2023煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系構(gòu)建

煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系構(gòu)建工業(yè)控制系統(tǒng)制器的集合，主要包括數(shù)據(jù)監(jiān)控與采集系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯。ICS屬于關(guān)鍵信息基礎(chǔ)設(shè)施，已被廣泛應用于電隨著信息通信技術(shù)的高速發(fā)展，信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的廣泛應用，工業(yè)控制系統(tǒng)

系統(tǒng)也面臨著日益嚴峻的網(wǎng)絡(luò)安全威脅。對此美美國國家標準與技術(shù)研究院控制系統(tǒng)安全指南和組織的安全與隱私控制800-5制系統(tǒng)安全研究領(lǐng)域具有深遠影響。我國工業(yè)控制系統(tǒng)安全研究起步較晚，由于核心控制設(shè)備多為國外品牌，因此大部分是參考國外標準進行后續(xù)研究。不過受2010。煙草行業(yè)工業(yè)控制系統(tǒng)主要分布在卷煙廠、造煙葉加工企業(yè)、卷煙材料企業(yè)及部分控股多元化企業(yè)。為加強工業(yè)控制系統(tǒng)安全管理，煙草行業(yè)將工業(yè)控制系統(tǒng)作為網(wǎng)絡(luò)安全重點保護對象，發(fā)布了《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)控制系統(tǒng)安全管理和技術(shù)規(guī)范，從2016年開始每年組織開展全行業(yè)工業(yè)控制系統(tǒng)安全檢查。經(jīng)初步統(tǒng)計，煙草行業(yè)現(xiàn)有近500個工業(yè)控制系統(tǒng)，其核心控制器和組態(tài)軟件以國外品牌為主，安全防護措施較為薄弱，工業(yè)控制系統(tǒng)安全管理水平和防護能力亟待加強。為此，通過分析煙草行業(yè)工業(yè)控制系統(tǒng)所面臨的安全風險，構(gòu)建一種基于全生命周期的煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系，以期滿足煙草行業(yè)信息化與工業(yè)化深度融合

