淺談卷煙廠制絲中控網(wǎng)絡(luò)安全體系構(gòu)建

溫運(yùn)嶺 穆金麗

摘要：隨著工業(yè)互聯(lián)網(wǎng)時(shí)代的到來(lái)，現(xiàn)代卷煙工業(yè)企業(yè)兩化融合程度也越來(lái)越高，在卷煙生產(chǎn)過(guò)程中廣泛使用到各類工業(yè)控制系統(tǒng)，因此有強(qiáng)烈的工控網(wǎng)絡(luò)安全防護(hù)需求。目前，如何構(gòu)建一個(gè)安全高效、穩(wěn)固可靠的工控網(wǎng)絡(luò)體系，成為現(xiàn)代卷煙工業(yè)企業(yè)安全防護(hù)的基礎(chǔ)和前提。本文結(jié)合制絲車間中控系統(tǒng)實(shí)際需求，提出了相關(guān)的安全防護(hù)措施，進(jìn)一步為卷煙廠的安全生產(chǎn)運(yùn)營(yíng)保駕護(hù)航。

關(guān)鍵詞：工業(yè)控制網(wǎng)絡(luò);網(wǎng)絡(luò)安全;制絲中控

制絲中控系統(tǒng)作為制絲生產(chǎn)過(guò)程的核心系統(tǒng)，主要負(fù)責(zé)制絲車間的生產(chǎn)控制任務(wù)，并對(duì)制絲過(guò)程中的設(shè)備運(yùn)行、工藝質(zhì)量進(jìn)行監(jiān)控，是保證制絲工藝質(zhì)量和正常生產(chǎn)的根基。一旦網(wǎng)絡(luò)被無(wú)意或惡意攻擊或病毒入侵將嚴(yán)重影響企業(yè)生產(chǎn)運(yùn)營(yíng)與管理效率，因此構(gòu)建網(wǎng)絡(luò)安全體系，保障企業(yè)安全穩(wěn)健的發(fā)展顯得尤為重要。

1部署工業(yè)防火墻

依據(jù)“安全分區(qū)、縱深防護(hù)、統(tǒng)一監(jiān)控”的網(wǎng)絡(luò)安全防護(hù)原則。在廠級(jí)網(wǎng)絡(luò)及制絲中控室管理交換機(jī)之間部署工業(yè)防火墻，做到區(qū)域隔離，配置工業(yè)防火墻，防止未授權(quán)的網(wǎng)絡(luò)連接對(duì)制絲線局域網(wǎng)的侵害。

1）訪問控制

工業(yè)防火墻在工控協(xié)議方面做了深度的解析，可以對(duì)操作人員和外網(wǎng)非法訪問進(jìn)行基于IP、MAC、工控協(xié)議或任意組合方式的訪問進(jìn)行控制，另外，用戶可以根據(jù)具體需求設(shè)置更細(xì)粒度的策略，如對(duì)某個(gè)工控協(xié)議的只讀、讀寫或者禁用，防止數(shù)據(jù)被篡改或信息外泄。支持通用防火墻會(huì)話狀態(tài)檢測(cè)、包過(guò)濾機(jī)制及工控協(xié)議的深度訪問控制，阻止各類非授權(quán)訪問行為。

2）惡意攻擊

由于工控網(wǎng)絡(luò)的封閉性和工控網(wǎng)絡(luò)中運(yùn)行的軟件和程序一般情況下都是很固定的，基于工控網(wǎng)絡(luò)的這一特點(diǎn)，在工業(yè)防火墻上啟用白名單功能，將工控網(wǎng)絡(luò)中可信的軟件或程序放入白名單，只有白名單中的軟件或程序才能被安裝和運(yùn)行，可以有效阻止惡意病毒和木馬的入侵或非法程序的運(yùn)行。工業(yè)防火墻可以進(jìn)行正常通信行為建模，通過(guò)對(duì)正常通信行為學(xué)習(xí)后，對(duì)工控指令攻擊、控制參數(shù)修改、病毒和蠕蟲等惡意代碼等攻擊行為進(jìn)行有效防護(hù)，減少惡意攻擊行為給工業(yè)控制系統(tǒng)帶來(lái)的安全風(fēng)險(xiǎn)。

3）DoS攻擊防護(hù)

工控系統(tǒng)對(duì)網(wǎng)絡(luò)的實(shí)時(shí)性和響應(yīng)速度有很高的要求，為了保證工控系統(tǒng)的可用性和高效性，在工業(yè)防火墻上開啟異常報(bào)文檢測(cè)與異常流量檢測(cè)功能，防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊導(dǎo)致的網(wǎng)絡(luò)或工控系統(tǒng)的癱瘓。

4）重點(diǎn)設(shè)備的安全防護(hù)

通過(guò)在重點(diǎn)工控設(shè)備前加裝工業(yè)防火墻，通過(guò)工業(yè)防火墻的工控協(xié)議深度解析及“白名單”安全管理機(jī)制，充分保護(hù)重要工控設(shè)備的信息安全，提升整個(gè)工業(yè)控制系統(tǒng)的安全防護(hù)等級(jí)。

2部署安全防護(hù)軟件

在中控計(jì)算機(jī)、服務(wù)器、工程師站、現(xiàn)場(chǎng)工控機(jī)上部署主機(jī)安全防護(hù)軟件。通過(guò)設(shè)置實(shí)現(xiàn)以下功能。

