洪海舟

[摘 要]隨著工控安全事件的頻發(fā)，國家信息安全戰(zhàn)略把工控安全納入了相關(guān)戰(zhàn)略規(guī)劃，工控安全建設(shè)也在各個(gè)行業(yè)全面鋪開。國家煙草專賣局高度重視行業(yè)工控安全，不斷進(jìn)行行業(yè)網(wǎng)絡(luò)信息安全自查和巡檢，大力推進(jìn)行業(yè)工控安全建設(shè)。工控安全作為煙草商業(yè)企業(yè)網(wǎng)絡(luò)信息安全的薄弱地帶，工控安全建設(shè)一直處于探索中。為了彌補(bǔ)行業(yè)網(wǎng)絡(luò)信息安全短板，提出以AP2DR2網(wǎng)絡(luò)安全模型構(gòu)建的全方位、多層次的工控系統(tǒng)信息安全防護(hù)體系，為維護(hù)煙草商業(yè)企業(yè)物流工控系統(tǒng)的信息安全提出相關(guān)建議，以有效保障煙草商業(yè)企業(yè)工控系統(tǒng)信息安全。

[關(guān)鍵詞]煙草商業(yè)企業(yè);AP2DR2;工業(yè)控制系統(tǒng);信息安全

doi：10.3969/j.issn.1673 - 0194.2020.18.041

[中圖分類號(hào)]F270.7;TP315[文獻(xiàn)標(biāo)識(shí)碼]A[文章編號(hào)]1673-0194（2020）18-00-02

0? ? ?引 言

隨著信息技術(shù)的不斷發(fā)展，工業(yè)化進(jìn)程逐漸加快，不斷推動(dòng)工業(yè)產(chǎn)業(yè)發(fā)展。隨著“中國制造2025”戰(zhàn)略的提出，工控系統(tǒng)信息安全已經(jīng)成為兩化融合的重要組成部分。國家煙草專賣局根據(jù)國內(nèi)外工控系統(tǒng)的安全形勢和工信部的要求，結(jié)合煙草行業(yè)內(nèi)工控系統(tǒng)的基本情況做出了積極響應(yīng)，以全面推進(jìn)煙草行業(yè)工控安全建設(shè)。

1? ? ?煙草商業(yè)企業(yè)工控系統(tǒng)特征及現(xiàn)存問題

煙草行業(yè)卷煙生產(chǎn)工控系統(tǒng)主要有SCADA和PLC兩大類。由于各企所涉及的幾類工控系統(tǒng)在組網(wǎng)方式、系統(tǒng)構(gòu)成等方面存在差別，可歸納為：物流控制類、絲葉生產(chǎn)類、獨(dú)立控制類、動(dòng)力控制類4類。煙草商業(yè)企業(yè)引進(jìn)的工控系統(tǒng)，主要用來進(jìn)行卷煙分揀和倉儲(chǔ)，具有以下幾種特征：一是煙草商業(yè)企業(yè)采用的工控系統(tǒng)核心設(shè)備均由國外引進(jìn)，國產(chǎn)化率低;二是以滿足業(yè)務(wù)功能為第一要?jiǎng)?wù)，工控系統(tǒng)依賴設(shè)備，獨(dú)立于信息系統(tǒng)外;三是各商業(yè)企業(yè)的工控設(shè)備建設(shè)時(shí)期不同，工控設(shè)備技術(shù)差異性大。目前，工控系統(tǒng)開始大量采用數(shù)字信息技術(shù)，使用普遍的通信協(xié)議，企業(yè)的工控系統(tǒng)已經(jīng)逐步演變?yōu)橛缮a(chǎn)調(diào)度層、現(xiàn)場控制層、企業(yè)管理層組成的自動(dòng)化信息系統(tǒng)。通過生產(chǎn)網(wǎng)與管理網(wǎng)互聯(lián)互通，整合進(jìn)入相關(guān)IT系統(tǒng)，成為企業(yè)信息系統(tǒng)的一部分。工控系統(tǒng)在面對(duì)病毒、APT攻擊等網(wǎng)絡(luò)安全威脅時(shí)毫無還手之力。本文以煙草商業(yè)企業(yè)典型的物流控制工控系統(tǒng)為例，進(jìn)一步分析企業(yè)面對(duì)的威脅與風(fēng)險(xiǎn)，并利用相關(guān)模型進(jìn)行整體防護(hù)設(shè)計(jì)，以維護(hù)商業(yè)企業(yè)物流工控系統(tǒng)

