1　煙草行業(yè)工控系統現狀

目前，煙草工業(yè)企業(yè)在以“工業(yè)化、數字化、智能化”為目標的工業(yè)信息化建設應用過(guò)程中，已經(jīng)取得了較好的成績(jì)，但是在工控系統的安全防護方面，基本上還是處于空白狀態(tài)。主要是由于在煙草工業(yè)企業(yè)中各工業(yè)控制子系統處于相對獨立的環(huán)境中，各子系統的安全問(wèn)題一直以來(lái)也并沒(méi)有突顯出來(lái)；但是，隨著(zhù)煙草工業(yè)企業(yè)的數字化、智能化技術(shù)的不斷發(fā)展及應用，兩化融合高度集成協(xié)作的運作模式要求煙草工業(yè)企業(yè)內部各系統之間需要互聯(lián)互通，隨之工控系統安全問(wèn)題也逐步突現出來(lái)^[1]。

在煙草工業(yè)企業(yè)中現有的工控系統都屬于生產(chǎn)管理網(wǎng)范疇，主要的工控系統包括制絲、卷包、動(dòng)能、物流四大工業(yè)控制子系統。由于生產(chǎn)網(wǎng)內的各工業(yè)子系統與辦公網(wǎng)長(cháng)期隔離封閉、獨立運行的特點(diǎn)，造成了在安全管理建設方面的欠缺^[2]。大部分煙草工業(yè)企業(yè)還處于無(wú)安全布署的狀態(tài)，只考慮了系統的可用性，在工控系統安全上還停留在制度管理層面，工控系統在安全方面不具備更多的容錯處理和安全防范能力。因此，工控系統的安全問(wèn)題是各卷煙廠(chǎng)工業(yè)企業(yè)目前較為重要且迫切需要解決的問(wèn)題。

2　煙草行業(yè)工控系統安全風(fēng)險分析

工控系統作為煙草工業(yè)企業(yè)主要的核心應用系統，目前主要存在的安全風(fēng)險^[3]從圖1中可看出。

圖1 卷煙廠(chǎng)工控系統網(wǎng)絡(luò )架構示意圖

（1）辦公網(wǎng)與生產(chǎn)網(wǎng)之間未進(jìn)行有效安全隔離。大部分卷煙廠(chǎng)的生產(chǎn)網(wǎng)通過(guò)網(wǎng)絡(luò )對接的方式直接與辦公網(wǎng)進(jìn)行連接，中間并無(wú)針對工控系統的安全隔離與防護設備，而工控系統的脆弱性遠遠高于一般IT應用系統。因此，生產(chǎn)網(wǎng)絡(luò )中的工控系統面臨著(zhù)來(lái)自辦公網(wǎng)的非法訪(fǎng)問(wèn)、病毒以及惡意代碼的攻擊。所以，生產(chǎn)網(wǎng)與辦公網(wǎng)的安全隔離是保證工控系統安全與穩定的重要基礎。

（2）未進(jìn)行安全域的劃分與隔離。根據卷煙廠(chǎng)工控系統的特點(diǎn)，工控系統一般分生產(chǎn)執行層、過(guò)程監控層、現場(chǎng)控制層、現場(chǎng)設備層，而為了確保各個(gè)工控系統的安全性，應該在生產(chǎn)網(wǎng)中進(jìn)行安全域的劃分，包括網(wǎng)絡(luò )安全管理域、過(guò)程監控域和工業(yè)控制域等，但是，卷煙廠(chǎng)并沒(méi)有對各個(gè)安全域之間進(jìn)行安全邏輯隔離。存在著(zhù)現場(chǎng)工控設備（例如：PLC、交換機等）面臨著(zhù)來(lái)自生產(chǎn)網(wǎng)內部的一些非法訪(fǎng)問(wèn)控制。

（3）缺乏有效的網(wǎng)絡(luò )監控和日志審計。大部分的卷煙廠(chǎng)工業(yè)控制系統中幾乎沒(méi)有網(wǎng)絡(luò )狀態(tài)監控和操作日志行為審計。目前大部分服務(wù)器的管理員賬戶(hù)沒(méi)有改名，而是沿用默認的系統用戶(hù)名Administrator，面臨默認賬號被破解的風(fēng)險。在日志安全方面，大部分服務(wù)器在日志審計方面都沒(méi)有比較完善的保障機制。

（4）工業(yè)控制協(xié)議的脆弱性。由于工業(yè)控制系統中使用的Modbus、S7、PROFINET、OPC等常用工控協(xié)議自身安全性不足，一旦遭受攻擊，很容易造成以上協(xié)議通訊過(guò)程中出現畸變報文、指令被篡改等，造成現場(chǎng)控制設備拒絕服務(wù)，可能會(huì )對工控系統帶來(lái)嚴重的后果與損失。

