1　煙草行業(yè)工控系統(tǒng)現(xiàn)狀

目前，煙草工業(yè)企業(yè)在以“工業(yè)化、數(shù)字化、智能化”為目標(biāo)的工業(yè)信息化建設(shè)應(yīng)用過程中，已經(jīng)取得了較好的成績，但是在工控系統(tǒng)的安全防護(hù)方面，基本上還是處于空白狀態(tài)。主要是由于在煙草工業(yè)企業(yè)中各工業(yè)控制子系統(tǒng)處于相對獨(dú)立的環(huán)境中，各子系統(tǒng)的安全問題一直以來也并沒有突顯出來；但是，隨著煙草工業(yè)企業(yè)的數(shù)字化、智能化技術(shù)的不斷發(fā)展及應(yīng)用，兩化融合高度集成協(xié)作的運(yùn)作模式要求煙草工業(yè)企業(yè)內(nèi)部各系統(tǒng)之間需要互聯(lián)互通，隨之工控系統(tǒng)安全問題也逐步突現(xiàn)出來^[1]。

在煙草工業(yè)企業(yè)中現(xiàn)有的工控系統(tǒng)都屬于生產(chǎn)管理網(wǎng)范疇，主要的工控系統(tǒng)包括制絲、卷包、動(dòng)能、物流四大工業(yè)控制子系統(tǒng)。由于生產(chǎn)網(wǎng)內(nèi)的各工業(yè)子系統(tǒng)與辦公網(wǎng)長期隔離封閉、獨(dú)立運(yùn)行的特點(diǎn)，造成了在安全管理建設(shè)方面的欠缺^[2]。大部分煙草工業(yè)企業(yè)還處于無安全布署的狀態(tài)，只考慮了系統(tǒng)的可用性，在工控系統(tǒng)安全上還停留在制度管理層面，工控系統(tǒng)在安全方面不具備更多的容錯(cuò)處理和安全防范能力。因此，工控系統(tǒng)的安全問題是各卷煙廠工業(yè)企業(yè)目前較為重要且迫切需要解決的問題。

2　煙草行業(yè)工控系統(tǒng)安全風(fēng)險(xiǎn)分析

工控系統(tǒng)作為煙草工業(yè)企業(yè)主要的核心應(yīng)用系統(tǒng)，目前主要存在的安全風(fēng)險(xiǎn)^[3]從圖1中可看出。

圖1 卷煙廠工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)示意圖

（1）辦公網(wǎng)與生產(chǎn)網(wǎng)之間未進(jìn)行有效安全隔離。大部分卷煙廠的生產(chǎn)網(wǎng)通過網(wǎng)絡(luò)對接的方式直接與辦公網(wǎng)進(jìn)行連接，中間并無針對工控系統(tǒng)的安全隔離與防護(hù)設(shè)備，而工控系統(tǒng)的脆弱性遠(yuǎn)遠(yuǎn)高于一般IT應(yīng)用系統(tǒng)。因此，生產(chǎn)網(wǎng)絡(luò)中的工控系統(tǒng)面臨著來自辦公網(wǎng)的非法訪問、病毒以及惡意代碼的攻擊。所以，生產(chǎn)網(wǎng)與辦公網(wǎng)的安全隔離是保證工控系統(tǒng)安全與穩(wěn)定的重要基礎(chǔ)。

（2）未進(jìn)行安全域的劃分與隔離。根據(jù)卷煙廠工控系統(tǒng)的特點(diǎn)，工控系統(tǒng)一般分生產(chǎn)執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設(shè)備層，而為了確保各個(gè)工控系統(tǒng)的安全性，應(yīng)該在生產(chǎn)網(wǎng)中進(jìn)行安全域的劃分，包括網(wǎng)絡(luò)安全管理域、過程監(jiān)控域和工業(yè)控制域等，但是，卷煙廠并沒有對各個(gè)安全域之間進(jìn)行安全邏輯隔離。存在著現(xiàn)場工控設(shè)備（例如：PLC、交換機(jī)等）面臨著來自生產(chǎn)網(wǎng)內(nèi)部的一些非法訪問控制。

（3）缺乏有效的網(wǎng)絡(luò)監(jiān)控和日志審計(jì)。大部分的卷煙廠工業(yè)控制系統(tǒng)中幾乎沒有網(wǎng)絡(luò)狀態(tài)監(jiān)控和操作日志行為審計(jì)。目前大部分服務(wù)器的管理員賬戶沒有改名，而是沿用默認(rèn)的系統(tǒng)用戶名Administrator，面臨默認(rèn)賬號被破解的風(fēng)險(xiǎn)。在日志安全方面，大部分服務(wù)器在日志審計(jì)方面都沒有比較完善的保障機(jī)制。

