luò)安全等級保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布，等保2.0標(biāo)準(zhǔn)在1.0標(biāo)準(zhǔn)的基礎(chǔ)上，注重在全方位主動防、安全可信、動態(tài)感知和全面審計(jì)，實(shí)現(xiàn)了對傳統(tǒng)信息系統(tǒng)、基礎(chǔ)信息網(wǎng)絡(luò)、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)和工業(yè)控制信息系統(tǒng)等保護(hù)對象的全覆蓋。

等保2.0結(jié)構(gòu)示意圖

（8） 數(shù)據(jù)采集接口測試

在項(xiàng)目部署結(jié)束后，西門子將配合客戶完成工廠辦公網(wǎng)數(shù)據(jù)庫的采集接口測試，實(shí)現(xiàn)辦公網(wǎng)數(shù)據(jù)倉庫單項(xiàng)采集DCS OPC數(shù)據(jù)功能，在此期間西門子主要為客戶提供有關(guān)測試的技術(shù)指導(dǎo)，協(xié)助客戶完成測試工作。

4  效益分析

（1）項(xiàng)目執(zhí)行不對正常生產(chǎn)造成干擾；

（2）實(shí)現(xiàn)對全種類病毒的安全防護(hù)；

（3）安全方案無縫部署；

（4）全球最大的獨(dú)立工業(yè)信息安全項(xiàng)目；

（5）為PCS 7運(yùn)行環(huán)境開發(fā)一套安全解決方案，其中包括DMZ、防火墻、防病毒系統(tǒng)、補(bǔ)丁管理、用戶管理，以及系統(tǒng)加固措施，工控安全態(tài)勢感知系統(tǒng)OSA；

（6）在工廠停工檢修2個星期內(nèi)完成安全方案部署；

（7） 為工廠環(huán)境提供持續(xù)安全防護(hù)；

（8）降低安全風(fēng)險的同時保證了生產(chǎn)可用性；

（9）零安全事件/病毒感染；

（10）中國石化領(lǐng)域客戶的未來安全藍(lán)圖。

近年來，制造業(yè)和基建設(shè)施受到的攻擊日益增多——生產(chǎn)制造型企業(yè)以及關(guān)鍵基礎(chǔ)設(shè)施，包括電力、能源、交通，甚至核電設(shè)備都受到了黑客多種的攻擊。不同于IT系統(tǒng)的安全問題，最大的威脅可能是商業(yè)業(yè)務(wù)的停滯以及信息的泄露；OT環(huán)境一旦受到攻擊，就很有可能會對環(huán)境以及人生帶來直接的傷害。安全也必須緊跟而上，確保OT的安全。但是在OT環(huán)境部署安全產(chǎn)品的時候會面臨很大的挑戰(zhàn)，其主要的原因在于OT環(huán)境自身的屬性以及安全產(chǎn)品對OT 環(huán)境的適應(yīng)。西門子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富，從離散控制、過程控制到運(yùn)動控制，幾乎都能找到成套的解決方案，這就意味著對OT系統(tǒng)有著深入的了解和實(shí)踐經(jīng)驗(yàn)，這些都有助于OT安全的實(shí)施和部署，可以快速的搭建測試環(huán)境；可以預(yù)見和規(guī)避一些風(fēng)險；可以方便的獲得內(nèi)部專家的支持。