（5）主機及應用軟件漏洞風(fēng)險。卷煙廠(chǎng)工業(yè)控制系統的操作員站、工程師站、服務(wù)器及虛擬服務(wù)器等物理主機與虛擬主機基本上采用的都是Windows操作系統，監控組態(tài)軟件、數據庫等應用軟件主要采用的是SIEMENS、GE、施耐德電氣等工業(yè)自動(dòng)化主流廠(chǎng)商產(chǎn)品；由于卷煙廠(chǎng)工控系統運行環(huán)境特點(diǎn)，致使工業(yè)控制系統主機操作系統、應用軟件無(wú)法進(jìn)行補丁升級，即使可以進(jìn)行補丁升級，生產(chǎn)管理運維人員為了保證生產(chǎn)的正常運行，也不會(huì )輕易去對軟件補丁升級。這樣就會(huì )導致工業(yè)控制系統主機的防護能力非常脆弱，一旦遭受病毒、惡意代碼攻擊，很容易造成系統癱瘓。

（6）安全管理措施不健全，執行力不強。目前，卷煙工業(yè)企業(yè)本身對各工控系統的日常管理維護能力較為有限，在日常工作中，常常需要原有系統集成的外部廠(chǎng)商工程技術(shù)人員對工控系統進(jìn)行遠程操作維護，由于遠程維護需要通過(guò)臨時(shí)開(kāi)啟互聯(lián)網(wǎng)通道接入的方式，在外部廠(chǎng)商工程技術(shù)人員進(jìn)行遠程運維工作時(shí)，無(wú)法對其操作進(jìn)行有效的監管和記錄，存在較大的安全隱患。同時(shí)，運維人員在日常操作維護過(guò)程中沒(méi)有嚴格按照相關(guān)管理制度和措施進(jìn)行日常工作的維護運行系統，經(jīng)常使用私人U盤(pán)等移動(dòng)存儲設備，給生產(chǎn)網(wǎng)絡(luò )及設備帶來(lái)了極大的安全隱患。

3　煙草行業(yè)工控安全技術(shù)防護方案

本著(zhù)工控安全防護方案依據工控網(wǎng)絡(luò )安全“分級分域、整體保護、積極預防、動(dòng)態(tài)管理”為總體策略，以煙草行業(yè)工控安全依據的技術(shù)規范為主要依據，對煙草行業(yè)工控系統首先從工控系統的運行環(huán)境上通過(guò)管理手段及技術(shù)措施對工控系統進(jìn)行整體加固，在通過(guò)對工控系統的網(wǎng)絡(luò )邊界隔離、分區分域防護、網(wǎng)絡(luò )流量監測與審計、主機安全防護、安全運維管理上進(jìn)行安全防護，形成如圖2、圖3所示的安全解決方案思路。

圖2 工控系統安全防護解決方案架構圖

圖3 卷煙廠(chǎng)工控安全防護網(wǎng)絡(luò )架構示意圖

3.1　網(wǎng)絡(luò )邊界隔離、分區分域防護

工業(yè)控制系統與廠(chǎng)級網(wǎng)絡(luò )（管理辦公網(wǎng)）之間缺少有效的安全隔離措施，同時(shí)，生產(chǎn)網(wǎng)絡(luò )內部生產(chǎn)執行層、過(guò)程監控層、現場(chǎng)控制層等各區域之間也缺少有效的安全隔離措施；可能導致生產(chǎn)網(wǎng)工控系統受到來(lái)自廠(chǎng)級網(wǎng)絡(luò )的安全攻擊，以及生產(chǎn)網(wǎng)內部監控管理層對現場(chǎng)工控設備的非法訪(fǎng)問(wèn)從而影響工控系統的正常工作。同樣，在一些大型卷煙廠(chǎng)中有多條制絲生產(chǎn)線(xiàn)，產(chǎn)線(xiàn)與產(chǎn)線(xiàn)之間的控制系統也缺少有效的安全隔離措施，一旦一條生產(chǎn)線(xiàn)遭受到病毒、惡意代碼的攻擊，病毒、惡意代碼也會(huì )很快蔓延到其它的生產(chǎn)線(xiàn)中，從而影響各個(gè)生產(chǎn)線(xiàn)的正常生產(chǎn)工作。根據縱向分層、橫向分區的原則，通過(guò)對生產(chǎn)網(wǎng)與廠(chǎng)級網(wǎng)絡(luò )之間，生產(chǎn)網(wǎng)內部各區域之間之間以及生產(chǎn)線(xiàn)與生產(chǎn)線(xiàn)控制系統之家采取有效的安全隔離防護措施，在網(wǎng)絡(luò )邊界上加強防護，在各個(gè)區域及各生產(chǎn)線(xiàn)之間進(jìn)行有效的安全隔離，防止來(lái)自生產(chǎn)網(wǎng)外部及生產(chǎn)網(wǎng)內部不同安全域間的未授權的非法訪(fǎng)問(wèn)、攻擊等行為^[4]。

