基于纵深防御的烟草行业工控安全解决方案-AET-电子技术应用

基于纵深防御的烟草行业工控安全解决方案

2019年电子技术应用第3期

何巍

湖南中烟工业有限责任公司，湖南长沙410014

摘要： 作为国家重要基础设施，工控系统的安全问题受到各行各业的普遍重视。聚焦于烟草行业，根据烟草行业自身的行业特点和信息化、工业控制系统信息化的特殊需要，通过现场调研、模拟测评，参考工控安全厂家及业内典型解决方案和实施案例，在充分吸取其中的经验和教训的基础上，制定了一套适合在烟草行业应用的工控系统安全解决方案。该方案具有贴合行业、防御为主、基因安全、实用性强的特点。

关键词： 烟草行业工业控制系统网络安全

中图分类号： TP399
文献标识码： A
DOI：10.16157/j.issn.0258-7998.190104
中文引用格式： 何巍. 基于纵深防御的烟草行业工控安全解决方案[J].电子技术应用，2019，45(3)：88-91.
英文引用格式： He Wei. Security solutions for industrial control systems in the tobacco industry based on defense in depth[J]. Application of Electronic Technique，2019，45(3)：88-91.

Security solutions for industrial control systems in the tobacco industry based on defense in depth

He Wei

China Tobacco Hunan Industrial Co.，Ltd.，Changsha 410014，China

Abstract： As an important national infrastructure, the security problems of industrial control systems have received widespread attention from all walks of life. This paper focuses on the tobacco industry. According to the industry characteristics of the tobacco industry and the special needs of informatization and industrial control system information, it is fully absorbed through on-site investigation, simulation evaluation, reference to industrial safety manufacturers and typical solutions and implementation cases in the industry. Based on the experience and lessons learned, a set of industrial control system security solutions suitable for use in the tobacco industry has been developed. The program has the characteristics of conforming to the industry, defense-oriented, genetic safety and practicality.

Key words : tobacco industry；industrial control systems；network security

0 引言

工业控制系统（以下简称“工控系统”）是国家基础设施重要组成部分，是工业基础设施的核心，被广泛应用于航天、军工、智能制造、炼油、化工、电力、电网、水厂、交通、水利、烟草、公用事业等领域，系统不仅生命周期长，而且在可用性和实时性方面要求高，是网络空间战的重点攻击目标。

目前，我国在工控系统网络安全技术研究以及产业发展等相关领域中处于快速发展阶段，工控系统安全防护能力和工控安全事件应急处置能力相对较差，安全风险很大，特别是某些重要行业的工控系统大量使用国外产品，安全性更加很难保证。因此，工控系统更容易成为为外部威胁进行渗透攻击的主要目标。

鉴于工控系统的安全性关系到国计民生，工控系统安全受到各行各业的普遍重视，有大量文献研究了工控系统的安全问题^[1-3]。工控系统安全建设应根据不同行业、同行业不同生产阶段、不同生产工艺的特点以及自身安全需求制定不同的安全建设方案。为此，本文聚焦于烟草行业工业互联网安全解决的研究、构建与应用。

1 烟草行业工控系统概况

1.1 烟草行业工控系统网络结构

烟草行业工控系统(以生产卷烟的各烟草公司为例)主要分布在各中烟公司及下属的各卷烟厂。各厂的工控系统按功能可分为制丝控制系统、卷包控制系统、物流（高架库）控制系统、动能控制系统等。烟草行业工控系统典型网络拓扑结构如图1所示。其中，制丝网网络结构如图2所示。

1.2 烟草行业工控系统的特点

烟草行业工控系统具有如下特点：

(1)系统信息化程度高，工艺流程先进，自动化技术水平走在国内制造业、国际烟草业前列。很多国际领先的自动化技术和工控网络技术(如PROFINET、Ethernet等)进入中国都是率先在烟草制造业中应用。但由于这些系统和技术来源于国外，其安全性难以把控，因此，这些先进技术的应用在巨大提升烟草企业生产力的同时也带来了极大的安全隐患。