（4）工業(yè)控制協(xié)議的脆弱性。由于工業(yè)控制系統(tǒng)中使用的Modbus、S7、PROFINET、OPC等常用工控協(xié)議自身安全性不足，一旦遭受攻擊，很容易造成以上協(xié)議通訊過程中出現(xiàn)畸變報(bào)文、指令被篡改等，造成現(xiàn)場控制設(shè)備拒絕服務(wù)，可能會(huì)對工控系統(tǒng)帶來嚴(yán)重的后果與損失。

（5）主機(jī)及應(yīng)用軟件漏洞風(fēng)險(xiǎn)。卷煙廠工業(yè)控制系統(tǒng)的操作員站、工程師站、服務(wù)器及虛擬服務(wù)器等物理主機(jī)與虛擬主機(jī)基本上采用的都是Windows操作系統(tǒng)，監(jiān)控組態(tài)軟件、數(shù)據(jù)庫等應(yīng)用軟件主要采用的是SIEMENS、GE、施耐德電氣等工業(yè)自動(dòng)化主流廠商產(chǎn)品；由于卷煙廠工控系統(tǒng)運(yùn)行環(huán)境特點(diǎn)，致使工業(yè)控制系統(tǒng)主機(jī)操作系統(tǒng)、應(yīng)用軟件無法進(jìn)行補(bǔ)丁升級，即使可以進(jìn)行補(bǔ)丁升級，生產(chǎn)管理運(yùn)維人員為了保證生產(chǎn)的正常運(yùn)行，也不會(huì)輕易去對軟件補(bǔ)丁升級。這樣就會(huì)導(dǎo)致工業(yè)控制系統(tǒng)主機(jī)的防護(hù)能力非常脆弱，一旦遭受病毒、惡意代碼攻擊，很容易造成系統(tǒng)癱瘓。

（6）安全管理措施不健全，執(zhí)行力不強(qiáng)。目前，卷煙工業(yè)企業(yè)本身對各工控系統(tǒng)的日常管理維護(hù)能力較為有限，在日常工作中，常常需要原有系統(tǒng)集成的外部廠商工程技術(shù)人員對工控系統(tǒng)進(jìn)行遠(yuǎn)程操作維護(hù)，由于遠(yuǎn)程維護(hù)需要通過臨時(shí)開啟互聯(lián)網(wǎng)通道接入的方式，在外部廠商工程技術(shù)人員進(jìn)行遠(yuǎn)程運(yùn)維工作時(shí)，無法對其操作進(jìn)行有效的監(jiān)管和記錄，存在較大的安全隱患。同時(shí)，運(yùn)維人員在日常操作維護(hù)過程中沒有嚴(yán)格按照相關(guān)管理制度和措施進(jìn)行日常工作的維護(hù)運(yùn)行系統(tǒng)，經(jīng)常使用私人U盤等移動(dòng)存儲設(shè)備，給生產(chǎn)網(wǎng)絡(luò)及設(shè)備帶來了極大的安全隱患。

3　煙草行業(yè)工控安全技術(shù)防護(hù)方案

本著工控安全防護(hù)方案依據(jù)工控網(wǎng)絡(luò)安全“分級分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”為總體策略，以煙草行業(yè)工控安全依據(jù)的技術(shù)規(guī)范為主要依據(jù)，對煙草行業(yè)工控系統(tǒng)首先從工控系統(tǒng)的運(yùn)行環(huán)境上通過管理手段及技術(shù)措施對工控系統(tǒng)進(jìn)行整體加固，在通過對工控系統(tǒng)的網(wǎng)絡(luò)邊界隔離、分區(qū)分域防護(hù)、網(wǎng)絡(luò)流量監(jiān)測與審計(jì)、主機(jī)安全防護(hù)、安全運(yùn)維管理上進(jìn)行安全防護(hù)，形成如圖2、圖3所示的安全解決方案思路。

圖2 工控系統(tǒng)安全防護(hù)解決方案架構(gòu)圖

圖3 卷煙廠工控安全防護(hù)網(wǎng)絡(luò)架構(gòu)示意圖

3.1　網(wǎng)絡(luò)邊界隔離、分區(qū)分域防護(hù)