3.2　工控網(wǎng)絡(luò )審計

在生產(chǎn)網(wǎng)中的各安全區域的關(guān)鍵節點(diǎn)上對網(wǎng)絡(luò )流量、通信等行為進(jìn)行審計，以保證被觸發(fā)審計的事件存儲在審計系統內，并且能夠根據存儲的記錄和操作者的權限進(jìn)行查詢(xún)、統計、管理、維護等操作，在必要時(shí)從記錄中提取所需要的資料。

在工控網(wǎng)絡(luò )中對網(wǎng)絡(luò )流量、通信等行為的審計就是收集并分析審計系統中的日志等數據，從而發(fā)現違反安全策略的行為，當發(fā)生安全事故或者發(fā)生違反安全策略的行為之后，通過(guò)檢查、分析、比較審計系統中收集的數據，從中發(fā)現違反安全策略的行為。
在生產(chǎn)網(wǎng)中的各安全區域的關(guān)鍵節點(diǎn)上對網(wǎng)絡(luò )流量、通信等行為進(jìn)行審計，主要實(shí)現對攻擊、無(wú)流量的異常檢測，工控協(xié)議規約的檢測，重要操作行為、網(wǎng)絡(luò )會(huì )話(huà)的審計，原始告警報文的記錄，告警日志的審計等^[5]。

3.3　工控主機安全防護

通過(guò)對生產(chǎn)網(wǎng)工控系統的現場(chǎng)觸摸式工控機、工程師站、監控計算機、服務(wù)器及虛擬服務(wù)器等主機系統進(jìn)行安全防護，實(shí)現對工控主機惡意代碼防護、外設端口的管理和操作系統的安全加固，全面提升工控主機安全防護能力^[6]。

針對生產(chǎn)網(wǎng)工控系統的現場(chǎng)觸摸式工控機、工程師站、監控計算機、服務(wù)器及虛擬服務(wù)器等工業(yè)物理主機與虛擬主機采用“白名單”機制對主機操作系統進(jìn)行安全防護?！鞍酌麊巍睓C制即是為主機的操作系統建立一個(gè)輕量級的“白環(huán)境”，真正顛覆了傳統防病毒的“黑名單”思想，可以有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy等在內的工控惡意程序或代碼在工控主機上的感染、執行和擴散；同時(shí)，采用“白名單”機制還可以通過(guò)對底層驅動(dòng)的接管，對工控主機外設端口進(jìn)行管控，避免控制系統因移動(dòng)存儲介質(zhì)的隨意使用感染惡意代碼，或引起關(guān)鍵信息的擴散。通過(guò)對用戶(hù)口令、進(jìn)程、端口等進(jìn)行統一管理，提升操作系統的安全防護能力。

3.4　工控入侵檢測
為及時(shí)的檢測和發(fā)現工控系統中的入侵行為，需要對生產(chǎn)網(wǎng)與廠(chǎng)級網(wǎng)絡(luò )邊界處交換機上的所有實(shí)時(shí)傳輸數據進(jìn)行監視，通過(guò)對網(wǎng)絡(luò )中的協(xié)議狀態(tài)檢查和智能關(guān)聯(lián)分析，為控制系統提供全面的信息展現和安全預警，為改善用戶(hù)網(wǎng)絡(luò )的風(fēng)險控制環(huán)境提供決策依據，入侵檢測是網(wǎng)絡(luò )邊界隔離防護的合理補充，主要是對網(wǎng)絡(luò )中協(xié)議的識別、入侵行為的檢測、安全策略的管理、日志及告警的管理、系統及系統數據的管理等，進(jìn)一步完善了對卷煙廠(chǎng)工控系統的安全管理能力^[7]。

3.5　工控安全運維管理

工控安全運維管理即：實(shí)現對工業(yè)現場(chǎng)主機等設備的運維操作行為的管控和審計，在工業(yè)控制系統的安全運維管理是集用戶(hù)（Account）管理、授權（Authorization）管理、認證（Authentication）管理和綜合審計（Audit）于一體的集中安全運維及管理。

在卷煙廠(chǎng)通過(guò)對工控系統的集中安全運維管理，可以減少工控系統維護工作量；同時(shí)能夠為卷煙廠(chǎng)提供全面的用戶(hù)和資源管理，減少卷煙廠(chǎng)的維護成本；能夠幫助卷煙廠(chǎng)制定嚴格的資源訪(fǎng)問(wèn)策略，并且采用強身份認證手段，全面保障系統資源的安全；能夠詳細記錄用戶(hù)對資源的訪(fǎng)問(wèn)及操作，滿(mǎn)足對用戶(hù)行為審計的需求。