(2)工控系统向智能化发展的需求迫切。随着“中国制造2025”的逐步推进，信息化和工业化深度融合，控制网、生产网、管理网、互联网互联互通成为常态，烟草制造生产网络的集成度越来越高。随着大数据技术、“互联网+”、人工智能的发展，烟草行业提出了“智能工厂”的新要求，这意味着需求、设计、采购、生产、物流等全方位的互联互通，各生产车间将采用统一的标准，各烟厂也将逐步实现生产线的互联互通，互联互通过程中将会越来越多地采用通用的硬件、通用的软件和通用协议。与此同时，工控系统的智能化发展和互联互通将使得信息安全问题更加突出，面临的信息安全威胁也将更加复杂。

(3)工控系统在设计之初只考虑了系统的简单性、可靠性、实时性、经济性以及系统的独立运行，而没有考虑到系统安全问题，这给工控系统的运行和维护带来巨大的安全隐患。

由上述分析可见：烟草行业工控系统的每一个特点都与相应的安全隐患相对应，因此，如何保障工控系统的安全运行已成为制约烟草行业加速信息化、智能化发展的主要课题和发展瓶颈。

2 烟草行业工控系统安全现状和面临的安全威胁

2.1 烟草行业工控系统安全防护现状

从防控技术来看，烟草行业工控系统信息安全体系结构可分为三层网络架构，分别为：设备层、监控层、管理层，关键链路和节点采用了冗余配置，从而保证了骨干网络传输的可靠性。部分生产网络的接入采用传统防火墙做隔离，汇聚层旁路部署了传统的入侵检测系统（IDS）和安全审计系统，部分上位机和工程师站部署了防病毒软件。

目前，烟草行业工控系统的安全防范严重不足，存在诸多安全短板，面临严峻的安全威胁^[4]，主要表现在：

(1)各生产网网络边界没有采用工业防火墙做隔离，传统防火墙不能有效识别工控协议(如ModBus、OPC协议等)。

(2)各生产车间之间存在数据交互(读写)，但缺乏有效的控制措施。

(3)生产网与办公网(或管理网)之间缺少有效的隔离措施(如工业防火墙或工业网闸)。

(4)由于生产网的特殊性(一般来说，从生产线的设计到使用需要15～30年，设计之初很少考虑网络安全问题)，生产网的上位机、工程师站、HMI、WinCC服务器大多采用Windows 2000或Windows XP操作系统，由于微软早就不再提供对这些系统的更新和维护，大量的系统漏洞无法修复，存在很大的安全隐患。

(5)各车间存在大量的无线网络，但这些网络往往采用弱密码口令，且没有开启认证管理功能。

(6)网络中暂时还未形成监管机制，无法做到对事前、事中、事后3个阶段的有效监控和管理预警，因此会延误发现安全问题的时机，影响业务顺利进行。

(7)现场操作人员安全意识不强，很多上位机、工程师站、HMI等采用了弱口令或共用账号和密码，导致权责不明，部分现场工控机USB口未被禁用或未采用监管措施。

(8)防病毒软件没有及时更新病毒库，不能有效防护最新的病毒和木马，导致多次感染蠕虫和勒索病毒。

(9)工控设备自身存在安全漏洞，生产线大量采用西门子产品，但由于该系列产品存在大量的漏洞，这些漏洞可被用于进行脚本攻击，从而改变操作指令，进而影响生产的正常进行。

(10)缺乏按照测评、风险评估、安全整改、安全加固、安全培训、安全托管、安全应急等一整套安全服务体系构建的网络安全整体解决方案。

(11)单位都制定了应急预案，也会定期进行应急演练，但是未针对在演练过程中发现的问题，及时进行应急预案修订，演练多流于形式。

(12)对供应商缺少保密协议的约束。

(13)安全管理组织机构不健全，安全责任未明确，缺少网络安全员岗位，缺乏资产和工控安全的相关管理制度。

(14)没有按照国家工控安全相关标准制定的安全体系。

2.2 工控系统防护体系存在的问题

从工控防护体系来看，目前使用最多的还是利用已有产品和技术^[5]的堆砌来构建工控安全防护系统，这个不难理解。但构建工控安全防护体系是一个复杂的系统工程，包含着产品、技术、服务、时间、资金等诸多因素，考虑到工控系统的多样性和复杂性，这种做法远不能满足客户需求。因此，传统安全防护思路不能用于解决工控安全问题^[6]。