工業(yè)控制系統(tǒng)與廠級網(wǎng)絡(luò)（管理辦公網(wǎng)）之間缺少有效的安全隔離措施，同時(shí)，生產(chǎn)網(wǎng)絡(luò)內(nèi)部生產(chǎn)執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層等各區(qū)域之間也缺少有效的安全隔離措施；可能導(dǎo)致生產(chǎn)網(wǎng)工控系統(tǒng)受到來自廠級網(wǎng)絡(luò)的安全攻擊，以及生產(chǎn)網(wǎng)內(nèi)部監(jiān)控管理層對現(xiàn)場工控設(shè)備的非法訪問從而影響工控系統(tǒng)的正常工作。同樣，在一些大型卷煙廠中有多條制絲生產(chǎn)線，產(chǎn)線與產(chǎn)線之間的控制系統(tǒng)也缺少有效的安全隔離措施，一旦一條生產(chǎn)線遭受到病毒、惡意代碼的攻擊，病毒、惡意代碼也會(huì)很快蔓延到其它的生產(chǎn)線中，從而影響各個(gè)生產(chǎn)線的正常生產(chǎn)工作。根據(jù)縱向分層、橫向分區(qū)的原則，通過對生產(chǎn)網(wǎng)與廠級網(wǎng)絡(luò)之間，生產(chǎn)網(wǎng)內(nèi)部各區(qū)域之間之間以及生產(chǎn)線與生產(chǎn)線控制系統(tǒng)之家采取有效的安全隔離防護(hù)措施，在網(wǎng)絡(luò)邊界上加強(qiáng)防護(hù)，在各個(gè)區(qū)域及各生產(chǎn)線之間進(jìn)行有效的安全隔離，防止來自生產(chǎn)網(wǎng)外部及生產(chǎn)網(wǎng)內(nèi)部不同安全域間的未授權(quán)的非法訪問、攻擊等行為^[4]。

3.2　工控網(wǎng)絡(luò)審計(jì)

在生產(chǎn)網(wǎng)中的各安全區(qū)域的關(guān)鍵節(jié)點(diǎn)上對網(wǎng)絡(luò)流量、通信等行為進(jìn)行審計(jì)，以保證被觸發(fā)審計(jì)的事件存儲在審計(jì)系統(tǒng)內(nèi)，并且能夠根據(jù)存儲的記錄和操作者的權(quán)限進(jìn)行查詢、統(tǒng)計(jì)、管理、維護(hù)等操作，在必要時(shí)從記錄中提取所需要的資料。

在工控網(wǎng)絡(luò)中對網(wǎng)絡(luò)流量、通信等行為的審計(jì)就是收集并分析審計(jì)系統(tǒng)中的日志等數(shù)據(jù)，從而發(fā)現(xiàn)違反安全策略的行為，當(dāng)發(fā)生安全事故或者發(fā)生違反安全策略的行為之后，通過檢查、分析、比較審計(jì)系統(tǒng)中收集的數(shù)據(jù)，從中發(fā)現(xiàn)違反安全策略的行為。
在生產(chǎn)網(wǎng)中的各安全區(qū)域的關(guān)鍵節(jié)點(diǎn)上對網(wǎng)絡(luò)流量、通信等行為進(jìn)行審計(jì)，主要實(shí)現(xiàn)對攻擊、無流量的異常檢測，工控協(xié)議規(guī)約的檢測，重要操作行為、網(wǎng)絡(luò)會(huì)話的審計(jì)，原始告警報(bào)文的記錄，告警日志的審計(jì)等^[5]。

3.3　工控主機(jī)安全防護(hù)

通過對生產(chǎn)網(wǎng)工控系統(tǒng)的現(xiàn)場觸摸式工控機(jī)、工程師站、監(jiān)控計(jì)算機(jī)、服務(wù)器及虛擬服務(wù)器等主機(jī)系統(tǒng)進(jìn)行安全防護(hù)，實(shí)現(xiàn)對工控主機(jī)惡意代碼防護(hù)、外設(shè)端口的管理和操作系統(tǒng)的安全加固，全面提升工控主機(jī)安全防護(hù)能力^[6]。

