近年來(lái)，制造業(yè)和基建設(shè)施受到的攻擊日益增多——生產(chǎn)制造型企業(yè)以及關(guān)鍵基礎(chǔ)設(shè)施，包括電力、能源、交通，甚至核電設(shè)備都受到了黑客多種的攻擊。不同于IT系統(tǒng)的安全問(wèn)題，最大的威脅可能是商業(yè)業(yè)務(wù)的停滯以及信息的泄露；OT環(huán)境一旦受到攻擊，就很有可能會(huì)對(duì)環(huán)境以及人生帶來(lái)直接的傷害。安全也必須緊跟而上，確保OT的安全。    但是在OT環(huán)境部署安全產(chǎn)品的時(shí)候會(huì)面臨很大的挑戰(zhàn)，其主要的原因在于OT環(huán)境自身的屬性以及安全產(chǎn)品對(duì)OT 環(huán)境的適應(yīng)。  西門子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富，從離散控制、過(guò)程控制到運(yùn)動(dòng)控制，幾乎都能找到成套的解決方案，這就意味著對(duì)OT系統(tǒng)有著深入的了解和實(shí)踐經(jīng)驗(yàn)，這些都有助于OT安全的實(shí)施和部署，可以快速的搭建測(cè)試環(huán)境；可以預(yù)見(jiàn)和規(guī)避一些風(fēng)險(xiǎn)；可以方便的獲得內(nèi)部專家的支持。

1. 項(xiàng)目背景介紹

    隨著工控系統(tǒng)的縱向集成度的越來(lái)越高，加之工業(yè)網(wǎng)絡(luò)系統(tǒng)越來(lái)越受到黑客或非法組織的關(guān)注，其所受到的網(wǎng)絡(luò)安全方面的威脅也越來(lái)隨之增加，尤其是工控網(wǎng)絡(luò)中的各類主機(jī)包括服務(wù)器，成為工控系統(tǒng)中暴露面最大的部分，因此從操作系統(tǒng)層面，應(yīng)用白名單解決方案，可以有效阻止非授權(quán)程序與惡意程序在工控主機(jī)服務(wù)器中運(yùn)行，保護(hù)工控系統(tǒng)有效性、安全性。

    但是另一方面，OT系統(tǒng)環(huán)境又有別于普通的IT環(huán)境，OT環(huán)境更加敏感和固定，對(duì)運(yùn)行環(huán)境的依賴度很高，不接受計(jì)劃外的宕機(jī)，如果不加控制的對(duì)工控系統(tǒng)的主機(jī)進(jìn)行操作，有可能會(huì)對(duì)現(xiàn)有系統(tǒng)造成的不確定的影響。所有需要制定詳細(xì)的實(shí)施方案來(lái)確保項(xiàng)目實(shí)施的平順、安全、可控，降低實(shí)施風(fēng)險(xiǎn)，保障原有業(yè)務(wù)系統(tǒng)不受影響。

2. 項(xiàng)目目標(biāo)與原則

    本項(xiàng)目目標(biāo)是為北京奔馳裝配車間和發(fā)動(dòng)機(jī)車間工控系統(tǒng)中的共計(jì)1800臺(tái)主機(jī)部署白名單軟件對(duì)系統(tǒng)進(jìn)行端點(diǎn)安全防護(hù)，防止惡意代碼的威脅。

    根據(jù)項(xiàng)目的具體情況，整個(gè)項(xiàng)目分為兩個(gè)階段進(jìn)行實(shí)施，第一階段部署1400臺(tái)主機(jī)，主要為HMI設(shè)備，該類設(shè)備重要程度較低，可在生產(chǎn)時(shí)進(jìn)行部署；第二階段部署400臺(tái)主機(jī)，主要為測(cè)量設(shè)備，該類設(shè)備重要程度較高，需要協(xié)調(diào)實(shí)施時(shí)間窗口或者在停產(chǎn)時(shí)進(jìn)行部署。

3. 項(xiàng)目實(shí)施與應(yīng)用情況詳細(xì)介紹

3.1實(shí)施流程

為了確保白名單成功部署實(shí)現(xiàn)對(duì)既有系統(tǒng)提供保護(hù)的同時(shí)又不會(huì)對(duì)既有系統(tǒng)業(yè)務(wù)功能造成影響，并且充分考慮在部署過(guò)程中的不同節(jié)點(diǎn)出現(xiàn)異常情況的預(yù)案，制定了符合汽車生產(chǎn)過(guò)程的詳細(xì)的實(shí)施流程，如下：

