1  項目背景

伴隨著(zhù)網(wǎng)絡(luò )安全法的正式頒布實(shí)施，中國網(wǎng)絡(luò )空間安全管理正式步入法制時(shí)代；針對工業(yè)控制系統，國家及各部委出臺了一系列工控安全的政策、標準，指導并規范工業(yè)控制系統領(lǐng)域網(wǎng)絡(luò )與信息安全工作，保障自動(dòng)化控制系統持續、安全、穩定運行，提高企業(yè)生產(chǎn)安全態(tài)勢。

·  2017年6月1日正式生效的《中華人民共和國網(wǎng)絡(luò )安全法》中明確規定 “國家實(shí)行網(wǎng)絡(luò )安全等級保護制度” ，并明確 “國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能?chē)乐匚：野踩?、國計民生、公共利益的關(guān)鍵信息基礎設施，在網(wǎng)絡(luò )安全等級保護制度的基礎上，實(shí)行重點(diǎn)保護?！?/p>

·  新發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》標準（即等保2.0）中也明確定義了針對工業(yè)控制系統的安全要求，要求安全的工業(yè)控制系統解決方案需要具備相應的安全審計功能。

·  “中國制造2025”及工信部的《工業(yè)控制系統信息安全行動(dòng)計劃（2018-2020年）》均對工控信息安全提出了新的要求，工控系統的安全運營(yíng)離不開(kāi)堅實(shí)的工控安全保障。

2  項目目標與原則

本項目依據《中國石化工業(yè)儀表控制系統安全防護實(shí)施規定》（中國石化生〔2019〕318號）對青島煉化工業(yè)控制系統（DCS）網(wǎng)絡(luò )邊界進(jìn)行安全防護提升，涉及DCS系統網(wǎng)絡(luò )分區與邊界隔離防護，工控態(tài)勢感知系統（OSA）升級、惡意軟件檢測及預防策略部署、工控多引擎惡意代碼掃描檢測系統部署、控制系統補丁下載平臺與補丁測試平臺搭建、時(shí)鐘同步系統升級、第三方系統和DCS之間的隔離防護、工控系統等保體系認證咨詢(xún)、數據采集接口測試等實(shí)施內容。

 3  項目實(shí)施與應用情況

（1）DCS系統網(wǎng)絡(luò )分區與邊界隔離防護

在OT網(wǎng)和辦公網(wǎng)絡(luò )之間部署天融信工控安全隔離與信息交換系統，保證數據傳輸的安全性和實(shí)現網(wǎng)絡(luò )的物理隔離，并采用冗余熱備的方式部署，保證網(wǎng)絡(luò )通訊的健壯性、穩定性和高可用性。在終端總線(xiàn)上聯(lián)處部署天融信下一代防火墻，設置DMZ，該防火墻可識別工業(yè)通訊協(xié)議，實(shí)現IPS功能并能有效抵御DDoS攻擊。配置嚴格的訪(fǎng)問(wèn)策略，實(shí)現DMZ區設備和終端總線(xiàn)主機的安全通訊。

（2）工控態(tài)勢感知系統（OSA）升級

在該項目中西門(mén)子會(huì )對目前青島大煉油工控網(wǎng)絡(luò )DMZ區的工控態(tài)勢感知系統進(jìn)行升級，升級到當前最新的版本。在最新的工控態(tài)勢感知系統中OSA服務(wù)器通過(guò)采集上位機、服務(wù)器、網(wǎng)絡(luò )設備、防火墻、工控應用等安全日志以及工業(yè)控制網(wǎng)絡(luò )的全報文網(wǎng)絡(luò )流量，支持工控網(wǎng)絡(luò )資產(chǎn)清單發(fā)現和網(wǎng)絡(luò )拓撲自動(dòng)生成、網(wǎng)絡(luò )負載監控、非法資產(chǎn)接入及變更管理、OT入侵檢測和安全事件管理、網(wǎng)絡(luò )狀態(tài)和違規行為檢測、集中日志審計和U盤(pán)管控等功能。