針對生產(chǎn)網(wǎng)工控系統(tǒng)的現(xiàn)場觸摸式工控機(jī)、工程師站、監(jiān)控計(jì)算機(jī)、服務(wù)器及虛擬服務(wù)器等工業(yè)物理主機(jī)與虛擬主機(jī)采用“白名單”機(jī)制對主機(jī)操作系統(tǒng)進(jìn)行安全防護(hù)?！鞍酌麊巍睓C(jī)制即是為主機(jī)的操作系統(tǒng)建立一個(gè)輕量級的“白環(huán)境”，真正顛覆了傳統(tǒng)防病毒的“黑名單”思想，可以有效阻止包括震網(wǎng)病毒、Flame、Havex、BlackEnergy等在內(nèi)的工控惡意程序或代碼在工控主機(jī)上的感染、執(zhí)行和擴(kuò)散；同時(shí)，采用“白名單”機(jī)制還可以通過對底層驅(qū)動(dòng)的接管，對工控主機(jī)外設(shè)端口進(jìn)行管控，避免控制系統(tǒng)因移動(dòng)存儲介質(zhì)的隨意使用感染惡意代碼，或引起關(guān)鍵信息的擴(kuò)散。通過對用戶口令、進(jìn)程、端口等進(jìn)行統(tǒng)一管理，提升操作系統(tǒng)的安全防護(hù)能力。

3.4　工控入侵檢測
為及時(shí)的檢測和發(fā)現(xiàn)工控系統(tǒng)中的入侵行為，需要對生產(chǎn)網(wǎng)與廠級網(wǎng)絡(luò)邊界處交換機(jī)上的所有實(shí)時(shí)傳輸數(shù)據(jù)進(jìn)行監(jiān)視，通過對網(wǎng)絡(luò)中的協(xié)議狀態(tài)檢查和智能關(guān)聯(lián)分析，為控制系統(tǒng)提供全面的信息展現(xiàn)和安全預(yù)警，為改善用戶網(wǎng)絡(luò)的風(fēng)險(xiǎn)控制環(huán)境提供決策依據(jù)，入侵檢測是網(wǎng)絡(luò)邊界隔離防護(hù)的合理補(bǔ)充，主要是對網(wǎng)絡(luò)中協(xié)議的識別、入侵行為的檢測、安全策略的管理、日志及告警的管理、系統(tǒng)及系統(tǒng)數(shù)據(jù)的管理等，進(jìn)一步完善了對卷煙廠工控系統(tǒng)的安全管理能力^[7]。

3.5　工控安全運(yùn)維管理

工控安全運(yùn)維管理即：實(shí)現(xiàn)對工業(yè)現(xiàn)場主機(jī)等設(shè)備的運(yùn)維操作行為的管控和審計(jì)，在工業(yè)控制系統(tǒng)的安全運(yùn)維管理是集用戶（Account）管理、授權(quán)（Authorization）管理、認(rèn)證（Authentication）管理和綜合審計(jì)（Audit）于一體的集中安全運(yùn)維及管理。

在卷煙廠通過對工控系統(tǒng)的集中安全運(yùn)維管理，可以減少工控系統(tǒng)維護(hù)工作量；同時(shí)能夠?yàn)榫頍煆S提供全面的用戶和資源管理，減少卷煙廠的維護(hù)成本；能夠幫助卷煙廠制定嚴(yán)格的資源訪問策略，并且采用強(qiáng)身份認(rèn)證手段，全面保障系統(tǒng)資源的安全；能夠詳細(xì)記錄用戶對資源的訪問及操作，滿足對用戶行為審計(jì)的需求。

通過對工控系統(tǒng)的主機(jī)等設(shè)備進(jìn)行安全運(yùn)維管理實(shí)現(xiàn)對集中的賬號管理、訪問控制、安全審計(jì)、違規(guī)操作的告警與阻斷以及實(shí)時(shí)操作的全過程監(jiān)控等^[8]。

3.6　統(tǒng)一安全管理

統(tǒng)一的安全管理即實(shí)現(xiàn)生產(chǎn)網(wǎng)工控系統(tǒng)的安全策略統(tǒng)一配置及下發(fā)、日志收集等。通過對卷煙廠工控網(wǎng)絡(luò)中的邊界隔離、網(wǎng)絡(luò)監(jiān)測審計(jì)、工控主機(jī)安全防護(hù)等安全防護(hù)措施進(jìn)行集中配置管理，實(shí)現(xiàn)對工控網(wǎng)絡(luò)中各安全防護(hù)策略、系統(tǒng)及主機(jī)的統(tǒng)一配置、全面監(jiān)控、實(shí)時(shí)告警、流量分析等，降低運(yùn)維成本、提高事件響應(yīng)效率，通過統(tǒng)一的安全管理，可真正實(shí)現(xiàn)安全技術(shù)和安全管理的結(jié)合，全面提升控制系統(tǒng)的信息安全保障能力。

