近年來，制造業(yè)和基建設(shè)施受到的攻擊日益增多——生產(chǎn)制造型企業(yè)以及關(guān)鍵基礎(chǔ)設(shè)施，包括電力、能源、交通，甚至核電設(shè)備都受到了黑客多種的攻擊。不同于IT系統(tǒng)的安全問題，最大的威脅可能是商業(yè)業(yè)務(wù)的停滯以及信息的泄露；OT環(huán)境一旦受到攻擊，就很有可能會對環(huán)境以及人生帶來直接的傷害。安全也必須緊跟而上，確保OT的安全。    但是在OT環(huán)境部署安全產(chǎn)品的時候會面臨很大的挑戰(zhàn)，其主要的原因在于OT環(huán)境自身的屬性以及安全產(chǎn)品對OT 環(huán)境的適應(yīng)。  西門子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富，從離散控制、過程控制到運動控制，幾乎都能找到成套的解決方案，這就意味著對OT系統(tǒng)有著深入的了解和實踐經(jīng)驗，這些都有助于OT安全的實施和部署，可以快速的搭建測試環(huán)境；可以預(yù)見和規(guī)避一些風(fēng)險；可以方便的獲得內(nèi)部專家的支持。

1. 項目背景介紹

    隨著工控系統(tǒng)的縱向集成度的越來越高，加之工業(yè)網(wǎng)絡(luò)系統(tǒng)越來越受到黑客或非法組織的關(guān)注，其所受到的網(wǎng)絡(luò)安全方面的威脅也越來隨之增加，尤其是工控網(wǎng)絡(luò)中的各類主機包括服務(wù)器，成為工控系統(tǒng)中暴露面最大的部分，因此從操作系統(tǒng)層面，應(yīng)用白名單解決方案，可以有效阻止非授權(quán)程序與惡意程序在工控主機服務(wù)器中運行，保護工控系統(tǒng)有效性、安全性。

    但是另一方面，OT系統(tǒng)環(huán)境又有別于普通的IT環(huán)境，OT環(huán)境更加敏感和固定，對運行環(huán)境的依賴度很高，不接受計劃外的宕機，如果不加控制的對工控系統(tǒng)的主機進行操作，有可能會對現(xiàn)有系統(tǒng)造成的不確定的影響。所有需要制定詳細的實施方案來確保項目實施的平順、安全、可控，降低實施風(fēng)險，保障原有業(yè)務(wù)系統(tǒng)不受影響。

2. 項目目標與原則

    本項目目標是為北京奔馳裝配車間和發(fā)動機車間工控系統(tǒng)中的共計1800臺主機部署白名單軟件對系統(tǒng)進行端點安全防護，防止惡意代碼的威脅。

    根據(jù)項目的具體情況，整個項目分為兩個階段進行實施，第一階段部署1400臺主機，主要為HMI設(shè)備，該類設(shè)備重要程度較低，可在生產(chǎn)時進行部署；第二階段部署400臺主機，主要為測量設(shè)備，該類設(shè)備重要程度較高，需要協(xié)調(diào)實施時間窗口或者在停產(chǎn)時進行部署。

3. 項目實施與應(yīng)用情況詳細介紹

3.1實施流程

為了確保白名單成功部署實現(xiàn)對既有系統(tǒng)提供保護的同時又不會對既有系統(tǒng)業(yè)務(wù)功能造成影響，并且充分考慮在部署過程中的不同節(jié)點出現(xiàn)異常情況的預(yù)案，制定了符合汽車生產(chǎn)過程的詳細的實施流程，如下：

Fig1. 白名單實施流程

1) 版本選擇。根據(jù)收集到的相關(guān)信息制定相應(yīng)的白名單服務(wù)器、終端代理以及白名單組件的版本。

2) 兼容性測試。在實施前搭建模擬環(huán)境對白名單部署進行兼容性和可行性測試，測試結(jié)果作為正式實施的參考依據(jù)。

3) 病毒掃描。在現(xiàn)場正式實施前，需要對部署范圍內(nèi)的主機進行全盤的病毒掃描，保證在實施白名單前，系統(tǒng)是純凈無毒的。

4) 病毒分析和處理。如果發(fā)現(xiàn)病毒需要對其進行科學(xué)、有效的清除和處理，保證在清理掉病毒的同時保證原有系統(tǒng)的業(yè)務(wù)可用性，并且對網(wǎng)絡(luò)類型的病毒進行有效的抑制。

5) 系統(tǒng)備份。在進行白名單部署之前需要對系統(tǒng)進行全盤備份，以防在必要時進行回退。

6) 部署白名單。采用分組的方式進行分期分批的部署，控制部署范圍。

7) 策略開發(fā)。對部署白名單的主機進行為期兩周左右的學(xué)習(xí)和觀察，根據(jù)主機系統(tǒng)和應(yīng)用的特征，對其進行定制化的策略開發(fā)和下發(fā)。

8) 白名單啟用。在對系統(tǒng)業(yè)務(wù)應(yīng)用的觀察期過后，將白名單切換為啟用模式，開始對系統(tǒng)進行安全防護。

3.2實施方法和步驟

制定詳細實施計劃，確定周計劃和日計劃，確定每天實施的主機數(shù)量和范圍以及依賴條件。

項目實施具體的內(nèi)容涉及到系統(tǒng)備份、系統(tǒng)病毒掃描及處理、白名單部署、卸載原有殺毒軟件、功能/性能檢查、運行監(jiān)控等幾個方面的內(nèi)容。

