1、项目背景介绍

伴随着网络安全法的正式颁布实施，中国网络空间安全管理正式步入法制时代；针对工业控制系统，国家及各部委出台了一系列工控安全的政策、标准，指导并规范工业控制系统领域网络与信息安全工作，保障自动化控制系统持续、安全、稳定运行，提高企业生产安全态势。

· 2017年6月1日正式生效的《中华人民共和国网络安全法》中明确规定 “国家实行网络安全等级保护制度” ，并明确 “国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

· 新发布的《信息安全技术 网络安全等级保护基本要求》标准（即等保2.0）中也明确定义了针对工业控制系统的安全要求。

· “中国制造2025”及工信部的《工业控制系统信息安全行动计划（2018-2020年）》均对工控信息安全提出了新的要求，工控系统的安全运营离不开坚实的工控安全保障。

2、 项目目标与原则

本项目依据《信息安全技术 网络安全等级保护基本要求》标准（即等保2.0）对企业工业网络进行安全防护提升，通过综合安全评估，识别了需要建设的内容，以纵深防御的理念进行安全方案设计，并制定了安全规划路径，将OT网络与信息安全项目分为两期，项目第一期涉及工业网络分区与边界隔离防护，工控态势感知系统部署、主机应用白名单部署、工控多引擎恶意代码扫描检测系统部署、ICS主机补丁管理平台搭建及补丁安装等内容。项目二期，在第一期的基础上扩大了项目范围，包括了第二期主机白名单实施，操作系统补丁升级，工控态势感知系统升级、工控多引擎恶意代码扫描检测系统升级。

一期与二期项目在实施过程中需统筹规划、协同设计，整体构建完善的安全防御体系。通过统一的技术架构和标准，实现两期所涉及系统的平顺对接，安全监控与管理平台集中统一，确保业务功能稳定、连续运行，最终实现一期与二期项目的高效协同与深度融合。

3、 项目实施与应用情况详细介绍

本项目的方案设计参考国际及国家的相关标准，结合西门子的OT网络信息安全的最佳实践，充分考虑到LNG（液化天然气）行业系统的特点，制定有针对性的、可落地的、全面的安全措施部署，实现端到端的信息安全。

3.1 项目面对的挑战

网络安全加固及防护方案实施须保证天然气供应安全和生产安全

项目执行不对正常生产造成干扰

项目业务系统和安全体系同步建设，交叉施工，需要统筹安排。

项目第一期和项目第二期需要通盘考虑，需要平稳并网，做到安全无死角，业务无扰动。

3.2 项目总体方案

西门子“纵深防御”信息安全解决方案，考虑生产制造系统所有的层次，能够最大限度降低安全风险，提供全方位深度安全防护。从工厂安全、网络安全、系统安全几个维度进行网络信息安全的总体设计。

3.2.1网络分区与边界隔离防护

1) 边界防护

在项目第一期，西门子在OT网络和IT网络之间部署下一代防火墙，保证数据传输的安全性和实现网络的物理隔离，保证网络通讯的健壮性、稳定性和高可用性。该防火墙具有防病毒功能，并且可识别工业通讯协议，实现IPS功能，能有效抵御DDoS攻击。西门子配置严格的访问策略，实现OT网络和IT网络之间的安全通讯。并在后端采用西门子工业防火墙，组建DMZ区，所有安全相关的服务器部署在DMZ区。

