1、項目背景介紹

伴隨著網絡安全法的正式頒布實施，中國網絡空間安全管理正式步入法制時代；針對工業控制系統，國家及各部委出臺了一系列工控安全的政策、標準，指導并規范工業控制系統領域網絡與信息安全工作，保障自動化控制系統持續、安全、穩定運行，提高企業生產安全態勢。

· 2017年6月1日正式生效的《中華人民共和國網絡安全法》中明確規定 “國家實行網絡安全等級保護制度” ，并明確 “國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

· 新發布的《信息安全技術 網絡安全等級保護基本要求》標準（即等保2.0）中也明確定義了針對工業控制系統的安全要求。

· “中國制造2025”及工信部的《工業控制系統信息安全行動計劃（2018-2020年）》均對工控信息安全提出了新的要求，工控系統的安全運營離不開堅實的工控安全保障。

2、 項目目標與原則

本項目依據《信息安全技術 網絡安全等級保護基本要求》標準（即等保2.0）對企業工業網絡進行安全防護提升，通過綜合安全評估，識別了需要建設的內容，以縱深防御的理念進行安全方案設計，并制定了安全規劃路徑，將OT網絡與信息安全項目分為兩期，項目第一期涉及工業網絡分區與邊界隔離防護，工控態勢感知系統部署、主機應用白名單部署、工控多引擎惡意代碼掃描檢測系統部署、ICS主機補丁管理平臺搭建及補丁安裝等內容。項目二期，在第一期的基礎上擴大了項目范圍，包括了第二期主機白名單實施，操作系統補丁升級，工控態勢感知系統升級、工控多引擎惡意代碼掃描檢測系統升級。

一期與二期項目在實施過程中需統籌規劃、協同設計，整體構建完善的安全防御體系。通過統一的技術架構和標準，實現兩期所涉及系統的平順對接，安全監控與管理平臺集中統一，確保業務功能穩定、連續運行，最終實現一期與二期項目的高效協同與深度融合。

3、 項目實施與應用情況詳細介紹

本項目的方案設計參考國際及國家的相關標準，結合西門子的OT網絡信息安全的最佳實踐，充分考慮到LNG（液化天然氣）行業系統的特點，制定有針對性的、可落地的、全面的安全措施部署，實現端到端的信息安全。

3.1 項目面對的挑戰

網絡安全加固及防護方案實施須保證天然氣供應安全和生產安全

項目執行不對正常生產造成干擾

項目業務系統和安全體系同步建設，交叉施工，需要統籌安排。

項目第一期和項目第二期需要通盤考慮，需要平穩并網，做到安全無死角，業務無擾動。

3.2 項目總體方案

西門子“縱深防御”信息安全解決方案，考慮生產制造系統所有的層次，能夠最大限度降低安全風險，提供全方位深度安全防護。從工廠安全、網絡安全、系統安全幾個維度進行網絡信息安全的總體設計。

3.2.1網絡分區與邊界隔離防護

1) 邊界防護

在項目第一期，西門子在OT網絡和IT網絡之間部署下一代防火墻，保證數據傳輸的安全性和實現網絡的物理隔離，保證網絡通訊的健壯性、穩定性和高可用性。該防火墻具有防病毒功能，并且可識別工業通訊協議，實現IPS功能，能有效抵御DDoS攻擊。西門子配置嚴格的訪問策略，實現OT網絡和IT網絡之間的安全通訊。并在后端采用西門子工業防火墻，組建DMZ區，所有安全相關的服務器部署在DMZ區。

