今日頭條
官方微信
官方抖音
資訊頻道近年來,制造業(yè)和基建設(shè)施受到的攻擊日益增多——生產(chǎn)制造型企業(yè)以及關(guān)鍵基礎(chǔ)設(shè)施,包括電力、能源、交通,甚至核電設(shè)備都受到了黑客多種的攻擊。不同于IT系統(tǒng)的安全問題,最大的威脅可能是商業(yè)業(yè)務(wù)的停滯以及信息的泄露;OT環(huán)境一旦受到攻擊,就很有可能會對環(huán)境以及人生帶來直接的傷害。安全也必須緊跟而上,確保OT的安全。 但是在OT環(huán)境部署安全產(chǎn)品的時候會面臨很大的挑戰(zhàn),其主要的原因在于OT環(huán)境自身的屬性以及安全產(chǎn)品對OT 環(huán)境的適應。 西門子在工業(yè)控制領(lǐng)域的產(chǎn)品及方案非常豐富,從離散控制、過程控制到運動控制,幾乎都能找到成套的解決方案,這就意味著對OT系統(tǒng)有著深入的了解和實踐經(jīng)驗,這些都有助于OT安全的實施和部署,可以快速的搭建測試環(huán)境;可以預見和規(guī)避一些風險;可以方便的獲得內(nèi)部專家的支持。
1. 項目背景介紹
隨著工控系統(tǒng)的縱向集成度的越來越高,加之工業(yè)網(wǎng)絡(luò)系統(tǒng)越來越受到黑客或非法組織的關(guān)注,其所受到的網(wǎng)絡(luò)安全方面的威脅也越來隨之增加,尤其是工控網(wǎng)絡(luò)中的各類主機包括服務(wù)器,成為工控系統(tǒng)中暴露面最大的部分,因此從操作系統(tǒng)層面,應用白名單解決方案,可以有效阻止非授權(quán)程序與惡意程序在工控主機服務(wù)器中運行,保護工控系統(tǒng)有效性、安全性。
但是另一方面,OT系統(tǒng)環(huán)境又有別于普通的IT環(huán)境,OT環(huán)境更加敏感和固定,對運行環(huán)境的依賴度很高,不接受計劃外的宕機,如果不加控制的對工控系統(tǒng)的主機進行操作,有可能會對現(xiàn)有系統(tǒng)造成的不確定的影響。所有需要制定詳細的實施方案來確保項目實施的平順、安全、可控,降低實施風險,保障原有業(yè)務(wù)系統(tǒng)不受影響。
2. 項目目標與原則
本項目目標是為北京奔馳裝配車間和發(fā)動機車間工控系統(tǒng)中的共計1800臺主機部署白名單軟件對系統(tǒng)進行端點安全防護,防止惡意代碼的威脅。
根據(jù)項目的具體情況,整個項目分為兩個階段進行實施,第一階段部署1400臺主機,主要為HMI設(shè)備,該類設(shè)備重要程度較低,可在生產(chǎn)時進行部署;第二階段部署400臺主機,主要為測量設(shè)備,該類設(shè)備重要程度較高,需要協(xié)調(diào)實施時間窗口或者在停產(chǎn)時進行部署。
3. 項目實施與應用情況詳細介紹
3.1實施流程
為了確保白名單成功部署實現(xiàn)對既有系統(tǒng)提供保護的同時又不會對既有系統(tǒng)業(yè)務(wù)功能造成影響,并且充分考慮在部署過程中的不同節(jié)點出現(xiàn)異常情況的預案,制定了符合汽車生產(chǎn)過程的詳細的實施流程,如下:
Fig1. 白名單實施流程
1) 版本選擇。根據(jù)收集到的相關(guān)信息制定相應的白名單服務(wù)器、終端代理以及白名單組件的版本。
2) 兼容性測試。在實施前搭建模擬環(huán)境對白名單部署進行兼容性和可行性測試,測試結(jié)果作為正式實施的參考依據(jù)。
3) 病毒掃描。在現(xiàn)場正式實施前,需要對部署范圍內(nèi)的主機進行全盤的病毒掃描,保證在實施白名單前,系統(tǒng)是純凈無毒的。
4) 病毒分析和處理。如果發(fā)現(xiàn)病毒需要對其進行科學、有效的清除和處理,保證在清理掉病毒的同時保證原有系統(tǒng)的業(yè)務(wù)可用性,并且對網(wǎng)絡(luò)類型的病毒進行有效的抑制。
5) 系統(tǒng)備份。在進行白名單部署之前需要對系統(tǒng)進行全盤備份,以防在必要時進行回退。
6) 部署白名單。采用分組的方式進行分期分批的部署,控制部署范圍。
7) 策略開發(fā)。對部署白名單的主機進行為期兩周左右的學習和觀察,根據(jù)主機系統(tǒng)和應用的特征,對其進行定制化的策略開發(fā)和下發(fā)。
8) 白名單啟用。在對系統(tǒng)業(yè)務(wù)應用的觀察期過后,將白名單切換為啟用模式,開始對系統(tǒng)進行安全防護。
3.2實施方法和步驟
制定詳細實施計劃,確定周計劃和日計劃,確定每天實施的主機數(shù)量和范圍以及依賴條件。
