近年来，制造业和基建设施受到的攻击日益增多——生产制造型企业以及关键基础设施，包括电力、能源、交通，甚至核电设备都受到了黑客多种的攻击。不同于IT系统的安全问题，最大的威胁可能是商业业务的停滞以及信息的泄露；OT环境一旦受到攻击，就很有可能会对环境以及人生带来直接的伤害。安全也必须紧跟而上，确保OT的安全。    但是在OT环境部署安全产品的时候会面临很大的挑战，其主要的原因在于OT环境自身的属性以及安全产品对OT 环境的适应。  西门子在工业控制领域的产品及方案非常丰富，从离散控制、过程控制到运动控制，几乎都能找到成套的解决方案，这就意味着对OT系统有着深入的了解和实践经验，这些都有助于OT安全的实施和部署，可以快速的搭建测试环境；可以预见和规避一些风险；可以方便的获得内部专家的支持。

1. 项目背景介绍

    随着工控系统的纵向集成度的越来越高，加之工业网络系统越来越受到黑客或非法组织的关注，其所受到的网络安全方面的威胁也越来随之增加，尤其是工控网络中的各类主机包括服务器，成为工控系统中暴露面最大的部分，因此从操作系统层面，应用白名单解决方案，可以有效阻止非授权程序与恶意程序在工控主机服务器中运行，保护工控系统有效性、安全性。

    但是另一方面，OT系统环境又有别于普通的IT环境，OT环境更加敏感和固定，对运行环境的依赖度很高，不接受计划外的宕机，如果不加控制的对工控系统的主机进行操作，有可能会对现有系统造成的不确定的影响。所有需要制定详细的实施方案来确保项目实施的平顺、安全、可控，降低实施风险，保障原有业务系统不受影响。

2. 项目目标与原则

    本项目目标是为北京奔驰装配车间和发动机车间工控系统中的共计1800台主机部署白名单软件对系统进行端点安全防护，防止恶意代码的威胁。

    根据项目的具体情况，整个项目分为两个阶段进行实施，第一阶段部署1400台主机，主要为HMI设备，该类设备重要程度较低，可在生产时进行部署；第二阶段部署400台主机，主要为测量设备，该类设备重要程度较高，需要协调实施时间窗口或者在停产时进行部署。

3. 项目实施与应用情况详细介绍

3.1实施流程

为了确保白名单成功部署实现对既有系统提供保护的同时又不会对既有系统业务功能造成影响，并且充分考虑在部署过程中的不同节点出现异常情况的预案，制定了符合汽车生产过程的详细的实施流程，如下：