4　總結(jié)

綜上所述，煙草行業(yè)工業(yè)控制系統(tǒng)中所存在的安全風(fēng)險(xiǎn)和威脅有其行業(yè)特點(diǎn)，隨著工業(yè)控制系統(tǒng)中所暴露出來的安全性問題越來越多，影響越來越大，我們應(yīng)該重視其安全危害可能造成的社會(huì)經(jīng)濟(jì)、政治等方面的影響。目前，我們在煙草行業(yè)工控系統(tǒng)中的安全防護(hù)水平還處于初級階段水平，還需要在吸收和借鑒國外先進(jìn)技術(shù)和理念的基礎(chǔ)上探索出符合自身發(fā)展特點(diǎn)的工業(yè)控制系統(tǒng)安全防護(hù)措施和解決方案。

參考文獻(xiàn)：

[1] 田芳, 趙光輝. 中國智能制造實(shí)證研究：以煙草產(chǎn)業(yè)為例[J]. 中國市場, 2018 ( 19 ).

[2] 李光朋. 工業(yè)控制系統(tǒng)信息安全建設(shè)思路[J]. 自動(dòng)化博覽, 2015 ( 10 ) : 62 - 66.

[3] 耿欣. 煙草企業(yè)工業(yè)控制系統(tǒng)安全保障體系研究[J]. 信息網(wǎng)絡(luò)安全, 2017 ( 9 ) : 34 - 37.

[4] 顧碩. 加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理[J]. 自動(dòng)化博覽, 2013 ( 11 ).

[5] 高倩. 基于ZigBee的油氣生產(chǎn)物聯(lián)網(wǎng)安全通信系統(tǒng)關(guān)鍵技術(shù)研究[D]. 蘭州理工大學(xué), 2014.

[6] 張坤. 可信計(jì)算技術(shù)下的工控安全防護(hù)思路[J]. 電子技術(shù)與軟件工程, 2017 ( 21 ) : 196 - 196.

[7] 王中杰. 工業(yè)控制系統(tǒng)入侵檢測關(guān)鍵技術(shù)研究與實(shí)現(xiàn)[D]. 中國科學(xué)院大學(xué), 2016.

[8] 魏欽志.“PDCA”在工控安全運(yùn)維管理中的應(yīng)用(上)[J]. 自動(dòng)化博覽, 2017 ( 9 ) : 66 - 70.

作者簡介

王德吉，男，博士后，博士生導(dǎo)師，現(xiàn)任中國煙草總公司職工進(jìn)修學(xué)院首席培訓(xùn)師。第六屆全國煙草行業(yè)勞動(dòng)模范，全國煙草行業(yè)“十一五”教育培訓(xùn)工作優(yōu)秀教師，河南煙草系統(tǒng)第二屆感動(dòng)人物提名獎(jiǎng)，國家職業(yè)技能鑒定高級考評員，國家局教材委員會(huì)委員，兼任工業(yè)物流自動(dòng)化河南省工程實(shí)驗(yàn)室主任，中科院博導(dǎo)，清華大學(xué)、湖南農(nóng)業(yè)大學(xué)兼職碩導(dǎo)，IFAC委員、國際工程師協(xié)會(huì)委員，中科院高級訪問學(xué)者，自動(dòng)化學(xué)會(huì)委員，中科協(xié)創(chuàng)新專家，西門子專家，鄭州大學(xué)兼職教授，管道安全國家工程實(shí)驗(yàn)室特聘專家，TC124國家標(biāo)準(zhǔn)化委員會(huì)委員。主持國家級項(xiàng)目3項(xiàng)目和省部級科研項(xiàng)目19項(xiàng)。獲得省部級獎(jiǎng)項(xiàng)10項(xiàng)（一等獎(jiǎng)1項(xiàng)，二等獎(jiǎng)2項(xiàng)，三等獎(jiǎng)7項(xiàng)），省部級教學(xué)獎(jiǎng)50項(xiàng)。正式發(fā)表論文52篇，其中SCI、EI檢索23篇。申報(bào)發(fā)明專利19項(xiàng)，獲7項(xiàng)發(fā)明專利，19項(xiàng)實(shí)用新型專利，出版著作7本，獲軟件著作權(quán)12項(xiàng)。編寫國家標(biāo)準(zhǔn)16項(xiàng)、行業(yè)標(biāo)準(zhǔn)3項(xiàng)。

摘自《工業(yè)控制系統(tǒng)信息安全?？ǖ谖遢嫞?/span>