信息安全。

2? ? ?基于AP2DR2模型的物流分揀倉儲(chǔ)工控系統(tǒng)防護(hù)設(shè)計(jì)

AP2DR2模型由以下6個(gè)部分構(gòu)成，包括：風(fēng)險(xiǎn)分析（Assessment）、安全策略（Policy）、系統(tǒng)防護(hù)（Protection）、實(shí)時(shí)檢測（Detection）、實(shí)時(shí)響應(yīng)（Reaction）和災(zāi)難恢復(fù)（Restoration）。在AP2DR2模型中，風(fēng)險(xiǎn)評(píng)估是網(wǎng)絡(luò)安全的首個(gè)重要環(huán)節(jié)，利用風(fēng)險(xiǎn)評(píng)估可以了解網(wǎng)絡(luò)安全面臨的風(fēng)險(xiǎn)。沒有絕對(duì)的靜態(tài)網(wǎng)絡(luò)安全系統(tǒng)，通過6個(gè)環(huán)節(jié)的不斷循環(huán)，網(wǎng)絡(luò)安全系統(tǒng)逐漸完善，進(jìn)而切實(shí)保障網(wǎng)絡(luò)安全。

2.1? ?風(fēng)險(xiǎn)分析

典型的物流工控系統(tǒng)網(wǎng)絡(luò)可以分為監(jiān)督控制層、現(xiàn)場控制層、現(xiàn)場設(shè)備層。根據(jù)現(xiàn)場情況看，生產(chǎn)網(wǎng)和管理網(wǎng)相連，通過VLAN進(jìn)行隔離。業(yè)務(wù)上各車間工控系統(tǒng)與管理網(wǎng)相連缺少必要防護(hù)措施，導(dǎo)致管理網(wǎng)風(fēng)險(xiǎn)引入工控系統(tǒng)?？刂葡到y(tǒng)中的主機(jī)、操作站使用的操作系統(tǒng)均為微軟的Windows系統(tǒng)，而微軟已停止支持Windows XP服務(wù)，使系統(tǒng)工作的主機(jī)、操作站面對(duì)更多漏洞。另外，所有主機(jī)、操作站和服務(wù)器的安全配置均為自動(dòng)化集成商在建設(shè)系統(tǒng)時(shí)采用的默認(rèn)配置，在投產(chǎn)后長時(shí)間運(yùn)行過程中不會(huì)變更配置，且日常運(yùn)維人員對(duì)配置信息掌握不充分。目前，物流工控系統(tǒng)采用的工業(yè)控制設(shè)備以西門子PLC為主，廣泛應(yīng)用的S7-300、S7-400等型號(hào)均有大量高危漏洞被曝出，利用這些漏洞進(jìn)行攻擊將導(dǎo)致控制設(shè)備宕機(jī)，使現(xiàn)場發(fā)生生產(chǎn)事故。

2.2? ?安全策略

按照《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中的要求，在物流分揀倉儲(chǔ)工控系統(tǒng)信息安全策略大致可以分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、工業(yè)控制設(shè)備安全、數(shù)據(jù)安全等。

2.2.1? ?物理安全策略

在現(xiàn)場各個(gè)系統(tǒng)操作站等主機(jī)設(shè)備部署操作站安全管理系統(tǒng)，形成對(duì)重要工程師站、數(shù)據(jù)庫、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域的訪問控制，對(duì)操作站、工程師站以及服務(wù)器等主機(jī)設(shè)備的USB、光驅(qū)、無線等接口進(jìn)行嚴(yán)格外設(shè)控制，避免外設(shè)端口成為攻擊入口，形成第一道物理安全防護(hù)屏障。

2.2.2? ?網(wǎng)絡(luò)安全策略

一是在網(wǎng)絡(luò)邊界部署工業(yè)防火墻，同時(shí)在主要工控網(wǎng)絡(luò)設(shè)備開啟日志記錄并定期進(jìn)行審計(jì)，阻斷來自管理網(wǎng)的非法行為。二是對(duì)工業(yè)網(wǎng)絡(luò)設(shè)備進(jìn)行安全配置核查審計(jì)，對(duì)于安全配置較差的設(shè)備，在保證生產(chǎn)的前提下變更安全配置。三是強(qiáng)化工業(yè)控制網(wǎng)絡(luò)設(shè)備身份認(rèn)證。四是在工業(yè)控制網(wǎng)絡(luò)中部署工控異常監(jiān)測系統(tǒng)，監(jiān)控工控系統(tǒng)入侵行為及異常訪問。五是在資產(chǎn)安全方面，對(duì)現(xiàn)場控制系統(tǒng)中的關(guān)鍵網(wǎng)絡(luò)設(shè)備（如工業(yè)環(huán)網(wǎng)上聯(lián)交換機(jī)）進(jìn)行冗余配置，增強(qiáng)工業(yè)網(wǎng)絡(luò)可靠性。