2) 安全区域划分及设置

为提升工业控制系统网络的安全性与可管理性，本项目遵循以下网络安全域划分原则，并通过防火墙策略、设置ACL、划分VLAN等方式进行安全防护。

最小权限原则
根据“最小授权”理念，确保各安全域内部仅开放执行必要功能所需的通信，禁止不必要的横向访问。

风险等级分层
结合各系统资产的业务重要性、风险等级、可承受影响进行分层划分，高风险区域与低风险区域物理或逻辑隔离。

相似安全属性归类
对安全需求相似、信任等级一致的设备与系统划入同一安全域，便于统一实施访问控制与安全策略。

信任边界控制
不同信任等级的安全域之间设置明确的边界防护措施，如工业防火墙、隔离网关等，确保跨域访问行为可控、可审计。

功能区域划分
根据业务功能划分控制层、管理层、监控层、DMZ区、企业IT区等不同安全域，实现网络结构的清晰分区与管理。

可扩展与可维护性
在保证安全隔离的基础上，兼顾网络拓扑的可扩展性与后期运维管理的便捷性，避免过度细分导致管理复杂。

通过以上划分原则的执行，实现对OT网络环境的有效分区、风险隔离与安全防护，为后续的访问控制、流量管理和安全监控提供基础支撑。

3) OT网络与外部接口之间数据访问控制

在项目第二期中，针对内部管理部门及外部监管机构访问 OT 数据的业务场景，对原有防火墙进行了升级改造，以下一代防火墙替换传统防火墙。原防火墙主要承担 OPC Server 与外部访问用户之间的访问控制，但其仅支持基于静态端口的包过滤策略，无法满足当前精细化和深层次的安全管控需求。由于 OPC 协议采用动态端口通信，传统防火墙无法进行有效的协议识别与控制。本项目通过引入下一代防火墙，实现对应用层OPC协议的深度解析与精确识别，从而实现对 OT 数据访问实施更细粒度、更可靠的安全防护，显著提升了整体防御能力。

同时该下一代防火墙具有网络防病毒功能，IDS和IPS功能，且能有效抵御DDoS攻。

3.2.2工控安全态势感知系统（SSM）部署和升级

在该项目中西门子在第一期为客户定制开发和部署工控态势感知系统(SSM)，并在第二期升级到当前最新的版本，实现了产品功能的迭代和一二期系统统一监控和管理。在最新的工控态势感知系统中SSM服务器通过采集上位机、服务器、网络设备、防火墙、工控应用等安全日志以及工业控制网络的全报文网络流量，支持工控网络资产清单发现和网络拓扑自动生成、网络负载监控、非法资产接入及变更管理、OT入侵检测和安全事件管理、网络状态和违规行为检测、集中日志审计和U盘管控等功能。

同时会在所有西门子工控系统DCS的上位机和服务器部署安全日志采集代理，采集上位机上的日志，并确保和现有的西门子工控系统DCS原生兼容。

升级工控态势感知系统流量采集设备探针到最新版本,在交换机配置镜像口把工控网络与DMZ之间通信流量传输到工控态势感知系统流量采集设备探针，提供网络流量采集、网络IDS（Intrusion Detection System）及DPA（Deep Packet Analysis）分析功能并通过和服务器端的VPN通道将相关数据传输至服务器端。

工业控制网络安全态势感知系统（SSM及sensor）总体的系统架构如下图

SSM系统架构图

3.2.3基于白名单的恶意软件检测及预防

在本项目中采用应用软件白名单来作为终端防恶意代码的手段，在现场服务器和终端上部署白名单软件，把正常业务进程和应用加入到白名单信任列表，可以阻止新的进程、已知和未知恶意代码在上位机和服务器上运行。

白名单仅允许可信任的应用程序下载或执行内容。在系统内，应用程序级白名单功能可以通过简单的被动式定义安全且获授权的应用程序来强制执行命令。启用白名单功能以禁止运行名单之外的应用程序，有助于降低系统崩溃或遭到攻击的可能性。

白名单部署通过制定周密的实施流程来保证实施过程中和实施后对原有业务系统不会造成功能和性能的不良影响，包括系统评估、兼容性测试、回退机制、主机健康状态检查和处理、白名单策略制定、白名单功能完全启用等。

3.2.4工控多引擎恶意代码扫描工作站（Scanning Station）

在DMZ非军事区前端防火墙外面部署工控多引擎恶意代码扫描工作站（Scanning Station）,集成了3中主流杀毒引擎，可对顽固病毒进行彻底查杀， 型号为Scanning Station v3.0，提供针对可移动存储介质以及ICS主机的恶意代码扫描，同时把扫描结果通过前端防火墙上传到态势感知服务器，态势感知服务器根据查杀结果通知安装在上位机上的日志采集代理检测及管控可移动存储介质及U盘。

