摘要：本文提出一種適用于煙草行業(yè)的工控系統安全監測與管控方案，通過(guò)將安全監測系統和安全防護網(wǎng)關(guān)進(jìn)行有機聯(lián)動(dòng)，識別并預測工控系統攻擊異常事件，并自動(dòng)生成針對該攻擊異常事件的處理規則。同時(shí)，防護網(wǎng)關(guān)運用該規則實(shí)現異常攻擊行為的阻斷，大大增強了工控系統安全防護的可操作性，使異常攻擊事件得到及時(shí)的響應與處理，提升煙草行業(yè)工控系統安全防護與預警能力，保障安全穩定運行。

關(guān)鍵詞：煙草行業(yè)；監控系統；工控協(xié)議；安全旁路采集；實(shí)時(shí)監測；管控

Abstract: This paper proposes a solution of security monitoring and control for the industrial control system in tobacco industry. By organically linking the security monitoring system with the security protection gateway, the abnormal attack events of industrial control system can be identified and predicted, and the processing rules for the abnormal attack events can be automatically generated. At the same time, the protection gateway uses this rule to block the abnormal attack, which greatly enhances the operability of the security protection of industrial control system, and makes the abnormal attack events  be timely responded to and handled. The ability of the security protection and early warning of the industrial control system in tobacco industry is improved, and the safe and stable operation is guaranteed.

Key words: Tobacco Industry; Monitoring system; Control protocol; Security by-pass grafting; Real time Monitoring; Management and control

1 引言

隨著(zhù)網(wǎng)絡(luò )和信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò )已經(jīng)覆蓋能源、電力、交通、金融、電信和煙草等重要行業(yè)和核心領(lǐng)域，在促進(jìn)技術(shù)創(chuàng )新、經(jīng)濟發(fā)展的同時(shí)，網(wǎng)絡(luò )安全問(wèn)題日益凸顯，已經(jīng)成為關(guān)系國家安全和社會(huì )安全的重大問(wèn)題。在煙草行業(yè)，尤其是煙草打葉復烤生產(chǎn)線(xiàn)，由預處理、葉梗分離、葉烤、烤梗、除塵段等共同組成煙葉生產(chǎn)流水線(xiàn)，整條生產(chǎn)線(xiàn)設備繁多，分散，分布時(shí)變參數多，信息交互量大，根據打葉復烤生產(chǎn)線(xiàn)特點(diǎn)及控制要求，國內普遍采用PC+Ethernet+PLC+FCS模式構建SCADA系統，實(shí)現復烤生產(chǎn)線(xiàn)的實(shí)時(shí)監控。大部分煙草企業(yè)的工業(yè)控制系統安全防護建設已按照行業(yè)標準進(jìn)行搭建，但在實(shí)際運行中仍存在跨網(wǎng)運維、違規外聯(lián)互聯(lián)網(wǎng)、工控交換機拒絕服務(wù)、關(guān)鍵設備脆弱口令、病毒攻擊、異常報文等非常典型的安全問(wèn)題。

針對工業(yè)控制系統安全，目前存在安全監測和安全防護兩種解決方案。

（1）安全監測?；诹髁颗月凡杉?，使用協(xié)議深度解析技術(shù)（DPI），結合工控病毒庫、攻擊特征庫以及工控基線(xiàn)規則等配置，通過(guò)關(guān)聯(lián)分析實(shí)時(shí)發(fā)現針對PLC、DCS等重要工業(yè)控制系統的攻擊和破壞行為，以及病毒、木馬等惡意軟件的擴散和傳播行為，為工業(yè)控制網(wǎng)絡(luò )安全事件調查提供依據。由于采用旁路方式部署，對生產(chǎn)過(guò)程“零影響”。

（2）安全防護?；趨f(xié)議深度解析技術(shù)和工控連接黑白名單規則，阻斷一切非法訪(fǎng)問(wèn)，僅允許可信的流量在網(wǎng)絡(luò )上傳輸。為工控網(wǎng)絡(luò )與外部網(wǎng)絡(luò )互聯(lián)、工控網(wǎng)絡(luò )內部區域之間的連接提供安全保障。

安全監測用于識別并檢測工控系統異常攻擊行為，而安全防護用于對發(fā)現的異常攻擊行為進(jìn)行阻斷，實(shí)時(shí)性要求更高，然而分析的范圍相對監測系統要窄，而且其工控訪(fǎng)問(wèn)規則配置專(zhuān)業(yè)性要求很高，實(shí)施操作困難，如果規則配置簡(jiǎn)單，達不到安全防護的目的，而規則配置復雜，對正常管理與產(chǎn)生業(yè)務(wù)又會(huì )造成影響。針對以上情形，本文提出一種煙草行業(yè)工控系統安全監測與管控方案，通過(guò)將安全監測系統與安全防護網(wǎng)關(guān)等進(jìn)行有機結合并聯(lián)動(dòng)，通過(guò)安全監測系統進(jìn)行多層次異常攻擊分析，運用回歸預測算法，識別并預測工控系統攻擊異常事件，并自動(dòng)生成針對該攻擊異常事件的處理規則，發(fā)送給安全防護網(wǎng)關(guān)，網(wǎng)關(guān)防護網(wǎng)關(guān)運用該規則實(shí)現異常攻擊行為的阻斷，提升煙草行業(yè)工業(yè)控制系統安全防護與預警能力，保障其安全穩定運行。