2) 安全區域劃分及設置

為提升工業控制系統網絡的安全性與可管理性，本項目遵循以下網絡安全域劃分原則，并通過防火墻策略、設置ACL、劃分VLAN等方式進行安全防護。

最小權限原則
根據“最小授權”理念，確保各安全域內部僅開放執行必要功能所需的通信，禁止不必要的橫向訪問。

風險等級分層
結合各系統資產的業務重要性、風險等級、可承受影響進行分層劃分，高風險區域與低風險區域物理或邏輯隔離。

相似安全屬性歸類
對安全需求相似、信任等級一致的設備與系統劃入同一安全域，便于統一實施訪問控制與安全策略。

信任邊界控制
不同信任等級的安全域之間設置明確的邊界防護措施，如工業防火墻、隔離網關等，確保跨域訪問行為可控、可審計。

功能區域劃分
根據業務功能劃分控制層、管理層、監控層、DMZ區、企業IT區等不同安全域，實現網絡結構的清晰分區與管理。

可擴展與可維護性
在保證安全隔離的基礎上，兼顧網絡拓撲的可擴展性與后期運維管理的便捷性，避免過度細分導致管理復雜。

通過以上劃分原則的執行，實現對OT網絡環境的有效分區、風險隔離與安全防護，為后續的訪問控制、流量管理和安全監控提供基礎支撐。

3) OT網絡與外部接口之間數據訪問控制

在項目第二期中，針對內部管理部門及外部監管機構訪問 OT 數據的業務場景，對原有防火墻進行了升級改造，以下一代防火墻替換傳統防火墻。原防火墻主要承擔 OPC Server 與外部訪問用戶之間的訪問控制，但其僅支持基于靜態端口的包過濾策略，無法滿足當前精細化和深層次的安全管控需求。由于 OPC 協議采用動態端口通信，傳統防火墻無法進行有效的協議識別與控制。本項目通過引入下一代防火墻，實現對應用層OPC協議的深度解析與精確識別，從而實現對 OT 數據訪問實施更細粒度、更可靠的安全防護，顯著提升了整體防御能力。

同時該下一代防火墻具有網絡防病毒功能，IDS和IPS功能，且能有效抵御DDoS攻。

3.2.2工控安全態勢感知系統（SSM）部署和升級

在該項目中西門子在第一期為客戶定制開發和部署工控態勢感知系統(SSM)，并在第二期升級到當前最新的版本，實現了產品功能的迭代和一二期系統統一監控和管理。在最新的工控態勢感知系統中SSM服務器通過采集上位機、服務器、網絡設備、防火墻、工控應用等安全日志以及工業控制網絡的全報文網絡流量，支持工控網絡資產清單發現和網絡拓撲自動生成、網絡負載監控、非法資產接入及變更管理、OT入侵檢測和安全事件管理、網絡狀態和違規行為檢測、集中日志審計和U盤管控等功能。

同時會在所有西門子工控系統DCS的上位機和服務器部署安全日志采集代理，采集上位機上的日志，并確保和現有的西門子工控系統DCS原生兼容。

升級工控態勢感知系統流量采集設備探針到最新版本,在交換機配置鏡像口把工控網絡與DMZ之間通信流量傳輸到工控態勢感知系統流量采集設備探針，提供網絡流量采集、網絡IDS（Intrusion Detection System）及DPA（Deep Packet Analysis）分析功能并通過和服務器端的VPN通道將相關數據傳輸至服務器端。

工業控制網絡安全態勢感知系統（SSM及sensor）總體的系統架構如下圖

SSM系統架構圖

3.2.3基于白名單的惡意軟件檢測及預防

在本項目中采用應用軟件白名單來作為終端防惡意代碼的手段，在現場服務器和終端上部署白名單軟件，把正常業務進程和應用加入到白名單信任列表，可以阻止新的進程、已知和未知惡意代碼在上位機和服務器上運行。

白名單僅允許可信任的應用程序下載或執行內容。在系統內，應用程序級白名單功能可以通過簡單的被動式定義安全且獲授權的應用程序來強制執行命令。啟用白名單功能以禁止運行名單之外的應用程序，有助于降低系統崩潰或遭到攻擊的可能性。

白名單部署通過制定周密的實施流程來保證實施過程中和實施后對原有業務系統不會造成功能和性能的不良影響，包括系統評估、兼容性測試、回退機制、主機健康狀態檢查和處理、白名單策略制定、白名單功能完全啟用等。

3.2.4工控多引擎惡意代碼掃描工作站（Scanning Station）

在DMZ非軍事區前端防火墻外面部署工控多引擎惡意代碼掃描工作站（Scanning Station）,集成了3中主流殺毒引擎，可對頑固病毒進行徹底查殺， 型號為Scanning Station v3.0，提供針對可移動存儲介質以及ICS主機的惡意代碼掃描，同時把掃描結果通過前端防火墻上傳到態勢感知服務器，態勢感知服務器根據查殺結果通知安裝在上位機上的日志采集代理檢測及管控可移動存儲介質及U盤。