3.2.1備份

提前一周對將要實施的系統(tǒng)進行全盤備份，準備移動存儲設(shè)備和恢復(fù)工具。根據(jù)項目實施人數(shù)主備相應(yīng)數(shù)量的工具和介質(zhì)。NAS或相關(guān)手段臨時存儲備份文件。

3.2.2 白名單部署

對實施后的主機粘貼物理標簽（標注緊急聯(lián)系方式），每天匯報實施進度和內(nèi)容。

· 病毒掃描

在白名單實施前需要對主機進行全盤的病毒掃描并對發(fā)現(xiàn)的病毒進行分析和處理。

對于防病毒軟件覆蓋的，并且病毒庫更新的主機，采用防病毒軟件進行全盤病毒，并針對主機的網(wǎng)絡(luò)特征，批量的下發(fā)殺毒任務(wù)，這樣可有效的查殺網(wǎng)絡(luò)型病毒。對于防病毒軟件異常狀態(tài)的主機利用便攜式U盤殺毒工具對被部署主機進行殺毒。

· 病毒分析處理

分析病毒類型和感染的文件，根據(jù)具體情況進行相應(yīng)的處理，對于非常確定的病毒進行清除；對于不確定的可疑的文件進行隔離。

· 部署前主機狀態(tài)檢查

在全盤掃描并且對發(fā)現(xiàn)的惡意代碼處理后，需要對系統(tǒng)進行重啟，重啟后檢查系統(tǒng)是否能夠正常運行，如果正常，繼續(xù)后續(xù)的部署工作，如果系統(tǒng)不能正常運行，需要聯(lián)合項目組一起分析并解決問題。

· 部署白名單組件代理和防護組件

有些主機可能已經(jīng)安裝了代理，對于這些主機檢查代理狀態(tài)，如果工作正常直接安裝防護組件

· 白名單策略探索（策略學(xué)習(xí)）

白名單部署完成之后將白名單設(shè)置為觀察模式，對系統(tǒng)進行固化，觀察模式保持2周左右，之后對形成的觀察記錄進行分析，有針對的制定被保護端點的白名單策略。

· 卸載殺毒軟件

在白名單啟用前還需要斷開網(wǎng)絡(luò)進行一次全盤病毒 掃描和處理，處理完成后將。

· 白名單激活

將白名單保護模式激活，白名單開始正式生效。

· 功能、性能檢查

恢復(fù)網(wǎng)絡(luò)，對白名單生效后原有業(yè)務(wù)功能進行檢查；對白名單激活后的系統(tǒng)性能進行檢查，是否在合理范圍之內(nèi)

· 運行監(jiān)護

以防由于白名單的引入造成的系統(tǒng)功能和性能方面的影響，在白名單啟用后對系統(tǒng)的運行進行觀察和監(jiān)護，為安全生產(chǎn)提供保障。

3.3現(xiàn)場實施前提條件

· 需要部署白名單的主機提供白名單客戶端30分鐘左右的安裝部署時間

· 需要停2小時做系統(tǒng)備份

· 手動部署的主機需要1-2小時進行病毒查殺

3.4協(xié)調(diào)工作

· 協(xié)調(diào)IT對鏡像系統(tǒng)加域是產(chǎn)生的重名問題進行處理

· 協(xié)調(diào)并安排白名單部署范圍內(nèi)的主機的殺毒和備份

協(xié)助驗證名單部署范圍內(nèi)主機的業(yè)務(wù)功能

4. 效益分析

    隨著工控系統(tǒng)的縱向集成度的越來越高，加之工業(yè)網(wǎng)絡(luò)系統(tǒng)越來越受到黑客或非法組織的關(guān)注，其所受到的網(wǎng)絡(luò)安全方面的威脅也越來隨之增加，尤其是工控網(wǎng)絡(luò)中的各類主機包括服務(wù)器，成為工控系統(tǒng)中暴露面最大的部分，因此從操作系統(tǒng)層面，應(yīng)用白名單解決方案，可以有效阻止非授權(quán)程序與惡意程序在工控主機服務(wù)器中運行，保護工控系統(tǒng)有效性、安全性。

本項目的實施范圍為北京奔馳裝配車間和發(fā)動機車間共計1800臺主機，要在項目范圍內(nèi)的主機上部署白名單軟件對系統(tǒng)進行端點安全防護。項目是在汽車行業(yè)由原廠安全部門、工控系統(tǒng)工程團隊和客戶各生產(chǎn)部門和IT部門聯(lián)合實施的一個大規(guī)模的工控安全終端白名單惡意代碼全面防護的項目，實施過程嚴格遵守汽車行業(yè)嚴苛的穩(wěn)定生產(chǎn)要求，實施后，確保不會影響工控系統(tǒng)的精確控制，在全廠實施過程中，需要解決終端類型繁多，用途不一和生產(chǎn)關(guān)鍵程度不同帶來的復(fù)雜的問題，可以有效防止惡意代碼的威脅，保障原有業(yè)務(wù)系統(tǒng)不受影響。本項目的實施將極大減少北京奔馳因為安全事件停產(chǎn)造成的損失，提高生產(chǎn)線的可用性。