2.2.3? ?主機(jī)安全策略

首先，建立完全仿真的測試系統(tǒng)用于防病毒軟件或應(yīng)用軟件更新測試，確保所有殺毒軟件病毒庫更新不會(huì)對(duì)現(xiàn)場控制系統(tǒng)產(chǎn)生影響，然后對(duì)相關(guān)設(shè)備進(jìn)行安全配置核查審計(jì)，同時(shí)部署工控漏洞掃描系統(tǒng)，避免因主機(jī)設(shè)備安全配置不足導(dǎo)致主機(jī)設(shè)備遭受攻擊。其次，使用口令密碼、USB-Key、智能卡等多種認(rèn)證手段。對(duì)工業(yè)主機(jī)設(shè)置訪問密碼，并規(guī)范密碼標(biāo)準(zhǔn)，確保工業(yè)主機(jī)設(shè)備不會(huì)被非授權(quán)人員輕易訪問。最后，對(duì)現(xiàn)場控制系統(tǒng)I/O服務(wù)器進(jìn)行冗余配置，避免因I/O服務(wù)器宕機(jī)帶來的影響。

2.2.4? ?工業(yè)控制設(shè)備安全策略

一要核查各類設(shè)備安全配置情況并進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)重大工控漏洞。二要提高工業(yè)控制設(shè)備的身份認(rèn)證強(qiáng)度。三要對(duì)工控異常訪問行為及違法操作進(jìn)行安全防護(hù)，防止工業(yè)控制設(shè)備遭受入侵攻擊。四要統(tǒng)計(jì)現(xiàn)場控制系統(tǒng)系統(tǒng)資產(chǎn)清單，確保相關(guān)人員全面掌握現(xiàn)場控制系統(tǒng)內(nèi)工控設(shè)備的具體信息。

2.2.5? ?數(shù)據(jù)安全策略

部署容災(zāi)備份系統(tǒng)，提供文件備份、數(shù)據(jù)庫備份、操作系統(tǒng)、虛擬機(jī)等幾大備份功能，保證工業(yè)生產(chǎn)數(shù)據(jù)可用性，在發(fā)生數(shù)據(jù)丟失、篡改等未知數(shù)據(jù)損害事件后能夠及時(shí)恢復(fù)生產(chǎn)數(shù)據(jù)。

2.3? ?系統(tǒng)防護(hù)

通過在兩個(gè)網(wǎng)絡(luò)邊界設(shè)置強(qiáng)度不同的安全設(shè)備，實(shí)現(xiàn)兩個(gè)網(wǎng)絡(luò)之間的數(shù)據(jù)交互或安全隔離。例如，工控防火墻與防病毒網(wǎng)關(guān)，可以設(shè)置一個(gè)訪問控制策略，使在數(shù)據(jù)交換過程中僅能進(jìn)行數(shù)據(jù)交換。對(duì)于特殊的應(yīng)用，可以部署工控設(shè)備單向?qū)?、工控網(wǎng)閘進(jìn)行隔離等，也可以采取某些技術(shù)實(shí)現(xiàn)工控網(wǎng)絡(luò)和管理網(wǎng)絡(luò)之間的數(shù)據(jù)交換，如信息擺渡技術(shù)。在系統(tǒng)運(yùn)行過程中，可能因?yàn)榘踩O(shè)備單點(diǎn)出現(xiàn)故障導(dǎo)致系統(tǒng)不能正常運(yùn)行，因此，工業(yè)防火墻要有Bypass功能。另外，為了有效避免惡意攻擊、DDoS攻擊，設(shè)備聯(lián)網(wǎng)干擾，企業(yè)應(yīng)在各種安全分區(qū)之間部署檢測入侵的系統(tǒng)。同時(shí)，還要檢測工控系統(tǒng)邊界接入的外部設(shè)備，并制定相應(yīng)的防范措施。