市场上流行的另一种主流防护体系是以漏洞威胁为基础的工控防护体系。这种防护体系借鉴了传统安全防控理念，但是将其应用到工控安全防护上却存在如下问题：这是一个事后防御机制，依赖于对众多病毒、木马和异常行为的事先理解和定义。试想：当信息战的第一波攻击来临的时候谁能事先定义病毒、木马和威胁行为的特征？因此，在工控安全领域，这种防护体系只能用于在第一波攻击发生后，防范可能发生的同种或同类攻击。这足以说明构建基于纵深防御的安全防护体系的重要性。

还有一种热门的安全防护措施是建立保证工控安全的态势感知系统^[7]。这是建立智能化工控安全防御系统的一个基本前提，也是实现前述以漏洞威胁防护为基础的防护理论的前提，因为只有做到智能感知，才能真正实现快速认知、快速定义、快速反应、快速防护和快速应急。但要实现态势感知需要满足：大范围部署精密且精细的传感器，贴合实际的安全策略，大数据的收集整理和智能挖掘，资金支持和技术积累，并要充分理解相应的工艺流程和应用，这样才能构建较为理想的态势感知系统。显然，理想的态势感知系统在短期内尚难以实现。

综上所述，构建工控安全体系思路的发展趋势是：

(1)立体防护：按照资产的重要程度和风险等级划分安全域；利用授权准入、访问控制、通信加密等多种安全机制，从物理环境安全、网络和通信安全、设备和计算安全、应用和数据安全等多个维度来构建多重安全防线。

(2)监测预警^[8]：构建工控安全大数据平台和态势感知神经网络，实现快速感知、快速定位、快速定义、准确预警、快速溯源和快速应急。

(3)定制嵌入：根据用户的工控系统的实际情况和需求，定制工控系统安全防护解决方案，确定风控点和安全阈值后，将安全防护嵌入进工控应用系统。

(4)IoT融合：只有将整个企业乃至行业的信息系统和工控安全关联和整合，才能实现真正的安全大数据，实现真正意义上的态势感知；实现安全大数据的深度分析挖掘；实现安全的运维和应急。

(5)安全服务：安全服务是整个工控安全防护体系的主体和基线。工控安全服务包括安全测评、风险评估、安全咨询、安全加固、安全事件分析和研判、应急值守、安全高级专家在线支持等。

(6)国产化：只有实现工控系统和工控安全防护系统的国产化才能真正实现“自主可控”，因此，采用国产硬件、国产操作系统、国产安全应用构建工控系统和工控安全防护系统将是实现工控安全的必由之路。

3 烟草行业工控系统安全解决方案

3.1 工控安全防护体系概述

为解决上述问题，本文设计了一种融合IoT的工控信息安全防护体系，如图3所示。

该解决方案以基本防护为核心，构建多层、多维度的基础防线，实施区域重点防护；采用访问控制、准入控制、存储、传输加密、审计等技术作为辅助手段；以网络攻击、流量、漏洞以及内部存在的重点风险点和薄弱环节作为被监控的主要风险点；将传统安全与工控安全进行融合，建立工控安全大数据监控、预警、关联查询和数据挖掘系统，快速定位威胁来源。同时辅以按照等级保护、国家工信部工控安全防护指南的要求配套的工控安全管理运维和应急体系，最大限度地实现对关键基础设施的有效纵深防御，从而在“事前”和“事中”阶段消除安全威胁，将损失减少到最低。在方案的实施过程中，应以国产化的硬件、软件、技术体系和管理体系为基础。