對于不可拆解無法取出硬盤的的計算機工作站等，可通過工控多引擎惡意代碼掃描設備多引擎查殺USB，型號為便攜式病毒掃描設備，查殺計算機或工作站，實現上位機、服務器及新接入到系統中的設備的病毒查殺。

Scanning Station使用場景示意圖

3.2.5控制系統補丁管理與補丁測試平臺搭建

及時地進行Windows操作系統補丁升級可以有效的彌補已存在的漏洞，可增強工控系統的健壯性。但OT網絡又有別于普通的IT環境，OT環境更加敏感和固定，對運行環境的依賴度很高，不接受計劃外的宕機，如果不加控制的對工控系統的主機進行系統補丁升級，有可能會對現有系統造成的不確定的影響。為了使生產網絡中某些主機能及時的進行操作系統的安全和關鍵補丁更新，在避免因系統漏洞帶來潛在威脅的同時兼顧原有業務系統功能不受影響，特設計了WSUS與終端防護部署方案。

如下是補丁升級示意圖，在DMZ 區部署WSUS服務器，從微軟官方網站下載必要系統補丁，并通過防火墻策略，生產環境的SCADA主機從WSUS服務器上同步必要的補丁，為了保證系統補丁升級不會帶來負面影響，需要在大范圍實施前對需要升級的補丁進行測試，在測試環境中驗證沒有不良影響之后再對生產環境OT主機進行相應的補丁升級。

西門子長期對操作系統補丁與西門子軟件的兼容性進行測試，測試結果可以作為補丁審批的參考，防止補丁升級之后對系統的正常運行造成不良影響。

只安裝系統所需的必要補丁，可對補丁進行過濾審批，減少對系統的負擔，降低補丁帶來的兼容性問題。

根據工業系統環境的特點，總結了補丁升級最佳實踐，制定周密的實施流程，在補丁升級的過程中減少對系統的影響面，穩步推進。

系統補丁升級流程

補丁升級示意圖

4、 項目實施管理

本項目面向天然液化氣（LNG）行業典型應用場景，屬于控制系統實施與信息安全部署深度融合的交叉項目。在LNG行業裝置連續運行、工藝復雜、安全要求極高、維護窗口有限的背景下，項目創新性地建立了統一、規范的多方協同管理與風險控制機制，為行業提供了可復制、可推廣的示范模式。

1) 管理機制

項目通過集中化項目管理體系統籌全局，明確控制系統團隊與信息安全團隊的職責邊界和接口關系，實現跨部門、高頻次、常態化的溝通協作。通過聯合啟動會、里程碑評審及定期協調會議，確保技術方案、實施節奏和風險控制目標高度一致。關鍵環節如系統架構調整、網絡變更及安全策略部署均采用聯合評審和分階段審批機制，既保障信息安全提升，又確保控制系統穩定性和實時性。

2) 風險控制

項目全面評估對生產連續性和工藝安全的潛在影響，制定分階段、分區域實施策略，并配套回退方案和現場保障措施，實現對生產運行的最小干擾，確保安全、平穩推進。

3) 客戶協同

充分依托客戶對生產計劃和現場資源的統籌能力，聯合制定滾動實施計劃，靈活應對生產調整和突發狀況，保障項目與LNG裝置運行高度匹配。

通過創新的多方協同機制與嚴謹的風險管理，本項目不僅成功實現控制系統與信息安全的協同落地，也為天然液化氣行業提供了可復制的標桿方案，展示了行業示范性和推廣價值，為行業安全數字化建設樹立了新標桿。

5、 效益分析

項目執行沒有對正常生產造成干擾

實現對全種類病毒的安全防護

安全方案無縫部署

為 PCS 7 運行環境量身定制一套完整的安全解決方案，涵蓋 DMZ 區域建設、防火墻部署、防病毒與補丁管理、用戶與權限管理，并引入工控安全態勢感知系統（SSM）及主機白名單機制，全面提升系統的整體安全防護能力。為工廠環境提供持續安全防護

降低安全風險的同時保證了生產可用性

零安全事件/病毒感染

落地了工業控制系統滿足等保合規要求