2.4? ?實(shí)時(shí)監(jiān)測

通過部署工控異常檢測系統(tǒng)實(shí)現(xiàn)對(duì)工控系統(tǒng)網(wǎng)絡(luò)內(nèi)實(shí)時(shí)異常監(jiān)測。異常監(jiān)測的第一個(gè)環(huán)節(jié)是梳理工控網(wǎng)內(nèi)上位機(jī)、I/O服務(wù)器、PLC（DCS控制器）等設(shè)備間網(wǎng)絡(luò)流秩序的連接關(guān)系。同時(shí)，由于大多工控系統(tǒng)的服務(wù)器到控制器之間采用TCP/IP協(xié)議，那么對(duì)其協(xié)議攻擊的檢測也必不可少。第二個(gè)環(huán)節(jié)是對(duì)工控系統(tǒng)中存在的已知木馬后門、蠕蟲病毒的入侵行為以及網(wǎng)絡(luò)掃描探測行為的檢測，通過白名單的自學(xué)習(xí)功能，及時(shí)實(shí)現(xiàn)從操作站到PLC的異常操作。第三個(gè)環(huán)節(jié)是工控系統(tǒng)操作員站、工程師站、服務(wù)器、組態(tài)軟件及PLC的漏洞發(fā)現(xiàn)以及上述設(shè)備的統(tǒng)一性能監(jiān)測和日志采集及集中管理，以便在發(fā)現(xiàn)網(wǎng)絡(luò)安全威脅時(shí)集中應(yīng)對(duì)。第四個(gè)環(huán)節(jié)是對(duì)操作站的U盤及外設(shè)管理，以減少病毒感染。

2.5? ?實(shí)時(shí)響應(yīng)

如果出現(xiàn)了入侵，那么入侵檢測系統(tǒng)就要及時(shí)檢查到，然后向相關(guān)人員發(fā)出警報(bào)，與此同時(shí)，還要協(xié)助聯(lián)動(dòng)設(shè)備阻止入侵，例如，工業(yè)防火墻。工控系統(tǒng)應(yīng)該設(shè)置關(guān)鍵參數(shù)的閥值，如果超過閥值則要發(fā)出警報(bào)，在邊界中，關(guān)鍵的網(wǎng)絡(luò)設(shè)備應(yīng)該采用雙機(jī)熱備部署，以避免因?yàn)閱吸c(diǎn)故障造成網(wǎng)絡(luò)癱瘓。

2.6? ?災(zāi)難恢復(fù)

工控系統(tǒng)應(yīng)該定期備份網(wǎng)絡(luò)邊界中的審計(jì)記錄以及配置文件，備份方式要采用在線、離線結(jié)合的方式，保證出現(xiàn)故障就可以立即恢復(fù)，還可以追蹤問題。同時(shí)，建立一個(gè)完善的安全應(yīng)急響應(yīng)機(jī)制，并定期進(jìn)行應(yīng)急演練。

3? ? ?結(jié) 語

工控信息安全是一個(gè)持久的工作，基于AP2DR2模型建立起來的工業(yè)控制系統(tǒng)防護(hù)體系有利于保障系統(tǒng)信息安全：一是可以切實(shí)讓生產(chǎn)運(yùn)維人員和管理人員清晰獲悉自身工控網(wǎng)絡(luò)中的風(fēng)險(xiǎn)，以提前做好防護(hù)工作，為管理人員進(jìn)行安全規(guī)劃提供有力支撐;二是執(zhí)行安全防護(hù)措施后，有效保障工控網(wǎng)中網(wǎng)絡(luò)、主機(jī)應(yīng)用等各層面的安全問題，降低信息系統(tǒng)故障的發(fā)生率，進(jìn)一步減少潛在的風(fēng)險(xiǎn)隱患;三是通過配套運(yùn)維手冊(cè)建立長效機(jī)制，提升企業(yè)自身應(yīng)急響應(yīng)能力;四是將工控信息安全工作形成一種長效機(jī)制，避免以前“救火”的被動(dòng)局面，真正實(shí)現(xiàn)工控信息安全主動(dòng)管理。

主要參考文獻(xiàn)

[1]耿欣.煙草企業(yè)工業(yè)控制系統(tǒng)安全保障體系研究[J].信息網(wǎng)絡(luò)安全，2017（9）：34-37.

[2]薛訓(xùn)明，楊波，汪菲，等.煙草行業(yè)制絲生產(chǎn)線工業(yè)控制系統(tǒng)安全防護(hù)體系設(shè)計(jì)[J].科技展望，2016（14）：264-265.

[3]劉磊，陸渝，張志偉，等.工業(yè)控制系統(tǒng)信息安全多層防御體系模型探析[J].信息網(wǎng)絡(luò)安全，2016（1）：141-145.

[4]聶培穎.石景山區(qū)教育城域網(wǎng)信息安全體系的設(shè)計(jì)與實(shí)現(xiàn)[D].北京：北京郵電大學(xué)出版社，2010.