Fig1. 白名单实施流程

1) 版本选择。根据收集到的相关信息制定相应的白名单服务器、终端代理以及白名单组件的版本。

2) 兼容性测试。在实施前搭建模拟环境对白名单部署进行兼容性和可行性测试，测试结果作为正式实施的参考依据。

3) 病毒扫描。在现场正式实施前，需要对部署范围内的主机进行全盘的病毒扫描，保证在实施白名单前，系统是纯净无毒的。

4) 病毒分析和处理。如果发现病毒需要对其进行科学、有效的清除和处理，保证在清理掉病毒的同时保证原有系统的业务可用性，并且对网络类型的病毒进行有效的抑制。

5) 系统备份。在进行白名单部署之前需要对系统进行全盘备份，以防在必要时进行回退。

6) 部署白名单。采用分组的方式进行分期分批的部署，控制部署范围。

7) 策略开发。对部署白名单的主机进行为期两周左右的学习和观察，根据主机系统和应用的特征，对其进行定制化的策略开发和下发。

8) 白名单启用。在对系统业务应用的观察期过后，将白名单切换为启用模式，开始对系统进行安全防护。

3.2实施方法和步骤

制定详细实施计划，确定周计划和日计划，确定每天实施的主机数量和范围以及依赖条件。

项目实施具体的内容涉及到系统备份、系统病毒扫描及处理、白名单部署、卸载原有杀毒软件、功能/性能检查、运行监控等几个方面的内容。

3.2.1备份

提前一周对将要实施的系统进行全盘备份，准备移动存储设备和恢复工具。根据项目实施人数主备相应数量的工具和介质。NAS或相关手段临时存储备份文件。

3.2.2 白名单部署

对实施后的主机粘贴物理标签（标注紧急联系方式），每天汇报实施进度和内容。

· 病毒扫描

在白名单实施前需要对主机进行全盘的病毒扫描并对发现的病毒进行分析和处理。

对于防病毒软件覆盖的，并且病毒库更新的主机，采用防病毒软件进行全盘病毒，并针对主机的网络特征，批量的下发杀毒任务，这样可有效的查杀网络型病毒。对于防病毒软件异常状态的主机利用便携式U盘杀毒工具对被部署主机进行杀毒。

· 病毒分析处理

分析病毒类型和感染的文件，根据具体情况进行相应的处理，对于非常确定的病毒进行清除；对于不确定的可疑的文件进行隔离。

· 部署前主机状态检查

在全盘扫描并且对发现的恶意代码处理后，需要对系统进行重启，重启后检查系统是否能够正常运行，如果正常，继续后续的部署工作，如果系统不能正常运行，需要联合项目组一起分析并解决问题。

· 部署白名单组件代理和防护组件

有些主机可能已经安装了代理，对于这些主机检查代理状态，如果工作正常直接安装防护组件

· 白名单策略探索（策略学习）

白名单部署完成之后将白名单设置为观察模式，对系统进行固化，观察模式保持2周左右，之后对形成的观察记录进行分析，有针对的制定被保护端点的白名单策略。

· 卸载杀毒软件

在白名单启用前还需要断开网络进行一次全盘病毒 扫描和处理，处理完成后将。

· 白名单激活

将白名单保护模式激活，白名单开始正式生效。

· 功能、性能检查

恢复网络，对白名单生效后原有业务功能进行检查；对白名单激活后的系统性能进行检查，是否在合理范围之内

· 运行监护

以防由于白名单的引入造成的系统功能和性能方面的影响，在白名单启用后对系统的运行进行观察和监护，为安全生产提供保障。

3.3现场实施前提条件

· 需要部署白名单的主机提供白名单客户端30分钟左右的安装部署时间

· 需要停2小时做系统备份

· 手动部署的主机需要1-2小时进行病毒查杀

3.4协调工作

· 协调IT对镜像系统加域是产生的重名问题进行处理

· 协调并安排白名单部署范围内的主机的杀毒和备份

协助验证名单部署范围内主机的业务功能

4. 效益分析

    随着工控系统的纵向集成度的越来越高，加之工业网络系统越来越受到黑客或非法组织的关注，其所受到的网络安全方面的威胁也越来随之增加，尤其是工控网络中的各类主机包括服务器，成为工控系统中暴露面最大的部分，因此从操作系统层面，应用白名单解决方案，可以有效阻止非授权程序与恶意程序在工控主机服务器中运行，保护工控系统有效性、安全性。

本项目的实施范围为北京奔驰装配车间和发动机车间共计1800台主机，要在项目范围内的主机上部署白名单软件对系统进行端点安全防护。项目是在汽车行业由原厂安全部门、工控系统工程团队和客户各生产部门和IT部门联合实施的一个大规模的工控安全终端白名单恶意代码全面防护的项目，实施过程严格遵守汽车行业严苛的稳定生产要求，实施后，确保不会影响工控系统的精确控制，在全厂实施过程中，需要解决终端类型繁多，用途不一和生产关键程度不同带来的复杂的问题，可以有效防止恶意代码的威胁，保障原有业务系统不受影响。本项目的实施将极大减少北京奔驰因为安全事件停产造成的损失，提高生产线的可用性。