1）阻止惡意代碼的執(zhí)行和擴(kuò)散

可以有效阻止“白名單”外的程序及病毒、木馬、蠕蟲、等惡意代碼的執(zhí)行，進(jìn)而有效避免系統(tǒng)感染震網(wǎng)病毒、Flame、Havex、BlackEnergy等工控惡意代碼。如果在工業(yè)控制系統(tǒng)中有一臺(tái)設(shè)備被惡意病毒感染并通過(guò)網(wǎng)絡(luò)擴(kuò)散到其它主機(jī)后，在部署了工控主機(jī)衛(wèi)士的主機(jī)上通過(guò)白名單功能就可以阻止病毒的運(yùn)行，進(jìn)而保護(hù)主機(jī)的運(yùn)行安全。

2）網(wǎng)絡(luò)白名單

針對(duì)工作站、服務(wù)器等設(shè)備進(jìn)行網(wǎng)絡(luò)白名單配置管理，包括開啟SYN攻擊防護(hù)（Windows系統(tǒng)專有）和配置防火墻、添加配置控制程序連接（Windows系統(tǒng)專有）以及TCP或UDP端口連接的規(guī)則，最大限度保護(hù)工作站、服務(wù)器等設(shè)備的安全。

3）主機(jī)監(jiān)控管理

開啟主機(jī)白名單安全防護(hù)，使工控網(wǎng)絡(luò)中的上位機(jī)、服務(wù)器等抵御木馬、工控病毒等惡意程序的攻擊。對(duì)白名單外的惡意代碼、違規(guī)操作進(jìn)行告警及記錄;對(duì)人員未授權(quán)安裝軟件進(jìn)行告警;對(duì)普通U盤以及安全U盤的違規(guī)使用告警;支持注冊(cè)表、配置文件和操作系統(tǒng)文件破壞告警。

4）安全基線管理

對(duì)工作站、服務(wù)器等設(shè)備進(jìn)行基線配置管理，包括賬戶策略、審核策略、安全選項(xiàng)、IP安全、進(jìn)程審計(jì)、系統(tǒng)日志等。通過(guò)開啟密碼復(fù)雜度、強(qiáng)制密碼歷史、關(guān)閉guest賬戶（Windows系統(tǒng)專有）、開啟系統(tǒng)和賬戶審核、關(guān)閉默認(rèn)共享（Windows系統(tǒng)專有）、進(jìn)行進(jìn)程審計(jì)等措施最大限度保護(hù)工作站、服務(wù)器等設(shè)備的安全。

3部署統(tǒng)一安全管理平臺(tái)

建設(shè)統(tǒng)一安全管理平臺(tái)對(duì)工業(yè)防火墻、工業(yè)主機(jī)安全防護(hù)軟件等產(chǎn)品進(jìn)行統(tǒng)一管理。實(shí)現(xiàn)對(duì)工控系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、應(yīng)用系統(tǒng)、安全設(shè)備進(jìn)行集中運(yùn)維管理，實(shí)現(xiàn)安全策略的統(tǒng)一配置及下發(fā)、設(shè)備運(yùn)行狀況的全面監(jiān)控、安全事件的實(shí)時(shí)告警，日志的收集、處理及分析，有助于降低運(yùn)維成本、提高事件響應(yīng)效率。

1）安全產(chǎn)品集中管理

對(duì)工控網(wǎng)絡(luò)中的工業(yè)防火墻、工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)、工控主機(jī)衛(wèi)士、主機(jī)安全加固系統(tǒng)等安全產(chǎn)品進(jìn)行集中管理，包括安全策略配置、設(shè)備狀態(tài)監(jiān)控、網(wǎng)絡(luò)拓?fù)涔芾淼取?/p>

2）高速率加密傳輸通道

采用私有加密方式進(jìn)行通信，防止數(shù)據(jù)包遭到惡意截取或篡改，有效保障數(shù)據(jù)的有效性和安全性。

3）全面的安全日志審計(jì)

全面記錄工業(yè)網(wǎng)絡(luò)中的主機(jī)安全日志、網(wǎng)絡(luò)異常攻擊監(jiān)測(cè)日志、網(wǎng)絡(luò)攻擊防護(hù)日志、工業(yè)網(wǎng)絡(luò)會(huì)話信息，同時(shí)保留攻擊發(fā)生時(shí)的原始報(bào)文信息，便于安全事件的追溯和調(diào)查取證。

4）安全日志關(guān)聯(lián)分析

對(duì)工控網(wǎng)絡(luò)中的安全日志（如：攻擊日志、流量日志、訪問日志、主機(jī)日志、系統(tǒng)日志）進(jìn)行匯總、關(guān)聯(lián)分析并形成報(bào)告，為工控網(wǎng)絡(luò)安全事件分析和調(diào)查取證提供依據(jù)。

結(jié)束語(yǔ)

本文針對(duì)制絲中控網(wǎng)絡(luò)安全問題提出了相應(yīng)的防護(hù)措施，即采取部署工業(yè)防火墻、部署安全防護(hù)軟件、部署統(tǒng)一安全管理平臺(tái)等，為進(jìn)一步提高制絲中控系統(tǒng)網(wǎng)絡(luò)安全水平，促進(jìn)卷煙工業(yè)安全防控體系構(gòu)建，保障企業(yè)安全生產(chǎn)運(yùn)營(yíng)提供了堅(jiān)實(shí)根基。

參考文獻(xiàn)

[1]趙全洲，司成偉.淺談煙草行業(yè)工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的威脅評(píng)估[J].通訊世界，2019，26（8）：63-65.

[2]吳莉.淺談煙草行業(yè)網(wǎng)絡(luò)安全及其防范策略[J].計(jì)算機(jī)光盤軟件與應(yīng)用，2012（5）：116-117.

[3]許新鋒.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)的建設(shè)[J].中小企業(yè)管理與科技，2020（7）：112-113