对于不可拆解无法取出硬盘的的计算机工作站等，可通过工控多引擎恶意代码扫描设备多引擎查杀USB，型号为便携式病毒扫描设备，查杀计算机或工作站，实现上位机、服务器及新接入到系统中的设备的病毒查杀。

Scanning Station使用场景示意图

3.2.5控制系统补丁管理与补丁测试平台搭建

及时地进行Windows操作系统补丁升级可以有效的弥补已存在的漏洞，可增强工控系统的健壮性。但OT网络又有别于普通的IT环境，OT环境更加敏感和固定，对运行环境的依赖度很高，不接受计划外的宕机，如果不加控制的对工控系统的主机进行系统补丁升级，有可能会对现有系统造成的不确定的影响。为了使生产网络中某些主机能及时的进行操作系统的安全和关键补丁更新，在避免因系统漏洞带来潜在威胁的同时兼顾原有业务系统功能不受影响，特设计了WSUS与终端防护部署方案。

如下是补丁升级示意图，在DMZ 区部署WSUS服务器，从微软官方网站下载必要系统补丁，并通过防火墙策略，生产环境的SCADA主机从WSUS服务器上同步必要的补丁，为了保证系统补丁升级不会带来负面影响，需要在大范围实施前对需要升级的补丁进行测试，在测试环境中验证没有不良影响之后再对生产环境OT主机进行相应的补丁升级。

西门子长期对操作系统补丁与西门子软件的兼容性进行测试，测试结果可以作为补丁审批的参考，防止补丁升级之后对系统的正常运行造成不良影响。

只安装系统所需的必要补丁，可对补丁进行过滤审批，减少对系统的负担，降低补丁带来的兼容性问题。

根据工业系统环境的特点，总结了补丁升级最佳实践，制定周密的实施流程，在补丁升级的过程中减少对系统的影响面，稳步推进。

系统补丁升级流程

补丁升级示意图

4、 项目实施管理

本项目面向天然液化气（LNG）行业典型应用场景，属于控制系统实施与信息安全部署深度融合的交叉项目。在LNG行业装置连续运行、工艺复杂、安全要求极高、维护窗口有限的背景下，项目创新性地建立了统一、规范的多方协同管理与风险控制机制，为行业提供了可复制、可推广的示范模式。

1) 管理机制

项目通过集中化项目管理体系统筹全局，明确控制系统团队与信息安全团队的职责边界和接口关系，实现跨部门、高频次、常态化的沟通协作。通过联合启动会、里程碑评审及定期协调会议，确保技术方案、实施节奏和风险控制目标高度一致。关键环节如系统架构调整、网络变更及安全策略部署均采用联合评审和分阶段审批机制，既保障信息安全提升，又确保控制系统稳定性和实时性。

2) 风险控制

项目全面评估对生产连续性和工艺安全的潜在影响，制定分阶段、分区域实施策略，并配套回退方案和现场保障措施，实现对生产运行的最小干扰，确保安全、平稳推进。

3) 客户协同

充分依托客户对生产计划和现场资源的统筹能力，联合制定滚动实施计划，灵活应对生产调整和突发状况，保障项目与LNG装置运行高度匹配。

通过创新的多方协同机制与严谨的风险管理，本项目不仅成功实现控制系统与信息安全的协同落地，也为天然液化气行业提供了可复制的标杆方案，展示了行业示范性和推广价值，为行业安全数字化建设树立了新标杆。

5、 效益分析

项目执行没有对正常生产造成干扰

实现对全种类病毒的安全防护

安全方案无缝部署

为 PCS 7 运行环境量身定制一套完整的安全解决方案，涵盖 DMZ 区域建设、防火墙部署、防病毒与补丁管理、用户与权限管理，并引入工控安全态势感知系统（SSM）及主机白名单机制，全面提升系统的整体安全防护能力。为工厂环境提供持续安全防护

降低安全风险的同时保证了生产可用性

零安全事件/病毒感染

落地了工业控制系统满足等保合规要求