項目實施具體的內(nèi)容涉及到系統(tǒng)備份、系統(tǒng)病毒掃描及處理、白名單部署、卸載原有殺毒軟件、功能/性能檢查、運行監(jiān)控等幾個方面的內(nèi)容。
3.2.1備份
提前一周對將要實施的系統(tǒng)進行全盤備份,準備移動存儲設(shè)備和恢復工具。根據(jù)項目實施人數(shù)主備相應數(shù)量的工具和介質(zhì)。NAS或相關(guān)手段臨時存儲備份文件。
3.2.2 白名單部署
對實施后的主機粘貼物理標簽(標注緊急聯(lián)系方式),每天匯報實施進度和內(nèi)容。
· 病毒掃描
在白名單實施前需要對主機進行全盤的病毒掃描并對發(fā)現(xiàn)的病毒進行分析和處理。
對于防病毒軟件覆蓋的,并且病毒庫更新的主機,采用防病毒軟件進行全盤病毒,并針對主機的網(wǎng)絡(luò)特征,批量的下發(fā)殺毒任務(wù),這樣可有效的查殺網(wǎng)絡(luò)型病毒。對于防病毒軟件異常狀態(tài)的主機利用便攜式U盤殺毒工具對被部署主機進行殺毒。
· 病毒分析處理
分析病毒類型和感染的文件,根據(jù)具體情況進行相應的處理,對于非常確定的病毒進行清除;對于不確定的可疑的文件進行隔離。
· 部署前主機狀態(tài)檢查
在全盤掃描并且對發(fā)現(xiàn)的惡意代碼處理后,需要對系統(tǒng)進行重啟,重啟后檢查系統(tǒng)是否能夠正常運行,如果正常,繼續(xù)后續(xù)的部署工作,如果系統(tǒng)不能正常運行,需要聯(lián)合項目組一起分析并解決問題。
· 部署白名單組件代理和防護組件
有些主機可能已經(jīng)安裝了代理,對于這些主機檢查代理狀態(tài),如果工作正常直接安裝防護組件
· 白名單策略探索(策略學習)
白名單部署完成之后將白名單設(shè)置為觀察模式,對系統(tǒng)進行固化,觀察模式保持2周左右,之后對形成的觀察記錄進行分析,有針對的制定被保護端點的白名單策略。
· 卸載殺毒軟件
在白名單啟用前還需要斷開網(wǎng)絡(luò)進行一次全盤病毒 掃描和處理,處理完成后將。
· 白名單激活
將白名單保護模式激活,白名單開始正式生效。
· 功能、性能檢查
恢復網(wǎng)絡(luò),對白名單生效后原有業(yè)務(wù)功能進行檢查;對白名單激活后的系統(tǒng)性能進行檢查,是否在合理范圍之內(nèi)
· 運行監(jiān)護
以防由于白名單的引入造成的系統(tǒng)功能和性能方面的影響,在白名單啟用后對系統(tǒng)的運行進行觀察和監(jiān)護,為安全生產(chǎn)提供保障。
3.3現(xiàn)場實施前提條件
· 需要部署白名單的主機提供白名單客戶端30分鐘左右的安裝部署時間
· 需要停2小時做系統(tǒng)備份
· 手動部署的主機需要1-2小時進行病毒查殺
3.4協(xié)調(diào)工作
· 協(xié)調(diào)IT對鏡像系統(tǒng)加域是產(chǎn)生的重名問題進行處理
· 協(xié)調(diào)并安排白名單部署范圍內(nèi)的主機的殺毒和備份
協(xié)助驗證名單部署范圍內(nèi)主機的業(yè)務(wù)功能
4. 效益分析
隨著工控系統(tǒng)的縱向集成度的越來越高,加之工業(yè)網(wǎng)絡(luò)系統(tǒng)越來越受到黑客或非法組織的關(guān)注,其所受到的網(wǎng)絡(luò)安全方面的威脅也越來隨之增加,尤其是工控網(wǎng)絡(luò)中的各類主機包括服務(wù)器,成為工控系統(tǒng)中暴露面最大的部分,因此從操作系統(tǒng)層面,應用白名單解決方案,可以有效阻止非授權(quán)程序與惡意程序在工控主機服務(wù)器中運行,保護工控系統(tǒng)有效性、安全性。
本項目的實施范圍為北京奔馳裝配車間和發(fā)動機車間共計1800臺主機,要在項目范圍內(nèi)的主機上部署白名單軟件對系統(tǒng)進行端點安全防護。項目是在汽車行業(yè)由原廠安全部門、工控系統(tǒng)工程團隊和客戶各生產(chǎn)部門和IT部門聯(lián)合實施的一個大規(guī)模的工控安全終端白名單惡意代碼全面防護的項目,實施過程嚴格遵守汽車行業(yè)嚴苛的穩(wěn)定生產(chǎn)要求,實施后,確保不會影響工控系統(tǒng)的精確控制,在全廠實施過程中,需要解決終端類型繁多,用途不一和生產(chǎn)關(guān)鍵程度不同帶來的復雜的問題,可以有效防止惡意代碼的威脅,保障原有業(yè)務(wù)系統(tǒng)不受影響。本項目的實施將極大減少北京奔馳因為安全事件停產(chǎn)造成的損失,提高生產(chǎn)線的可用性。
北京市公安局海淀分局備案號:11010802023656號