通過(guò)對工控系統的主機等設備進(jìn)行安全運維管理實(shí)現對集中的賬號管理、訪(fǎng)問(wèn)控制、安全審計、違規操作的告警與阻斷以及實(shí)時(shí)操作的全過(guò)程監控等^[8]。

3.6　統一安全管理

統一的安全管理即實(shí)現生產(chǎn)網(wǎng)工控系統的安全策略統一配置及下發(fā)、日志收集等。通過(guò)對卷煙廠(chǎng)工控網(wǎng)絡(luò )中的邊界隔離、網(wǎng)絡(luò )監測審計、工控主機安全防護等安全防護措施進(jìn)行集中配置管理，實(shí)現對工控網(wǎng)絡(luò )中各安全防護策略、系統及主機的統一配置、全面監控、實(shí)時(shí)告警、流量分析等，降低運維成本、提高事件響應效率，通過(guò)統一的安全管理，可真正實(shí)現安全技術(shù)和安全管理的結合，全面提升控制系統的信息安全保障能力。

4　總結

綜上所述，煙草行業(yè)工業(yè)控制系統中所存在的安全風(fēng)險和威脅有其行業(yè)特點(diǎn)，隨著(zhù)工業(yè)控制系統中所暴露出來(lái)的安全性問(wèn)題越來(lái)越多，影響越來(lái)越大，我們應該重視其安全危害可能造成的社會(huì )經(jīng)濟、政治等方面的影響。目前，我們在煙草行業(yè)工控系統中的安全防護水平還處于初級階段水平，還需要在吸收和借鑒國外先進(jìn)技術(shù)和理念的基礎上探索出符合自身發(fā)展特點(diǎn)的工業(yè)控制系統安全防護措施和解決方案。

參考文獻：

[1] 田芳, 趙光輝. 中國智能制造實(shí)證研究：以煙草產(chǎn)業(yè)為例[J]. 中國市場(chǎng), 2018 ( 19 ).

[2] 李光朋. 工業(yè)控制系統信息安全建設思路[J]. 自動(dòng)化博覽, 2015 ( 10 ) : 62 - 66.

[3] 耿欣. 煙草企業(yè)工業(yè)控制系統安全保障體系研究[J]. 信息網(wǎng)絡(luò )安全, 2017 ( 9 ) : 34 - 37.

[4] 顧碩. 加強工業(yè)控制系統信息安全管理[J]. 自動(dòng)化博覽, 2013 ( 11 ).

[5] 高倩. 基于ZigBee的油氣生產(chǎn)物聯(lián)網(wǎng)安全通信系統關(guān)鍵技術(shù)研究[D]. 蘭州理工大學(xué), 2014.

[6] 張坤. 可信計算技術(shù)下的工控安全防護思路[J]. 電子技術(shù)與軟件工程, 2017 ( 21 ) : 196 - 196.

[7] 王中杰. 工業(yè)控制系統入侵檢測關(guān)鍵技術(shù)研究與實(shí)現[D]. 中國科學(xué)院大學(xué), 2016.

[8] 魏欽志.“PDCA”在工控安全運維管理中的應用(上)[J]. 自動(dòng)化博覽, 2017 ( 9 ) : 66 - 70.

作者簡(jiǎn)介

王德吉，男，博士后，博士生導師，現任中國煙草總公司職工進(jìn)修學(xué)院首席培訓師。第六屆全國煙草行業(yè)勞動(dòng)模范，全國煙草行業(yè)“十一五”教育培訓工作優(yōu)秀教師，河南煙草系統第二屆感動(dòng)人物提名獎，國家職業(yè)技能鑒定高級考評員，國家局教材委員會(huì )委員，兼任工業(yè)物流自動(dòng)化河南省工程實(shí)驗室主任，中科院博導，清華大學(xué)、湖南農業(yè)大學(xué)兼職碩導，IFAC委員、國際工程師協(xié)會(huì )委員，中科院高級訪(fǎng)問(wèn)學(xué)者，自動(dòng)化學(xué)會(huì )委員，中科協(xié)創(chuàng )新專(zhuān)家，西門(mén)子專(zhuān)家，鄭州大學(xué)兼職教授，管道安全國家工程實(shí)驗室特聘專(zhuān)家，TC124國家標準化委員會(huì )委員。主持國家級項目3項目和省部級科研項目19項。獲得省部級獎項10項（一等獎1項，二等獎2項，三等獎7項），省部級教學(xué)獎50項。正式發(fā)表論文52篇，其中SCI、EI檢索23篇。申報發(fā)明專(zhuān)利19項，獲7項發(fā)明專(zhuān)利，19項實(shí)用新型專(zhuān)利，出版著(zhù)作7本，獲軟件著(zhù)作權12項。編寫(xiě)國家標準16項、行業(yè)標準3項。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第五輯）》