Fig1. 白名單實(shí)施流程

1) 版本選擇。根據(jù)收集到的相關(guān)信息制定相應(yīng)的白名單服務(wù)器、終端代理以及白名單組件的版本。

2) 兼容性測(cè)試。在實(shí)施前搭建模擬環(huán)境對(duì)白名單部署進(jìn)行兼容性和可行性測(cè)試，測(cè)試結(jié)果作為正式實(shí)施的參考依據(jù)。

3) 病毒掃描。在現(xiàn)場(chǎng)正式實(shí)施前，需要對(duì)部署范圍內(nèi)的主機(jī)進(jìn)行全盤的病毒掃描，保證在實(shí)施白名單前，系統(tǒng)是純凈無(wú)毒的。

4) 病毒分析和處理。如果發(fā)現(xiàn)病毒需要對(duì)其進(jìn)行科學(xué)、有效的清除和處理，保證在清理掉病毒的同時(shí)保證原有系統(tǒng)的業(yè)務(wù)可用性，并且對(duì)網(wǎng)絡(luò)類型的病毒進(jìn)行有效的抑制。

5) 系統(tǒng)備份。在進(jìn)行白名單部署之前需要對(duì)系統(tǒng)進(jìn)行全盤備份，以防在必要時(shí)進(jìn)行回退。

6) 部署白名單。采用分組的方式進(jìn)行分期分批的部署，控制部署范圍。

7) 策略開(kāi)發(fā)。對(duì)部署白名單的主機(jī)進(jìn)行為期兩周左右的學(xué)習(xí)和觀察，根據(jù)主機(jī)系統(tǒng)和應(yīng)用的特征，對(duì)其進(jìn)行定制化的策略開(kāi)發(fā)和下發(fā)。

8) 白名單啟用。在對(duì)系統(tǒng)業(yè)務(wù)應(yīng)用的觀察期過(guò)后，將白名單切換為啟用模式，開(kāi)始對(duì)系統(tǒng)進(jìn)行安全防護(hù)。

3.2實(shí)施方法和步驟

制定詳細(xì)實(shí)施計(jì)劃，確定周計(jì)劃和日計(jì)劃，確定每天實(shí)施的主機(jī)數(shù)量和范圍以及依賴條件。

項(xiàng)目實(shí)施具體的內(nèi)容涉及到系統(tǒng)備份、系統(tǒng)病毒掃描及處理、白名單部署、卸載原有殺毒軟件、功能/性能檢查、運(yùn)行監(jiān)控等幾個(gè)方面的內(nèi)容。

3.2.1備份

提前一周對(duì)將要實(shí)施的系統(tǒng)進(jìn)行全盤備份，準(zhǔn)備移動(dòng)存儲(chǔ)設(shè)備和恢復(fù)工具。根據(jù)項(xiàng)目實(shí)施人數(shù)主備相應(yīng)數(shù)量的工具和介質(zhì)。NAS或相關(guān)手段臨時(shí)存儲(chǔ)備份文件。

3.2.2 白名單部署

對(duì)實(shí)施后的主機(jī)粘貼物理標(biāo)簽（標(biāo)注緊急聯(lián)系方式），每天匯報(bào)實(shí)施進(jìn)度和內(nèi)容。

· 病毒掃描

在白名單實(shí)施前需要對(duì)主機(jī)進(jìn)行全盤的病毒掃描并對(duì)發(fā)現(xiàn)的病毒進(jìn)行分析和處理。

對(duì)于防病毒軟件覆蓋的，并且病毒庫(kù)更新的主機(jī)，采用防病毒軟件進(jìn)行全盤病毒，并針對(duì)主機(jī)的網(wǎng)絡(luò)特征，批量的下發(fā)殺毒任務(wù)，這樣可有效的查殺網(wǎng)絡(luò)型病毒。對(duì)于防病毒軟件異常狀態(tài)的主機(jī)利用便攜式U盤殺毒工具對(duì)被部署主機(jī)進(jìn)行殺毒。

· 病毒分析處理

分析病毒類型和感染的文件，根據(jù)具體情況進(jìn)行相應(yīng)的處理，對(duì)于非常確定的病毒進(jìn)行清除；對(duì)于不確定的可疑的文件進(jìn)行隔離。

· 部署前主機(jī)狀態(tài)檢查

在全盤掃描并且對(duì)發(fā)現(xiàn)的惡意代碼處理后，需要對(duì)系統(tǒng)進(jìn)行重啟，重啟后檢查系統(tǒng)是否能夠正常運(yùn)行，如果正常，繼續(xù)后續(xù)的部署工作，如果系統(tǒng)不能正常運(yùn)行，需要聯(lián)合項(xiàng)目組一起分析并解決問(wèn)題。