煙草行業(yè)工業(yè)控制系統(tǒng)面臨的安全風險煙草行業(yè)工業(yè)控制系統(tǒng)主要由工業(yè)控制層、生產(chǎn)執(zhí)行層、管理協(xié)同層31。工業(yè)控制層主要包括SCADADCSPLCHMI等工MES等生產(chǎn)執(zhí)行系統(tǒng)；管理協(xié)同層主要包括ERP管理系統(tǒng)等管理協(xié)同系統(tǒng)。通過對部分煙草企業(yè)調(diào)研，發(fā)現(xiàn)當前煙草行業(yè)工業(yè)控制系統(tǒng)面臨的安全風險主要包括網(wǎng)絡(luò)通信安全風險、設(shè)備應用安全風險、日常管理安全風險3方面。網(wǎng)絡(luò)通信安全風險安全域架構(gòu)設(shè)計有欠缺一些煙草企業(yè)在技改規(guī)劃設(shè)計階段，對工業(yè)控制網(wǎng)絡(luò)與辦公管理網(wǎng)絡(luò)的通信安全、工業(yè)控制網(wǎng)絡(luò)內(nèi)部安全區(qū)域的合理化設(shè)計等問題考慮較少，導致網(wǎng)絡(luò)之間、安全域之間缺少明確的網(wǎng)絡(luò)安全邊界界定，內(nèi)部數(shù)據(jù)傳輸沒有得到合理的訪問控制，存在企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng)、生產(chǎn)系統(tǒng)、工業(yè)控制系統(tǒng)和生產(chǎn)數(shù)據(jù)未經(jīng)授權(quán)訪問、感染病毒和木馬、受到拒絕服務(wù)攻擊等風險，容易出現(xiàn)某一系圖1煙草行業(yè)工業(yè)控制系統(tǒng)典型示意圖Fig.1Schematicdiagramoftypicalindustrialcontrolsystemintobaccoindustry統(tǒng)遭受攻擊，進而導致全網(wǎng)系統(tǒng)癱瘓的安全事件發(fā)生。網(wǎng)絡(luò)之間安全隔離機制不合理一些煙草企業(yè)針對辦公管理網(wǎng)與工業(yè)控制網(wǎng)的網(wǎng)絡(luò)互聯(lián)沒有建立合理有效的安全隔離機制，通常采用服務(wù)器雙網(wǎng)卡訪問控制、網(wǎng)絡(luò)設(shè)備訪問ModbusOPC等主流工業(yè)控制協(xié)議的數(shù)據(jù)包識別功能，因此存在被攻擊和入侵的風險。PLC控制指令數(shù)據(jù)通信明文傳輸大部分煙草企業(yè)沒有對數(shù)據(jù)傳輸進行加密，不論是辦公管理網(wǎng)或工業(yè)控制網(wǎng)的內(nèi)部數(shù)據(jù)通信、辦公管理網(wǎng)的辦公終端與工業(yè)控制網(wǎng)的數(shù)據(jù)采集服務(wù)器之間的數(shù)據(jù)通信、上位機與PLC控制器之間的數(shù)據(jù)通信，還是通過主流工業(yè)控制協(xié)議控制生產(chǎn)設(shè)備時傳輸?shù)母鞣N指令信息，均采用明文傳輸，有可能被竊聽和解析。工業(yè)控制系統(tǒng)無線網(wǎng)絡(luò)管控機制不完善一些煙草企業(yè)尚未對工業(yè)控制系統(tǒng)使用的無線網(wǎng)絡(luò)實行統(tǒng)一管控，在生產(chǎn)車間建設(shè)無線網(wǎng)絡(luò)時僅考慮生產(chǎn)業(yè)務(wù)的可用性，而忽視無線接入的安全性，特別是近年來廣泛應用的AGV無線引導小車，由上位機組態(tài)軟件通過無線網(wǎng)絡(luò)對車載PLC進行實時控制，若缺少無線接入安全認證措施，有可能被攻擊者惡意接入并通過無線網(wǎng)絡(luò)對車載PLC進行控制，影響AGV小車的正常運行。工業(yè)控制系統(tǒng)安全審計機制缺失大部分煙草企業(yè)缺乏對工業(yè)控制系統(tǒng)日常運維人員操作行為的統(tǒng)一運維審計管理，對于因人為原因造成的生產(chǎn)業(yè)務(wù)異常事件無法溯源，也無法找到事件發(fā)生的根本原因，影響對事件的定性分析。設(shè)備應用安全風險工業(yè)控制系統(tǒng)自身存在漏洞經(jīng)了解，煙草企業(yè)工業(yè)控制系統(tǒng)的核心控制器以SiemensS7系列PLCRockwellABPLCGEPLC為主。目前在工業(yè)控制系統(tǒng)存在公開漏洞的廠商中，占28%GE占7%Rockwell占5%個廠商的公開漏洞數(shù)量已超過總數(shù)的40%。在上述公開漏洞中，可引起業(yè)務(wù)中斷的拒絕服務(wù)類漏洞占33%%信息泄露類漏洞占16%，遠程控制類漏洞占8%?；诠I(yè)控制系統(tǒng)的惡意代碼傳播目前，國內(nèi)已出現(xiàn)基于工業(yè)控制系統(tǒng)的蠕蟲