3.2 方案特点

本文提出的方案具有如下特点：

(1)具备行业特性，贴合行业实际，嵌入到应用中，实用性强。

(2)基于基本的安全防控思想，辅以安全漏洞信息、威胁情报，监控重要风险点，可防范第一波ARP攻击。

(3)采用基于服务的感知监测管控体系，可及时感知到异常或未知威胁，快速分析和定位威胁、修补漏洞，迅速加固并启动应急预案，从而实现动态防护。

(4)将纵深防御策略贯穿于始终，实现分级、分防线策略，将安全嵌入到应用中，作为最后一道安全防线，将风险值降到最低。

(5)引入风控管理平台，将海量报警信息进行具体化和精细化，重点明确、针对性强、反应迅速、指向明确，可追根溯源，快速联动反应。

(6)将风控信息、综合报警信息、安全态势报告可视化，充分显示工控安全防控的过程和成果。

(7)融合安全大数据，可快速实现关联查询分析以及数据挖掘。

(8)将安全服务贯彻始终。

(9)将安全管理贯穿于整个过程。

(10)将国产化基因安全作为最终替代目标。

3.3 方案可行性与合规性

该IoT融合的综合安全解决方案已在某港口运行了4年，目前还在不断完善中。在此期间，基本工控安全防护配备了数十套工业防火墙和工业数据隔离交换设备、6套工业运维审计系统、近百套白名单软件、6套厂级工业监管日志平台、多套无人值守工业机房动环管理；配备了嵌入应用的加密传输、工业协议过滤、阻断、报警等应用系统；同时，配合使用了传统的负载均衡、高端防火墙、VPN、堡垒机、风控平台、日志挖掘平台，并对200多台服务器、众多终端安装白名单系统打了补丁；通过每年度、每季度、每月进行的监测、评估、整改、加固、应急、托管、高端专家咨询等安全服务，最终较好地防御住了永恒之蓝、勒索软件、挖矿程序、变种病毒和木马等的多次攻击，取得了良好的防控结果，保护了信息系统和工控系统的安全。因此，该方案具有较好的实施可行性和可靠性。

另外，该解决方案是参照工信部工控安全防护指南的要求^[9-10]构建的，完全符合工控安全要求。

3.4 方案先进性

该方案具有如下先进性：

(1)防御理念先进，该方案可实现多层次、多维度、多防线的基本纵深防御。

(2)该方案可实现由基础数据、基础传感器和基层安全设备分层构建的态势感知，反应灵敏、迅速真实。

(3)将风控管理、安全大数据分析挖掘、安全预警应急、安全检测、安全运维、安全管理等服务贯彻于始终。

(4)对烟草行业和其他行业中工控安全防护具有重大指导意义。

(5)符合与IoT融合发展的大趋势。

(6)可打造国产化的基因安全。

4 结论

在本文中，首先回顾了烟草行业工控系统的网络结构及其特点，然后分析了烟草行业工控系统安全的现状和工控系统面临的安全威胁，最后提出了烟草行业工控系统安全解决方案及其应用情况。本文提出的基于纵深防御的工控系统安全解决方案在烟草行业的应用表明，该方案理念先进、贴合实际、符合国标、重重布防、预警应急、基因安全、具备较强的可实施性，可为烟草行业的工业控制系统安全乃至信息安全提供有力的安全保障。

参考文献

[1] 魏钦志.工业控制系统安全现状及安全策略分析[J].信息安全与技术，2013(2)：23-26.

[2] 陶耀东，李宁，曾广圣.工业控制系统安全综述[J].计算机工程与应用，2016(13)：8-18.

[3] 崔艳娜，张红金，李继安.工业控制系统漏洞的统计及其分析研究[J].电子产品可靠性与环境试验，2018(6)：41-46.

[4] 白雪原.工控系统安全威胁及防护应用探讨[J].中国信息化，2018(5)：70-71.

[5] 李平，李程程.工业控制网络安全防御体系的关键技术研究[J].中国管理信息化，2019(1)：186-189.

[6] 于寅虎.不能用传统信息安全思路解决工控安全问题——专访北京威努特技术有限公司首席技术官黄敏[J].电子技术应用，2017(6)：1-2.

[7] 陶耀东，贾新桐.工业控制系统网络安全态势感知框架研究[J].信息技术与网络安全，2018(5)：3-6.

[8] 文雅玫，李建强，谢博，等.烟草行业工控系统安全监测与管控方案[J].自动化博览，2018(11)：66-68.

[9] 工业和信息化部.工业控制系统信息安全防护能力评估工作管理办法[OL].(2017-07-31)[2019-01-24].http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5761045/content.html.

[10] 工业和信息化部.工业控制系统信息安全防护指南[OL].(2016-10-17)[2019-01-24]. http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5346662/content.html.

作者信息: