1　煙草行業(yè)數字化轉型的背景

工業(yè)是國民經(jīng)濟的主體，工業(yè)競爭力也體現一個(gè)國家的競爭力，隨著(zhù)德國的工業(yè)4.0、美國的先進(jìn)制造以及我們中國的智能制造等國家戰略政策的推出，以及云計算、大數據、物聯(lián)網(wǎng)等新興信息技術(shù)在工業(yè)領(lǐng)域的應用，IT領(lǐng)域的一些安全問(wèn)題逐漸進(jìn)入工業(yè)系統。我們從廣義上來(lái)理解工業(yè)安全，是指整個(gè)工業(yè)生產(chǎn)過(guò)程中的信息安全，涉及到整個(gè)生產(chǎn)的各個(gè)領(lǐng)域，各個(gè)環(huán)節，從保護對象上來(lái)看，它不僅僅保護計算機網(wǎng)絡(luò )，保護信息系統，還需要保護工業(yè)控制系統，保護設備和網(wǎng)絡(luò )協(xié)議，這是相對來(lái)講對工業(yè)安全比較廣泛的一個(gè)定義。

2　煙草行業(yè)工業(yè)安全現狀

2.1　先進(jìn)的工業(yè)自動(dòng)化技術(shù)得到了廣泛的應用

從事煙草行業(yè)工業(yè)自動(dòng)化相關(guān)的工作之前，我個(gè)人理解煙草行業(yè)類(lèi)似農副產(chǎn)品加工，自動(dòng)化程度應該不是特別高。但是真正進(jìn)入行業(yè)后，發(fā)現煙草企業(yè)不僅自動(dòng)化程度水平相對較高，而且對新技術(shù)的接受程度也相當高。很多國際領(lǐng)先的自動(dòng)化技術(shù)和工控網(wǎng)絡(luò )技術(shù)已率先在煙草制造業(yè)中應用，據了解，大多數的煙草企業(yè)希望將新技術(shù)融入新廠(chǎng)建設中，比如基于人工智能的排查仿真系統，已經(jīng)在很多煙草企業(yè)落地使用。

2.2　工業(yè)安全面臨挑戰，在矛盾中尋找方向

新技術(shù)在煙草企業(yè)應用既是機遇也是挑戰，先進(jìn)技術(shù)的應用在提升煙草企業(yè)生產(chǎn)力的同時(shí)也埋下了安全隱患，帶來(lái)了大量的工業(yè)安全風(fēng)險。在煙草企業(yè)做安全，如同在矛盾中尋找方向，我認為矛盾主要體現在如下三個(gè)方面：

（1）應用互通與安全隔離的矛盾；

（2）威脅來(lái)源多樣化與防護手段單一的矛盾；

（3）實(shí)時(shí)性、可靠性需求與安全部署的矛盾。

所以，一定要在可用性和安全之間找到一個(gè)平衡點(diǎn)，達到一個(gè)合適的度，從而降低安全風(fēng)險。

3　煙草行業(yè)工業(yè)網(wǎng)絡(luò )介紹

煙草行業(yè)的工業(yè)網(wǎng)絡(luò )一般由以下三個(gè)部分組成：

3.1　統一規劃的私有云信息中心

（1）采用虛擬化私有云架構，集中部署企業(yè)的OT和IT應用；

（2）OT與IT各有獨立資源池，按需安全互通。

3.2　生產(chǎn)、辦公、安防并存的多網(wǎng)架構

擁有生產(chǎn)、辦公、安防等多張網(wǎng)絡(luò )，網(wǎng)絡(luò )間原則上需要進(jìn)行訪(fǎng)問(wèn)隔離。

3.3　工業(yè)系統分層架構

（1）管理協(xié)同層：負責系統整體管理，任務(wù)制定；

（2）生產(chǎn)執行層：負責生產(chǎn)任務(wù)的分解下達；

（3）過(guò)程控制層：負責接收下發(fā)任務(wù)并轉化為具體操作指令；

（4）現場(chǎng)控制層：負責根據操作指令指揮各個(gè)執

行器件完成具體動(dòng)作。煙草行業(yè)工業(yè)網(wǎng)絡(luò )如圖1所示。

圖1 煙草行業(yè)工業(yè)網(wǎng)絡(luò )

4　煙草行業(yè)工控系統面臨的安全問(wèn)題

煙草行業(yè)工控系統面臨的安全問(wèn)題一般可分為技術(shù)和管理兩類(lèi)，在調研中發(fā)現很多問(wèn)題是由技術(shù)和管理兩方面因素共同導致的。

4.1　技術(shù)問(wèn)題

從入侵威脅來(lái)看:通過(guò)震網(wǎng)病毒以及后續的變種病毒分析可知，工業(yè)控制領(lǐng)域中的惡意代碼混合了大量0DAY，大部分為專(zhuān)業(yè)攻擊破壞人員編寫(xiě)，傳統的防病毒和入侵監測系統的能力有限，幾乎無(wú)法有效地實(shí)現提前預警。

從安全防護手段來(lái)看:煙草行業(yè)大部分工業(yè)控制系統在防護、監測、運維審計等方面的嚴重不足（主機、服務(wù)器無(wú)防護，邊界無(wú)防護等），極大地阻礙了整體安全防護能力的提升。尤其在煙草行業(yè)的網(wǎng)絡(luò )結構中，工控網(wǎng)是可以通過(guò)管理網(wǎng)間接連接到互聯(lián)網(wǎng)的。

從支撐軟件來(lái)看:WINCC、PCS7、ITA以及OPC等編程和組態(tài)軟件，其基于傳統的WIN32位操作系統構建，自身程序代碼和工作環(huán)境極易觸發(fā)安全問(wèn)題。同時(shí)在網(wǎng)絡(luò )內部大多采用通用WINDOWS操作系統，其自身存在很多安全漏洞，極其容易被攻擊者利用，造成安全事故。

從運維習慣來(lái)看:工業(yè)自動(dòng)化專(zhuān)業(yè)技術(shù)人員往往缺少信息安全的技術(shù)支撐和職業(yè)敏感度，在日常維護過(guò)程中，缺乏足夠的安全意識和安全操作規程，容易因人為操作原因導致安全問(wèn)題。尤其是在運維的過(guò)程中移動(dòng)存儲介質(zhì)濫用現象。

從底層設備看：PLC設備和工業(yè)交換機都存在安全漏洞，容易被利用，直接影響工業(yè)控制系統安全性。

從全局監控預警來(lái)看:缺乏能夠對工業(yè)控制系統進(jìn)行全面監控，及時(shí)預警，快速響應的監控管理系統。

4.2　管理問(wèn)題

從組織結構上看:組織結構人員職責不完善，專(zhuān)業(yè)人員缺乏，工控系統信息安全是一個(gè)跨部門(mén)跨學(xué)科領(lǐng)域，在卷煙生產(chǎn)企業(yè)中工控系統有生產(chǎn)部門(mén)負責，信息安全一般由信息部門(mén)負責；生產(chǎn)部門(mén)對于信息安全知之甚少，而信息部門(mén)對于工控系統的理解也不夠深。

從培訓方面看：多數參與工控系統日常運維的車(chē)間系統管理員缺乏信息安全技術(shù)和管理培訓；關(guān)鍵崗位人員也很少去關(guān)注工業(yè)控制系統的安全性，日常工作僅僅是保障系統的可用性。

從應急響應機制上看:由于響應機制不夠健全，缺乏應急響應組織和標準化的事件處理流程，發(fā)生信息安全事件后人員反應不夠迅速，通常依靠經(jīng)驗判斷安全事件發(fā)生的設備和影響范圍，逐一進(jìn)行排查，缺乏響應能力。

5　煙草行業(yè)工業(yè)安全痛點(diǎn)

工業(yè)控制系統安全是傳統IT系統安全的延伸，同時(shí)又具有自身的特點(diǎn)。主要體現在以下三個(gè)方面：

（1）資產(chǎn)狀況不清楚

煙草企業(yè)普遍對自身的資產(chǎn)不清楚，包括資產(chǎn)數量、資產(chǎn)類(lèi)型、資產(chǎn)分布等均不清楚。

（2）安全威脅不清楚

基于資產(chǎn)狀況不清楚，導致安全威脅不清楚。資產(chǎn)目前有無(wú)風(fēng)險，是否被攻擊過(guò)，一旦發(fā)生攻擊會(huì )產(chǎn)生什么樣的后果，均不清晰。

（3）生產(chǎn)故障難定位

當設備斷線(xiàn)、停機時(shí)，我們很難定位故障原因，無(wú)法確定是應急能力還是安全問(wèn)題。

6　安全體系建設的基本思路

綜上所示，在煙草行業(yè)應如何做安全？我認為首先要合規，從根本來(lái)講有三條特別重要：（1）網(wǎng)絡(luò )安全法，國家的法律一定要遵守。（2）在實(shí)施時(shí)，需要參照具體的技術(shù)要求。（3）一定要結合行業(yè)，行業(yè)跟行業(yè)之間做安全有很大的差別，在煙草行業(yè)要遵照煙草行業(yè)的基本要求去做安全。

安全是一個(gè)動(dòng)態(tài)安全，外界環(huán)境在不斷變化，所以，整個(gè)安全體系的建設也是一個(gè)動(dòng)態(tài)建設過(guò)程。安全體系建設一般遵循安全規劃—安全建設—建后評估—安全運營(yíng)的基本思路。

（1）安全規劃（PLAN）

安全規劃是針對發(fā)現的現有體系的安全問(wèn)題，設定安全建設目標并制定針對性的改進(jìn)方案，此過(guò)程中可以通過(guò)購買(mǎi)“風(fēng)險評估”、“安全咨詢(xún)”等服務(wù)。

（2）安全建設（DO）

安全建設是根據安全規劃所制定的改進(jìn)方案，有步驟地進(jìn)行安全改造。

（3）建后評估（CHECK）

建后評估是在安全建設完成后，評估已建成的安全體系進(jìn)行是否達到安全規劃中所設定的安全目標（比如通過(guò)相應的等保測評）。

（4）安全運營(yíng)（ACTION）

安全運營(yíng)是在安全體系投入使用后，不間斷地運營(yíng)整個(gè)安全體系并發(fā)現新問(wèn)題。

7　建設從“終端”到“云端”的分層縱深安全防護體系

風(fēng)險評估是安全建設的切入點(diǎn)，是安全規劃的先決條件，其目的在于識別和評估系統中各類(lèi)資產(chǎn)所面臨的危害和風(fēng)險。風(fēng)險分析優(yōu)先做資產(chǎn)識別，對自身的資料有清晰的了解之后，再根據資產(chǎn)的脆弱性分析可能面臨的威脅，從而按照風(fēng)險的級別排序，成為后期做安全建設的依據。風(fēng)險評估的典型內容一般包括：識別可能受到威脅的目標、分析價(jià)值和潛在損失、威脅和弱點(diǎn)分析、識別已有的安全防護措施等。

在做安全規劃時(shí)，主要基于PPDR模型對安全技術(shù)體系和安全管理體系做統籌規劃，在規劃的過(guò)程中始終堅持一條，“零信任的安全策略”?！傲阈湃巍笔侵甘裁?？即：不可管即不可控、不可控即不安全，值得信任的不是人，而是讓人不會(huì )犯錯誤的技術(shù)&管理體系，沒(méi)有技術(shù)手段支撐的安全管理是低效的，并且常常失效。在煙草行業(yè)建立完整的安全技術(shù)管理體系十分必要，具體如圖2所示。

圖2 安全技術(shù)管理體系

圖2安全技術(shù)體系中基于“應用級白名單”的零信任安全防護，主要分為兩方面：

（1）接入認證：實(shí)現接入可信

·只允許授信的人或設備接入網(wǎng)絡(luò )，對于未通過(guò)認證的設備進(jìn)行實(shí)時(shí)阻斷，不允許其接入網(wǎng)絡(luò )，并進(jìn)行實(shí)時(shí)告警。

·對必要的設備進(jìn)行安全基線(xiàn)檢查，只有符合安全策略的設備才能接入網(wǎng)絡(luò )。

（2）應用控制：實(shí)現行為可控

·識別合法設備的網(wǎng)絡(luò )訪(fǎng)問(wèn)行為，只允許其傳輸與預先確定的應用相關(guān)的數據，其他數據一概阻斷。

總的來(lái)看，煙草行業(yè)要建設從“終端”到“云端”的分層縱深安全防護體系需要做好以下三點(diǎn)：

（1）分層縱深安全防護結構

由于工業(yè)系統采用分層架構，每一層的接入都是下層的匯聚節點(diǎn)，不能采用扁平化安全分區方法，而應采用分層式的縱深安全防護結構。

（2）應用級白名單訪(fǎng)問(wèn)控制

對網(wǎng)絡(luò )訪(fǎng)問(wèn)采用應用級白名單訪(fǎng)問(wèn)控制，做到接入可信、行為可控。

（3）應用級威脅抵御

除了應用級白名單訪(fǎng)問(wèn)控制能力外，還應包括有應用級的威脅抵御能力，可以阻斷已知的漏洞攻擊行為、病毒木馬的傳播與網(wǎng)絡(luò )訪(fǎng)問(wèn)行為等。

網(wǎng)絡(luò )安全體系整體架構模型如圖3所示。

圖3 網(wǎng)絡(luò )安全體系整體架構模型

工控信息安全與生產(chǎn)緊密相關(guān)，要解決安全問(wèn)題，一定要根據自身網(wǎng)絡(luò )狀況的問(wèn)題，分別去做不同的規劃，從而達到不同的目標。

本文內容根據作者在“2019工業(yè)網(wǎng)絡(luò )專(zhuān)家計劃論壇”中所做報告整理，未經(jīng)作者本人確認。

摘自《工業(yè)控制系統信息安全專(zhuān)刊（第六輯）》