病毒，該類病毒在工業(yè)控制系統(tǒng)的PLC之間傳播，無需借助工業(yè)控制系統(tǒng)中的服務(wù)器和管理終端。通常情況下，PLC惡意代碼傳播會先尋找PLC的IP地址，嘗試是否可連接成功并檢測PLC是否感染病毒，若連接失敗或未感染病毒則尋找下一個目標；若連接成功且已感染病毒，蠕蟲病毒則會利用PLC自身協(xié)議的脆弱性，遠程改變PLC操作指令，影響生產(chǎn)設(shè)備的正常運行。關(guān)鍵生產(chǎn)設(shè)備HMI用戶登錄安全管理欠缺一些煙草企業(yè)生產(chǎn)車間關(guān)鍵生產(chǎn)設(shè)備的現(xiàn)場操控觸摸屏HMI用戶登錄安全管理欠缺，普遍存在不設(shè)密碼、弱口令、多人共用一個口令、多個設(shè)備共用一個口令等現(xiàn)象，同時操作行為也缺少日常監(jiān)管，存在關(guān)鍵生產(chǎn)設(shè)備被越權(quán)操作的風險。工程師站、操作員站和管理終端自身安全風險煙草企業(yè)的工程師站、操作員站和管理終端通常使用Windows操作系統(tǒng)，由于擔心影響工業(yè)控制軟件的正常運行，一些企業(yè)的工程師站、操作員站和管理終端從未開展過操作系統(tǒng)安全補丁升級，也未安裝防病毒軟件，從而給感染和傳播病毒木馬留下了空間。終端遠程運維風險煙草企業(yè)的關(guān)鍵生產(chǎn)設(shè)備、工程師站、操作員站和管理終端通常只允許在本地操作，但一些企業(yè)為了生產(chǎn)設(shè)備檢修方便，在操作員站通過互聯(lián)網(wǎng)和即時通訊工具與設(shè)備原廠商工程師進行溝通交流，并利用即時通訊工具的遠程支持功能允許原廠商工程師對設(shè)備進行遠程檢修操作，存在未經(jīng)授權(quán)訪問、違規(guī)操作、感染病毒木馬等風險。工業(yè)控制系統(tǒng)移動存儲設(shè)備接入安全風險作員站和管理終端沒有采用物理封閉USB接口措施，對于工作人員在生產(chǎn)車間使用USB移動存儲設(shè)備管理不嚴格，存在未經(jīng)授權(quán)接入竊取生產(chǎn)工藝數(shù)據(jù)、感染病毒木馬等風險。日常管理安全風險從事工業(yè)控制系統(tǒng)安全工作人員欠缺煙草企業(yè)工業(yè)控制系統(tǒng)的安全工作通常由負責系統(tǒng)運維的設(shè)備管理部門與負責網(wǎng)絡(luò)安全的信息化部門共同承擔，由于兩個部門的工作職責和工作重點各不相同，存在工業(yè)控制系統(tǒng)工程師不懂網(wǎng)絡(luò)安全、網(wǎng)絡(luò)安全工程師不懂工業(yè)控制系統(tǒng)的現(xiàn)象，導致真正從事工業(yè)控制系統(tǒng)安全工作人員欠缺。關(guān)鍵生產(chǎn)崗位人員工業(yè)控制系統(tǒng)安全意識薄弱煙草企業(yè)工業(yè)控制系統(tǒng)的運維工作通常由設(shè)備管理部門的工程師和生產(chǎn)車間工作人員完成，這些人員平時對生產(chǎn)安全意識較強，注重工業(yè)控制系統(tǒng)的可用性，但對工業(yè)控制系統(tǒng)安全風險關(guān)注較少，系統(tǒng)安全意識薄弱。工業(yè)控制系統(tǒng)應急保障機制不完善一些煙草企業(yè)僅有生產(chǎn)車間停電、發(fā)生生產(chǎn)安全事故的工業(yè)控制系統(tǒng)應急預案，缺少針對工業(yè)控制網(wǎng)絡(luò)中斷、服務(wù)器軟硬件故障、感染病毒木馬、遭受外部網(wǎng)絡(luò)攻擊等方面的應急預案，一旦發(fā)生上述網(wǎng)絡(luò)安全事件會對生產(chǎn)業(yè)務(wù)活動造成嚴重影響。工業(yè)控制系統(tǒng)設(shè)備文檔保存機制不完善一些煙草企業(yè)沒有完善的設(shè)備文檔保存機制，由于工業(yè)控制系統(tǒng)已正常運行多年，原有的操作指南和故障快速恢復指南早已丟失，僅保留了處理設(shè)備常見故障的技術(shù)文檔，一旦設(shè)備因感染病毒木馬或遭受外部網(wǎng)絡(luò)攻擊而發(fā)生故障，難以快速解決設(shè)備的非常見故障。基于全生命周期的煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系的構(gòu)建構(gòu)建工業(yè)控制系統(tǒng)安全保障體系是一項復雜

