1  项目背景

伴随着网络安全法的正式颁布实施，中国网络空间安全管理正式步入法制时代；针对工业控制系统，国家及各部委出台了一系列工控安全的政策、标准，指导并规范工业控制系统领域网络与信息安全工作，保障自动化控制系统持续、安全、稳定运行，提高企业生产安全态势。

·  2017年6月1日正式生效的《中华人民共和国网络安全法》中明确规定 “国家实行网络安全等级保护制度” ，并明确 “国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

·  新发布的《信息安全技术 网络安全等级保护基本要求》标准（即等保2.0）中也明确定义了针对工业控制系统的安全要求，要求安全的工业控制系统解决方案需要具备相应的安全审计功能。

·  “中国制造2025”及工信部的《工业控制系统信息安全行动计划（2018-2020年）》均对工控信息安全提出了新的要求，工控系统的安全运营离不开坚实的工控安全保障。

2  项目目标与原则

本项目依据《中国石化工业仪表控制系统安全防护实施规定》（中国石化生〔2019〕318号）对青岛炼化工业控制系统（DCS）网络边界进行安全防护提升，涉及DCS系统网络分区与边界隔离防护，工控态势感知系统（OSA）升级、恶意软件检测及预防策略部署、工控多引擎恶意代码扫描检测系统部署、控制系统补丁下载平台与补丁测试平台搭建、时钟同步系统升级、第三方系统和DCS之间的隔离防护、工控系统等保体系认证咨询、数据采集接口测试等实施内容。

 3  项目实施与应用情况

（1）DCS系统网络分区与边界隔离防护

在OT网和办公网络之间部署天融信工控安全隔离与信息交换系统，保证数据传输的安全性和实现网络的物理隔离，并采用冗余热备的方式部署，保证网络通讯的健壮性、稳定性和高可用性。在终端总线上联处部署天融信下一代防火墙，设置DMZ，该防火墙可识别工业通讯协议，实现IPS功能并能有效抵御DDoS攻击。配置严格的访问策略，实现DMZ区设备和终端总线主机的安全通讯。

（2）工控态势感知系统（OSA）升级

在该项目中西门子会对目前青岛大炼油工控网络DMZ区的工控态势感知系统进行升级，升级到当前最新的版本。在最新的工控态势感知系统中OSA服务器通过采集上位机、服务器、网络设备、防火墙、工控应用等安全日志以及工业控制网络的全报文网络流量，支持工控网络资产清单发现和网络拓扑自动生成、网络负载监控、非法资产接入及变更管理、OT入侵检测和安全事件管理、网络状态和违规行为检测、集中日志审计和U盘管控等功能。

同时会在所有西门子工控系统DCS的上位机和服务器部署安全日志采集代理，采集上位机上的日志，并确保和现有的西门子工控系统DCS原生兼容。

升级工控态势感知系统流量采集设备探针到最新版本，版本号至少为OSA sensor 4.x,,在交换机配置镜像口把工控网络与DMZ之间通信流量传输到工控态势感知系统流量采集设备探针（OSA sensor 4.x），提供网络流量采集、网络IDS（Intrusion Detection System）及DPA（Deep Packet Analysis）分析功能并通过和服务器端的VPN通道将相关数据传输至服务器端。

工业控制网络安全态势感知系统（OSA及sensor）总体的系统架构如下图

OSA系统架构图

（3）基于白名单的恶意软件检测及预防

在OPC服务器上部署McAfee白名单软件，把上位机和服务器上的进程加入到白名单信任列表，可以阻止新的进程、已知和未知恶意代码在上位机和服务器上运行。其中服务器上安装McAfee服务器白名单软件，在终端上安装McAfee终端白名单软件。

McAfee白名单仅允许可信任的应用程序下载或执行内容。在系统内，应用程序级白名单功能可以通过简单的被动式定义安全且获授权的应用程序来强制执行命令。启用白名单功能能禁止运行名单之外的应用程序，有助于降低系统崩溃或遭到攻击的可能性。

