今日頭條
官方微信
官方抖音
資訊頻道近年來,制造業和基建設施受到的攻擊日益增多——生產制造型企業以及關鍵基礎設施,包括電力、能源、交通,甚至核電設備都受到了黑客多種的攻擊。不同于IT系統的安全問題,最大的威脅可能是商業業務的停滯以及信息的泄露;OT環境一旦受到攻擊,就很有可能會對環境以及人生帶來直接的傷害。安全也必須緊跟而上,確保OT的安全。 但是在OT環境部署安全產品的時候會面臨很大的挑戰,其主要的原因在于OT環境自身的屬性以及安全產品對OT 環境的適應。 西門子在工業控制領域的產品及方案非常豐富,從離散控制、過程控制到運動控制,幾乎都能找到成套的解決方案,這就意味著對OT系統有著深入的了解和實踐經驗,這些都有助于OT安全的實施和部署,可以快速的搭建測試環境;可以預見和規避一些風險;可以方便的獲得內部專家的支持。
1. 項目背景介紹
隨著工控系統的縱向集成度的越來越高,加之工業網絡系統越來越受到黑客或非法組織的關注,其所受到的網絡安全方面的威脅也越來隨之增加,尤其是工控網絡中的各類主機包括服務器,成為工控系統中暴露面最大的部分,因此從操作系統層面,應用白名單解決方案,可以有效阻止非授權程序與惡意程序在工控主機服務器中運行,保護工控系統有效性、安全性。
但是另一方面,OT系統環境又有別于普通的IT環境,OT環境更加敏感和固定,對運行環境的依賴度很高,不接受計劃外的宕機,如果不加控制的對工控系統的主機進行操作,有可能會對現有系統造成的不確定的影響。所有需要制定詳細的實施方案來確保項目實施的平順、安全、可控,降低實施風險,保障原有業務系統不受影響。
2. 項目目標與原則
本項目目標是為北京奔馳裝配車間和發動機車間工控系統中的共計1800臺主機部署白名單軟件對系統進行端點安全防護,防止惡意代碼的威脅。
根據項目的具體情況,整個項目分為兩個階段進行實施,第一階段部署1400臺主機,主要為HMI設備,該類設備重要程度較低,可在生產時進行部署;第二階段部署400臺主機,主要為測量設備,該類設備重要程度較高,需要協調實施時間窗口或者在停產時進行部署。
3. 項目實施與應用情況詳細介紹
3.1實施流程
為了確保白名單成功部署實現對既有系統提供保護的同時又不會對既有系統業務功能造成影響,并且充分考慮在部署過程中的不同節點出現異常情況的預案,制定了符合汽車生產過程的詳細的實施流程,如下:
Fig1. 白名單實施流程
1) 版本選擇。根據收集到的相關信息制定相應的白名單服務器、終端代理以及白名單組件的版本。
2) 兼容性測試。在實施前搭建模擬環境對白名單部署進行兼容性和可行性測試,測試結果作為正式實施的參考依據。
3) 病毒掃描。在現場正式實施前,需要對部署范圍內的主機進行全盤的病毒掃描,保證在實施白名單前,系統是純凈無毒的。
4) 病毒分析和處理。如果發現病毒需要對其進行科學、有效的清除和處理,保證在清理掉病毒的同時保證原有系統的業務可用性,并且對網絡類型的病毒進行有效的抑制。
5) 系統備份。在進行白名單部署之前需要對系統進行全盤備份,以防在必要時進行回退。
6) 部署白名單。采用分組的方式進行分期分批的部署,控制部署范圍。
7) 策略開發。對部署白名單的主機進行為期兩周左右的學習和觀察,根據主機系統和應用的特征,對其進行定制化的策略開發和下發。
8) 白名單啟用。在對系統業務應用的觀察期過后,將白名單切換為啟用模式,開始對系統進行安全防護。
3.2實施方法和步驟
制定詳細實施計劃,確定周計劃和日計劃,確定每天實施的主機數量和范圍以及依賴條件。
項目實施具體的內容涉及到系統備份、系統病毒掃描及處理、白名單部署、卸載原有殺毒軟件、功能/性能檢查、運行監控等幾個方面的內容。
3.2.1備份
提前一周對將要實施的系統進行全盤備份,準備移動存儲設備和恢復工具。根據項目實施人數主備相應數量的工具和介質。NAS或相關手段臨時存儲備份文件。
3.2.2 白名單部署
對實施后的主機粘貼物理標簽(標注緊急聯系方式),每天匯報實施進度和內容。
· 病毒掃描
在白名單實施前需要對主機進行全盤的病毒掃描并對發現的病毒進行分析和處理。
對于防病毒軟件覆蓋的,并且病毒庫更新的主機,采用防病毒軟件進行全盤病毒,并針對主機的網絡特征,批量的下發殺毒任務,這樣可有效的查殺網絡型病毒。對于防病毒軟件異常狀態的主機利用便攜式U盤殺毒工具對被部署主機進行殺毒。
· 病毒分析處理
分析病毒類型和感染的文件,根據具體情況進行相應的處理,對于非常確定的病毒進行清除;對于不確定的可疑的文件進行隔離。
· 部署前主機狀態檢查
在全盤掃描并且對發現的惡意代碼處理后,需要對系統進行重啟,重啟后檢查系統是否能夠正常運行,如果正常,繼續后續的部署工作,如果系統不能正常運行,需要聯合項目組一起分析并解決問題。
· 部署白名單組件代理和防護組件
有些主機可能已經安裝了代理,對于這些主機檢查代理狀態,如果工作正常直接安裝防護組件
· 白名單策略探索(策略學習)
白名單部署完成之后將白名單設置為觀察模式,對系統進行固化,觀察模式保持2周左右,之后對形成的觀察記錄進行分析,有針對的制定被保護端點的白名單策略。
· 卸載殺毒軟件
在白名單啟用前還需要斷開網絡進行一次全盤病毒 掃描和處理,處理完成后將。
· 白名單激活
將白名單保護模式激活,白名單開始正式生效。
· 功能、性能檢查
恢復網絡,對白名單生效后原有業務功能進行檢查;對白名單激活后的系統性能進行檢查,是否在合理范圍之內
· 運行監護
以防由于白名單的引入造成的系統功能和性能方面的影響,在白名單啟用后對系統的運行進行觀察和監護,為安全生產提供保障。
3.3現場實施前提條件
· 需要部署白名單的主機提供白名單客戶端30分鐘左右的安裝部署時間
· 需要停2小時做系統備份
· 手動部署的主機需要1-2小時進行病毒查殺
3.4協調工作
· 協調IT對鏡像系統加域是產生的重名問題進行處理
· 協調并安排白名單部署范圍內的主機的殺毒和備份
協助驗證名單部署范圍內主機的業務功能
4. 效益分析
隨著工控系統的縱向集成度的越來越高,加之工業網絡系統越來越受到黑客或非法組織的關注,其所受到的網絡安全方面的威脅也越來隨之增加,尤其是工控網絡中的各類主機包括服務器,成為工控系統中暴露面最大的部分,因此從操作系統層面,應用白名單解決方案,可以有效阻止非授權程序與惡意程序在工控主機服務器中運行,保護工控系統有效性、安全性。
本項目的實施范圍為北京奔馳裝配車間和發動機車間共計1800臺主機,要在項目范圍內的主機上部署白名單軟件對系統進行端點安全防護。項目是在汽車行業由原廠安全部門、工控系統工程團隊和客戶各生產部門和IT部門聯合實施的一個大規模的工控安全終端白名單惡意代碼全面防護的項目,實施過程嚴格遵守汽車行業嚴苛的穩定生產要求,實施后,確保不會影響工控系統的精確控制,在全廠實施過程中,需要解決終端類型繁多,用途不一和生產關鍵程度不同帶來的復雜的問題,可以有效防止惡意代碼的威脅,保障原有業務系統不受影響。本項目的實施將極大減少北京奔馳因為安全事件停產造成的損失,提高生產線的可用性。
北京市公安局海淀分局備案號:11010802023656號