的系統(tǒng)工程，其建設(shè)過程需要對人員、資金、工業(yè)控制系統(tǒng)及其軟硬件設(shè)備等安全維度進行統(tǒng)籌規(guī)劃設(shè)計，將網(wǎng)絡(luò)安全融入到工業(yè)控制系統(tǒng)的全生命周期當中貫穿始終，實現(xiàn)工業(yè)控制系統(tǒng)的功能安全與信息安全的全方位深度融合［4］?；谌芷诘墓I(yè)控制系統(tǒng)安全保障體系共分6個階段進行實施，見圖2。該體系在構(gòu)建過程中，每個階段具有不同要的網(wǎng)絡(luò)安全風險，提出有針對性的工業(yè)控制系統(tǒng)安全建設(shè)方案。②設(shè)備選型階段，根據(jù)確定的工相關(guān)安全認證的工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)安全設(shè)備。③上線測試階段，聘請網(wǎng)絡(luò)安全專業(yè)機構(gòu)對正式上線前的工業(yè)控制系統(tǒng)進行嚴格的安全評估，發(fā)現(xiàn)安全漏洞、隱患和問題要及時進行整改。④運行維護階段，采取訪問控制、安全審計、運維審計等措施，落實網(wǎng)絡(luò)安全管理要求。⑤維修檢修階段，根據(jù)工業(yè)控制系統(tǒng)維修檢修的周期，建立同步的周期性網(wǎng)絡(luò)安全檢查機制，繼續(xù)聘請網(wǎng)絡(luò)安全專業(yè)機構(gòu)對工業(yè)控制系統(tǒng)進行風險評估和復測驗證。⑥下線報廢階段，當工業(yè)控制系統(tǒng)下線或報廢時，對工業(yè)控制系統(tǒng)的殘余風險進行評估，確保工業(yè)控制系統(tǒng)順利下線，不影響正常的生產(chǎn)業(yè)務(wù)活動。圖2基于全生命周期的工業(yè)控制系統(tǒng)安全保障體系示意圖Fig.2Schematicdiagramofindustrialcontrolsystemsecuritysystembasedonwholelifecycle工業(yè)控制網(wǎng)與辦公管理網(wǎng)安全互聯(lián)按照《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互工業(yè)控制網(wǎng)與辦公管理網(wǎng)及其他網(wǎng)絡(luò)安全互聯(lián)要口安全功能。工業(yè)控制網(wǎng)與辦公管理網(wǎng)安全互聯(lián)結(jié)構(gòu)見圖3。分層分域設(shè)計工業(yè)控制網(wǎng)是煙草企業(yè)的核心安全域，可依

劃分安全域，例如卷煙廠內(nèi)部網(wǎng)絡(luò)可劃分為管理協(xié)同層、生產(chǎn)執(zhí)行層、工業(yè)控制層以及制絲接入見圖4。安全域之間訪問控制在煙草企業(yè)內(nèi)部網(wǎng)絡(luò)中，管理協(xié)同層與生產(chǎn)用代理、事件審核和警告等安全功能。工業(yè)控制圖3工業(yè)控制網(wǎng)與辦公管理網(wǎng)安全互聯(lián)示意圖Fig.3Schematicdiagramofsecureinterconnectionbetweenindustrialcontrolnetworkandofficemanagementnetwork圖4工業(yè)控制網(wǎng)分層分域示意圖Fig.4Schematicdiagramofhierarchyandsecuritydomainofindustrialcontrolnetwork層內(nèi)部各安全域之間采用可識別工業(yè)控制協(xié)議數(shù)據(jù)包的工控安全防火墻，對常用工業(yè)控制協(xié)議和應用數(shù)據(jù)內(nèi)容的數(shù)據(jù)包進行解析、檢查及過濾，阻斷來自辦公管理網(wǎng)的疑似攻擊、病毒木馬等行為。工業(yè)控制系統(tǒng)白名單運行由于工業(yè)控制系統(tǒng)邊界清晰、內(nèi)部流量相對單一且面臨的未知威脅較多，因此適用于建立工業(yè)控制系統(tǒng)白名單運行機制，確保生產(chǎn)操作人員