2 方案設計

為保障煙草行業(yè)工控生產(chǎn)系統穩定安全運行，其控制設備網(wǎng)絡(luò )通常采用冗余環(huán)網(wǎng)技術(shù)和冗余供電系統，如圖1所示。

圖1  打葉復烤廠(chǎng)網(wǎng)絡(luò )拓撲示意圖

為實(shí)現對圖1所示煙草工控系統的全面安全監測與管控，本系統需在預處理、葉梗分離、葉烤、烤梗、除塵等各個(gè)生產(chǎn)線(xiàn)均部署工控安全采集探針和工控安全網(wǎng)關(guān)，在管理端部署工控安全監測平臺。工控安全采集探針包含兩路網(wǎng)口，一路用于旁路采集工控監控系統網(wǎng)絡(luò )通信流量，一路用于工控安全監測平臺的通信，并可以根據工控安全監測平臺的指令，將工控安全訪(fǎng)問(wèn)控制列表下發(fā)給工控安全網(wǎng)關(guān)，實(shí)現工控安全監測和工控安全防護的聯(lián)動(dòng)，部署架構如圖2所示。

圖2  煙草行業(yè)工控系統安全監測與管控系統部署圖

煙草行業(yè)工控系統安全監測與管控系統包括數據采集、安全監測與預警，以及安全管控三個(gè)部分的功能，數據采集功能由工控數據采集探針完成；安全監測與預警功能由工控安全監測平臺完成；安全管控功能由工控安全網(wǎng)關(guān)完成。

圖3  煙草行業(yè)工控系統安全監測與管控系統功能架構

（1）數據采集

工控系統數據采集可以根據現場(chǎng)工控網(wǎng)絡(luò )實(shí)際環(huán)境的不同，采用較為成熟的交換機端口鏡像、分流和分光等多種旁路采集技術(shù)實(shí)現。

· 交換機端口鏡像。如果被采集點(diǎn)的核心交換機可提供端口鏡像功能，可把要監控的端口流量都匯聚鏡像到一個(gè)空閑口，再將匯聚口接入到流量采集分析探針，該種方式可以操作好，對生產(chǎn)過(guò)程“零影響”。

· 分流。對于基于網(wǎng)線(xiàn)傳輸的流量，可以使用TAP分流設備對通過(guò)網(wǎng)線(xiàn)傳輸的流量進(jìn)行分流處理，將原有的電信號流量分成完全相同的若干份，不影響原有業(yè)務(wù)。高端TAP設備還具備把若干根網(wǎng)線(xiàn)的流量匯聚成一個(gè)口輸出的能力，并保證不丟包。

· 分光。對于基于光纖傳輸的流量，如電信核心網(wǎng)、工業(yè)控制環(huán)網(wǎng)，可以通過(guò)分光器進(jìn)行流量分流，這種技術(shù)可以保證將原有的光信號流量分成完全相同的若干份，不影響原有業(yè)務(wù)，同時(shí)流量分析系統可以同時(shí)接收到完全相同的流量進(jìn)行同步分析。

通過(guò)以上方式，數據采集可獲到各種關(guān)鍵監控點(diǎn)的原始流量，并不會(huì )影響原有業(yè)務(wù)。

（2）安全監測與預警

安全監測與預警包括協(xié)議深度解析、異常攻擊識別與預警和安全訪(fǎng)問(wèn)規則生成與下發(fā)等功能。

· 協(xié)議深度解析。對于采集的工控網(wǎng)絡(luò )通信數據，使用傳輸端口、協(xié)議特征等多種方式進(jìn)行快速協(xié)議識別并高速實(shí)時(shí)解析。協(xié)議深度解析支持高速識別與解析OPC-DA、OPC-UA、Modbus-TCP、Siemens-S7、Profinet和Ethernet/IP等煙草行業(yè)典型應用工控協(xié)議，并支持到報文類(lèi)型、子類(lèi)型、指令、變量和值級別，便于進(jìn)行變量閾值的檢查和正常行為的建模。