同時(shí)會(huì )在所有西門(mén)子工控系統DCS的上位機和服務(wù)器部署安全日志采集代理，采集上位機上的日志，并確保和現有的西門(mén)子工控系統DCS原生兼容。

升級工控態(tài)勢感知系統流量采集設備探針到最新版本，版本號至少為OSA sensor 4.x,,在交換機配置鏡像口把工控網(wǎng)絡(luò )與DMZ之間通信流量傳輸到工控態(tài)勢感知系統流量采集設備探針（OSA sensor 4.x），提供網(wǎng)絡(luò )流量采集、網(wǎng)絡(luò )IDS（Intrusion Detection System）及DPA（Deep Packet Analysis）分析功能并通過(guò)和服務(wù)器端的VPN通道將相關(guān)數據傳輸至服務(wù)器端。

工業(yè)控制網(wǎng)絡(luò )安全態(tài)勢感知系統（OSA及sensor）總體的系統架構如下圖

OSA系統架構圖

（3）基于白名單的惡意軟件檢測及預防

在OPC服務(wù)器上部署McAfee白名單軟件，把上位機和服務(wù)器上的進(jìn)程加入到白名單信任列表，可以阻止新的進(jìn)程、已知和未知惡意代碼在上位機和服務(wù)器上運行。其中服務(wù)器上安裝McAfee服務(wù)器白名單軟件，在終端上安裝McAfee終端白名單軟件。

McAfee白名單僅允許可信任的應用程序下載或執行內容。在系統內，應用程序級白名單功能可以通過(guò)簡(jiǎn)單的被動(dòng)式定義安全且獲授權的應用程序來(lái)強制執行命令。啟用白名單功能能禁止運行名單之外的應用程序，有助于降低系統崩潰或遭到攻擊的可能性。

（4）工控多引擎惡意代碼掃描工作站（Scanning Station）

在DMZ非軍事區前端防火墻外面部署工控多引擎惡意代碼掃描工作站（Scanning Station）, 型號為Scanning Station v3.0，提供針對可移動(dòng)存儲介質(zhì)的多引擎惡意代碼掃描，同時(shí)把掃描結果通過(guò)前端防火墻上傳到OSA服務(wù)器，OSA服務(wù)器根據查殺結果通知安裝在上位機上的日志采集代理檢測及管控可移動(dòng)存儲介質(zhì)及U盤(pán)。

對于不可拆解無(wú)法取出硬盤(pán)的的計算機工作站等，可通過(guò)工控多引擎惡意代碼掃描設備多引擎查殺USB，型號為便攜式病毒掃描設備，查殺計算機或工作站，實(shí)現上位機、服務(wù)器及新接入到系統中的設備的病毒查殺。

Scanning Station使用場(chǎng)景示意圖

（5）控制系統補丁下載平臺與補丁測試平臺搭建

及時(shí)地進(jìn)行Windows操作系統補丁升級可以有效的彌補已存在的漏洞，可增強工控系統的健壯性。但OT網(wǎng)絡(luò )又有別于普通的IT環(huán)境，OT環(huán)境更加敏感和固定，對運行環(huán)境的依賴(lài)度很高，不接受計劃外的宕機，如果不加控制的對工控系統的主機進(jìn)行系統補丁升級，有可能會(huì )對現有系統造成的不確定的影響。為了使生產(chǎn)網(wǎng)絡(luò )中某些主機能及時(shí)的進(jìn)行操作系統的安全和關(guān)鍵補丁更新，在避免因系統漏洞帶來(lái)潛在威脅的同時(shí)兼顧原有業(yè)務(wù)系統功能不受影響，特設計了WSUS與終端防護部署方案。