（4）工控多引擎恶意代码扫描工作站（Scanning Station）

在DMZ非军事区前端防火墙外面部署工控多引擎恶意代码扫描工作站（Scanning Station）, 型号为Scanning Station v3.0，提供针对可移动存储介质的多引擎恶意代码扫描，同时把扫描结果通过前端防火墙上传到OSA服务器，OSA服务器根据查杀结果通知安装在上位机上的日志采集代理检测及管控可移动存储介质及U盘。

对于不可拆解无法取出硬盘的的计算机工作站等，可通过工控多引擎恶意代码扫描设备多引擎查杀USB，型号为便携式病毒扫描设备，查杀计算机或工作站，实现上位机、服务器及新接入到系统中的设备的病毒查杀。

Scanning Station使用场景示意图

（5）控制系统补丁下载平台与补丁测试平台搭建

及时地进行Windows操作系统补丁升级可以有效的弥补已存在的漏洞，可增强工控系统的健壮性。但OT网络又有别于普通的IT环境，OT环境更加敏感和固定，对运行环境的依赖度很高，不接受计划外的宕机，如果不加控制的对工控系统的主机进行系统补丁升级，有可能会对现有系统造成的不确定的影响。为了使生产网络中某些主机能及时的进行操作系统的安全和关键补丁更新，在避免因系统漏洞带来潜在威胁的同时兼顾原有业务系统功能不受影响，特设计了WSUS与终端防护部署方案。

如下是补丁升级示意图，在DMZ 区部署WSUS服务器，从微软官方网站下载必要系统补丁，并通过防火墙策略，生产环境的SCADA主机从WSUS服务器上同步必要的补丁，为了保证系统补丁升级不会带来负面影响，需要在大范围实施前对需要升级的补丁进行测试，在测试环境中验证没有不良影响之后再对生产环境OT主机进行相应的补丁升级。

补丁升级示意图

（6） 第三方系统与DCS之间的隔离防护

在项目实施过程中，西门子根据现场第三方系统，DCS系统以及网络的实际情况，和客户制定有效的防火墙安全策略，同时确保安全策略实施后客户的业务系统仍能够安全稳定的运行。

（7）等保体系认证与咨询

2019年5月13日，网络安全等级保护制度2.0标准正式发布，等保2.0标准在1.0标准的基础上，注重在全方位主动防、安全可信、动态感知和全面审计，实现了对传统信息系统、基础信息网络、云计算、大数据、物联网、移动互联和工业控制信息系统等保护对象的全覆盖。

等保2.0结构示意图

（8） 数据采集接口测试

在项目部署结束后，西门子将配合客户完成工厂办公网数据库的采集接口测试，实现办公网数据仓库单项采集DCS OPC数据功能，在此期间西门子主要为客户提供有关测试的技术指导，协助客户完成测试工作。

4  效益分析

（1）项目执行不对正常生产造成干扰；

（2）实现对全种类病毒的安全防护；

（3）安全方案无缝部署；

（4）全球最大的独立工业信息安全项目；

（5）为PCS 7运行环境开发一套安全解决方案，其中包括DMZ、防火墙、防病毒系统、补丁管理、用户管理，以及系统加固措施，工控安全态势感知系统OSA；

（6）在工厂停工检修2个星期内完成安全方案部署；

（7） 为工厂环境提供持续安全防护；

（8）降低安全风险的同时保证了生产可用性；

（9）零安全事件/病毒感染；

（10）中国石化领域客户的未来安全蓝图。

近年来，制造业和基建设施受到的攻击日益增多——生产制造型企业以及关键基础设施，包括电力、能源、交通，甚至核电设备都受到了黑客多种的攻击。不同于IT系统的安全问题，最大的威胁可能是商业业务的停滞以及信息的泄露；OT环境一旦受到攻击，就很有可能会对环境以及人生带来直接的伤害。安全也必须紧跟而上，确保OT的安全。但是在OT环境部署安全产品的时候会面临很大的挑战，其主要的原因在于OT环境自身的属性以及安全产品对OT 环境的适应。西门子在工业控制领域的产品及方案非常丰富，从离散控制、过程控制到运动控制，几乎都能找到成套的解决方案，这就意味着对OT系统有着深入的了解和实践经验，这些都有助于OT安全的实施和部署，可以快速的搭建测试环境；可以预见和规避一些风险；可以方便的获得内部专家的支持。