· 部署白名單組件代理和防護(hù)組件

有些主機(jī)可能已經(jīng)安裝了代理，對(duì)于這些主機(jī)檢查代理狀態(tài)，如果工作正常直接安裝防護(hù)組件

· 白名單策略探索（策略學(xué)習(xí)）

白名單部署完成之后將白名單設(shè)置為觀察模式，對(duì)系統(tǒng)進(jìn)行固化，觀察模式保持2周左右，之后對(duì)形成的觀察記錄進(jìn)行分析，有針對(duì)的制定被保護(hù)端點(diǎn)的白名單策略。

· 卸載殺毒軟件

在白名單啟用前還需要斷開(kāi)網(wǎng)絡(luò)進(jìn)行一次全盤病毒 掃描和處理，處理完成后將。

· 白名單激活

將白名單保護(hù)模式激活，白名單開(kāi)始正式生效。

· 功能、性能檢查

恢復(fù)網(wǎng)絡(luò)，對(duì)白名單生效后原有業(yè)務(wù)功能進(jìn)行檢查；對(duì)白名單激活后的系統(tǒng)性能進(jìn)行檢查，是否在合理范圍之內(nèi)

· 運(yùn)行監(jiān)護(hù)

以防由于白名單的引入造成的系統(tǒng)功能和性能方面的影響，在白名單啟用后對(duì)系統(tǒng)的運(yùn)行進(jìn)行觀察和監(jiān)護(hù)，為安全生產(chǎn)提供保障。

3.3現(xiàn)場(chǎng)實(shí)施前提條件

· 需要部署白名單的主機(jī)提供白名單客戶端30分鐘左右的安裝部署時(shí)間

· 需要停2小時(shí)做系統(tǒng)備份

· 手動(dòng)部署的主機(jī)需要1-2小時(shí)進(jìn)行病毒查殺

3.4協(xié)調(diào)工作

· 協(xié)調(diào)IT對(duì)鏡像系統(tǒng)加域是產(chǎn)生的重名問(wèn)題進(jìn)行處理

· 協(xié)調(diào)并安排白名單部署范圍內(nèi)的主機(jī)的殺毒和備份

協(xié)助驗(yàn)證名單部署范圍內(nèi)主機(jī)的業(yè)務(wù)功能

4. 效益分析

    隨著工控系統(tǒng)的縱向集成度的越來(lái)越高，加之工業(yè)網(wǎng)絡(luò)系統(tǒng)越來(lái)越受到黑客或非法組織的關(guān)注，其所受到的網(wǎng)絡(luò)安全方面的威脅也越來(lái)隨之增加，尤其是工控網(wǎng)絡(luò)中的各類主機(jī)包括服務(wù)器，成為工控系統(tǒng)中暴露面最大的部分，因此從操作系統(tǒng)層面，應(yīng)用白名單解決方案，可以有效阻止非授權(quán)程序與惡意程序在工控主機(jī)服務(wù)器中運(yùn)行，保護(hù)工控系統(tǒng)有效性、安全性。

本項(xiàng)目的實(shí)施范圍為北京奔馳裝配車間和發(fā)動(dòng)機(jī)車間共計(jì)1800臺(tái)主機(jī)，要在項(xiàng)目范圍內(nèi)的主機(jī)上部署白名單軟件對(duì)系統(tǒng)進(jìn)行端點(diǎn)安全防護(hù)。項(xiàng)目是在汽車行業(yè)由原廠安全部門、工控系統(tǒng)工程團(tuán)隊(duì)和客戶各生產(chǎn)部門和IT部門聯(lián)合實(shí)施的一個(gè)大規(guī)模的工控安全終端白名單惡意代碼全面防護(hù)的項(xiàng)目，實(shí)施過(guò)程嚴(yán)格遵守汽車行業(yè)嚴(yán)苛的穩(wěn)定生產(chǎn)要求，實(shí)施后，確保不會(huì)影響工控系統(tǒng)的精確控制，在全廠實(shí)施過(guò)程中，需要解決終端類型繁多，用途不一和生產(chǎn)關(guān)鍵程度不同帶來(lái)的復(fù)雜的問(wèn)題，可以有效防止惡意代碼的威脅，保障原有業(yè)務(wù)系統(tǒng)不受影響。本項(xiàng)目的實(shí)施將極大減少北京奔馳因?yàn)榘踩录．a(chǎn)造成的損失，提高生產(chǎn)線的可用性。