如下是補丁升級示意圖，在DMZ 區部署WSUS服務(wù)器，從微軟官方網(wǎng)站下載必要系統補丁，并通過(guò)防火墻策略，生產(chǎn)環(huán)境的SCADA主機從WSUS服務(wù)器上同步必要的補丁，為了保證系統補丁升級不會(huì )帶來(lái)負面影響，需要在大范圍實(shí)施前對需要升級的補丁進(jìn)行測試，在測試環(huán)境中驗證沒(méi)有不良影響之后再對生產(chǎn)環(huán)境OT主機進(jìn)行相應的補丁升級。

補丁升級示意圖

（6） 第三方系統與DCS之間的隔離防護

在項目實(shí)施過(guò)程中，西門(mén)子根據現場(chǎng)第三方系統，DCS系統以及網(wǎng)絡(luò )的實(shí)際情況，和客戶(hù)制定有效的防火墻安全策略，同時(shí)確保安全策略實(shí)施后客戶(hù)的業(yè)務(wù)系統仍能夠安全穩定的運行。

（7）等保體系認證與咨詢(xún)

2019年5月13日，網(wǎng)絡(luò )安全等級保護制度2.0標準正式發(fā)布，等保2.0標準在1.0標準的基礎上，注重在全方位主動(dòng)防、安全可信、動(dòng)態(tài)感知和全面審計，實(shí)現了對傳統信息系統、基礎信息網(wǎng)絡(luò )、云計算、大數據、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)和工業(yè)控制信息系統等保護對象的全覆蓋。

等保2.0結構示意圖

（8） 數據采集接口測試

在項目部署結束后，西門(mén)子將配合客戶(hù)完成工廠(chǎng)辦公網(wǎng)數據庫的采集接口測試，實(shí)現辦公網(wǎng)數據倉庫單項采集DCS OPC數據功能，在此期間西門(mén)子主要為客戶(hù)提供有關(guān)測試的技術(shù)指導，協(xié)助客戶(hù)完成測試工作。

4  效益分析

（1）項目執行不對正常生產(chǎn)造成干擾；

（2）實(shí)現對全種類(lèi)病毒的安全防護；

（3）安全方案無(wú)縫部署；

（4）全球最大的獨立工業(yè)信息安全項目；

（5）為PCS 7運行環(huán)境開(kāi)發(fā)一套安全解決方案，其中包括DMZ、防火墻、防病毒系統、補丁管理、用戶(hù)管理，以及系統加固措施，工控安全態(tài)勢感知系統OSA；

（6）在工廠(chǎng)停工檢修2個(gè)星期內完成安全方案部署；

（7） 為工廠(chǎng)環(huán)境提供持續安全防護；

（8）降低安全風(fēng)險的同時(shí)保證了生產(chǎn)可用性；

（9）零安全事件/病毒感染；

（10）中國石化領(lǐng)域客戶(hù)的未來(lái)安全藍圖。

近年來(lái)，制造業(yè)和基建設施受到的攻擊日益增多——生產(chǎn)制造型企業(yè)以及關(guān)鍵基礎設施，包括電力、能源、交通，甚至核電設備都受到了黑客多種的攻擊。不同于IT系統的安全問(wèn)題，最大的威脅可能是商業(yè)業(yè)務(wù)的停滯以及信息的泄露；OT環(huán)境一旦受到攻擊，就很有可能會(huì )對環(huán)境以及人生帶來(lái)直接的傷害。安全也必須緊跟而上，確保OT的安全。但是在OT環(huán)境部署安全產(chǎn)品的時(shí)候會(huì )面臨很大的挑戰，其主要的原因在于OT環(huán)境自身的屬性以及安全產(chǎn)品對OT 環(huán)境的適應。西門(mén)子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富，從離散控制、過(guò)程控制到運動(dòng)控制，幾乎都能找到成套的解決方案，這就意味著(zhù)對OT系統有著(zhù)深入的了解和實(shí)踐經(jīng)驗，這些都有助于OT安全的實(shí)施和部署，可以快速的搭建測試環(huán)境；可以預見(jiàn)和規避一些風(fēng)險；可以方便的獲得內部專(zhuān)家的支持。