獲得合法、安全、可追溯的操作環(huán)境［5］。白名單運行機制就是利用基于異常檢測六元組模型，通過對多數(shù)據(jù)源進行信息采集，與遠程安全評估工具、工控安全防火墻共同構(gòu)建基于過程管控的白名單運行環(huán)境，在工業(yè)控制系統(tǒng)內(nèi)部實現(xiàn)安全風險可控，見圖5。工業(yè)控制系統(tǒng)惡意代碼檢測目前國內(nèi)的工業(yè)控制系統(tǒng)惡意代碼檢測工具圖5基于異常檢測六元組模型的白名單運行機制示意圖Fig.5Schematicdiagramofwhitelistoperationmechanismbasedonsix-tuplearrayanomalydetectionmodel還處于起步階段，針對工業(yè)控制系統(tǒng)惡意代碼檢測與防范的最佳實踐是將系統(tǒng)安全脆弱性檢測與工業(yè)控制網(wǎng)安全監(jiān)測相結(jié)合，即在定期對工業(yè)控制系統(tǒng)進行漏洞掃描、安全評估等脆弱性檢測的同時，對工業(yè)控制網(wǎng)中的異常報文進行實時監(jiān)測，經(jīng)綜合分析后可檢測出惡意代碼的存在。工業(yè)控制協(xié)議安全審計對主流工業(yè)控制協(xié)議的操作指令進行有效識別和安全審計，即通過對工業(yè)控制協(xié)議特征值的

提供了依據(jù)。工業(yè)控制系統(tǒng)安全評估建立工業(yè)控制系統(tǒng)正式上線前的安全評估機制，在系統(tǒng)正式上線前聘請網(wǎng)絡(luò)安全專業(yè)機構(gòu)對工業(yè)控制系統(tǒng)進行安全評估，發(fā)現(xiàn)系統(tǒng)中潛在的安全漏洞、隱患、風險和問題并及時組織整改。工業(yè)控制系統(tǒng)安全評估差異見表1。鑒于工業(yè)控度大等情況，針對工業(yè)控制系統(tǒng)的安全評估相比傳統(tǒng)的等級保護測評和風險評估需要更加謹慎，確保對工業(yè)控制系統(tǒng)的影響最小。表1工業(yè)控制系統(tǒng)安全評估差異Tab.1Differenceofsecurityevaluationofindustrialcontrolsystem評估對象系統(tǒng)服務(wù)系統(tǒng)漏洞

傳統(tǒng)安全評估手段如如如

工業(yè)控制系統(tǒng)安全評估手段手工配置檢查；物理線纜跟蹤/檢索；數(shù)據(jù)包被動監(jiān)聽；控制掃描范圍如Netsta如 與CVE漏洞庫信息對比測試環(huán)境掃描 工業(yè)控制系統(tǒng)異常行為監(jiān)測預警建立工業(yè)控制系統(tǒng)異常行為監(jiān)測預警機

制，見圖6。通過建設(shè)工業(yè)控制系統(tǒng)安全監(jiān)測預警系統(tǒng)，可以監(jiān)測和采集工業(yè)控制設(shè)備的運行日圖6工業(yè)控制系統(tǒng)異常行為監(jiān)測預警