·  異常攻擊識別與預警?；趯た貐f(xié)議的通信報文進(jìn)行采集與深度解析，利用基于攻擊特征與基于行為異常的檢測方式，對當前工控系統通信中含有明顯惡意特征或偏離正常行為基線(xiàn)較遠的流量進(jìn)行監測并告警?？勺R別病毒攻擊、拒絕服務(wù)攻擊、旁路控制、異常指令操作、跨網(wǎng)運維、違規外聯(lián)互聯(lián)網(wǎng)、異常工控協(xié)議報文、敏感信息明文傳輸、脆弱口令、未知設備接入和異常連接等異常攻擊行為。使用回歸預測算法，對工控操作數據和工控流量運行預測分析，可描繪工控安全生產(chǎn)態(tài)勢，實(shí)現安全生產(chǎn)故障預警功能。

· 安全訪(fǎng)問(wèn)規則生成與下發(fā)?；诋惓９糇R別與預警分析的結果，對于異常攻擊行為，綜合分析其攻擊路徑選擇與攻擊手段，自動(dòng)生成抑制并阻斷該種異常攻擊行為的訪(fǎng)問(wèn)控制列表，該列表包含三層IP訪(fǎng)問(wèn)控制列表，工控控制指令訪(fǎng)問(wèn)規則列表和工控操作數據閾值列表等。

（3）安全管控

在病毒攻擊檢測、網(wǎng)絡(luò )攻擊檢測的基礎上，對工控網(wǎng)絡(luò )流量進(jìn)行實(shí)時(shí)解析，加載工控安全監測平臺的安全訪(fǎng)問(wèn)規則，實(shí)時(shí)阻斷異常攻擊行為，實(shí)現煙草工控生產(chǎn)系統的操作指令和操作數據的協(xié)議級實(shí)時(shí)管控。對于工控生成影響比較大的訪(fǎng)問(wèn)控制規則，可按配置，要求管理員或安全專(zhuān)家確認后，才能生效，在降低安全訪(fǎng)問(wèn)網(wǎng)關(guān)實(shí)施操作難度的同時(shí)，可大大減少因為人工誤操作的策略配置而導致的工控生產(chǎn)事故的發(fā)生。

3 結語(yǔ)

目前傳統的防火墻、網(wǎng)閘等安全防護產(chǎn)品的安全策略需手動(dòng)配置與更新，且專(zhuān)業(yè)性強，難度高，更新慢，難以達到安全管控且不影響工控生成的效果。本文針對煙草行業(yè)工控系統安全監測與防護技術(shù)的研究，提出旁路安全監測預警與串行安全防護兩種機制進(jìn)行有機結合并實(shí)現聯(lián)動(dòng)的安全監測管控方案，使工業(yè)控制系統異常攻擊行為得到快速的抑制進(jìn)而達到阻斷的效果，通過(guò)安全監測平臺自動(dòng)生成安全訪(fǎng)問(wèn)規則策略，大大增強了工控系統安全防護的可操作性和時(shí)效性，使異常攻擊事件得到及時(shí)的響應與處理，提高了煙草行業(yè)工控系統安全防護與預警能力，保障工控生產(chǎn)安全穩定運行。

本方案基于工控協(xié)議深度解析實(shí)現對工控網(wǎng)絡(luò )環(huán)境的安全監測與管控，部署方便靈活，可操作性良好，擴展性強，適用于打葉復烤、制絲、卷接包和煙草薄片等煙草領(lǐng)域各個(gè)工控生產(chǎn)環(huán)節，其中關(guān)鍵技術(shù)也可逐步拓展應用到石油、化工、交通等其他關(guān)鍵信息基礎實(shí)施保護領(lǐng)域，具有廣闊應用前景。

作者簡(jiǎn)介：

文雅玫（1984-）女，湖南長(cháng)沙人，博士，現任湖南省煙草專(zhuān)賣(mài)局（公司）工程師，在湖南煙葉復烤有限公司從事煙草行業(yè)網(wǎng)絡(luò )安全和項目管理工作。

李建強（1983-），男，陜西寶雞人，碩士，國家計算機網(wǎng)絡(luò )應急技術(shù)處理協(xié)調中心工程師，在工業(yè)控制系統網(wǎng)絡(luò )安全應急技術(shù)工信部重點(diǎn)實(shí)驗室主要從事工業(yè)控制系統網(wǎng)絡(luò )安全防護研究工作。

謝博文（1989-）男，瑤族，湖南永州人，本科，湖南煙葉復烤有限公司郴州復烤廠(chǎng)助理工程師，主要研究方向為工業(yè)控制系統網(wǎng)絡(luò )安全。

資　捷（1979-）男，湖南耒陽(yáng)人，本科，工程師，現任湖南煙葉復烤有限公司網(wǎng)絡(luò )安全與信息技術(shù)員，主要研究方向為計算機應用和網(wǎng)絡(luò )安全。

吳秋果（1983-）男，湖南汨羅人，碩士，工程師，現任湖南煙葉復烤有限公司網(wǎng)絡(luò )安全與信息技術(shù)員，主要研究方向為軟件工程。