随着烟草行业工业化和信息化水平的不断发展及提高,卷烟厂作为生产制造核心的烟草工业企业,在日常的生产过程管理及控制中大量应用了信息化和自动化相结合的工控系统,随之带来的是工控系统的安全稳定运行将直接关系到整个生产过程的正常与否。本文将从烟草工业控制系统实际面临的威胁出发,对烟草工业控制系统中可能遇到的威胁进行分析,并提出合理、有效的安全防护思路,希望能为烟草行业工控安全发展提供一些新的发展思路和方向。
1烟草行业工控系统现状
目前,烟草工业企业在以“工业化、数字化、智能化”为目标的工业信息化建设应用过程中,已经取得了较好的成绩,但是在工控系统的安全防护方面,基本上还是处于空白状态。主要是由于在烟草工业企业中各工业控制子系统处于相对独立的环境中,各子系统的安全问题一直以来也并没有突显出来;但是,随着烟草工业企业的数字化、智能化技术的不断发展及应用,两化融合高度集成协作的运作模式要求烟草工业企业内部各系统之间需要互联互通,随之工控系统安全问题也逐步突现出来[1]。
在烟草工业企业中现有的工控系统都属于生产管理网范畴,主要的工控系统包括制丝、卷包、动能、物流四大工业控制子系统。由于生产网内的各工业子系统与办公网长期隔离封闭、独立运行的特点,造成了在安全管理建设方面的欠缺[2]。大部分烟草工业企业还处于无安全布署的状态,只考虑了系统的可用性,在工控系统安全上还停留在制度管理层面,工控系统在安全方面不具备更多的容错处理和安全防范能力。因此,工控系统的安全问题是各卷烟厂工业企业目前较为重要且迫切需要解决的问题。
2烟草行业工控系统安全风险分析
工控系统作为烟草工业企业主要的核心应用系统,目前主要存在的安全风险[3]从图1中可看出。
图1卷烟厂工控系统网络架构示意图
(1)办公网与生产网之间未进行有效安全隔离。大部分卷烟厂的生产网通过网络对接的方式直接与办公网进行连接,中间并无针对工控系统的安全隔离与防护设备,而工控系统的脆弱性远远高于一般IT应用系统。因此,生产网络中的工控系统面临着来自办公网的非法访问、病毒以及恶意代码的攻击。所以,生产网与办公网的安全隔离是保证工控系统安全与稳定的重要基础。
(2)未进行安全域的划分与隔离。根据卷烟厂工控系统的特点,工控系统一般分生产执行层、过程监控层、现场控制层、现场设备层,而为了确保各个工控系统的安全性,应该在生产网中进行安全域的划分,包括网络安全管理域、过程监控域和工业控制域等,但是,卷烟厂并没有对各个安全域之间进行安全逻辑隔离。存在着现场工控设备(例如:PLC、交换机等)面临着来自生产网内部的一些非法访问控制。
(3)缺乏有效的网络监控和日志审计。大部分的卷烟厂工业控制系统中几乎没有网络状态监控和操作日志行为审计。目前大部分服务器的管理员账户没有改名,而是沿用默认的系统用户名Administrator,面临默认账号被破解的风险。在日志安全方面,大部分服务器在日志审计方面都没有比较完善的保障机制。
(4)工业控制协议的脆弱性。由于工业控制系统中使用的Modbus、S7、PROFINET、OPC等常用工控协议自身安全性不足,一旦遭受攻击,很容易造成以上协议通讯过程中出现畸变报文、指令被篡改等,造成现场控制设备拒绝服务,可能会对工控系统带来严重的后果与损失。
(5)主机及应用软件漏洞风险。卷烟厂工业控制系统的操作员站、工程师站、服务器及虚拟服务器等物理主机与虚拟主机基本上采用的都是Windows操作系统,监控组态软件、数据库等应用软件主要采用的是SIEMENS、GE、施耐德电气等工业自动化主流厂商产品;由于卷烟厂工控系统运行环境特点,致使工业控制系统主机操作系统、应用软件无法进行补丁升级,即使可以进行补丁升级,生产管理运维人员为了保证生产的正常运行,也不会轻易去对软件补丁升级。这样就会导致工业控制系统主机的防护能力非常脆弱,一旦遭受病毒、恶意代码攻击,很容易造成系统瘫痪。
3烟草行业工控安全技术防护方案
本着工控安全防护方案依据工控网络安全“分级分域、整体保护、积极预防、动态管理”为总体策略,以烟草行业工控安全依据的技术规范为主要依据,对烟草行业工控系统首先从工控系统的运行环境上通过管理手段及技术措施对工控系统进行整体加固,在通过对工控系统的网络边界隔离、分区分域防护、网络流量监测与审计、主机安全防护、安全运维管理上进行安全防护,形成如图2、图3所示的安全解决方案思路。
图2工控系统安全防护解决方案架构图
图3卷烟厂工控安全防护网络架构示意图
3.1网络边界隔离、分区分域防护
3.2工控网络审计
在生产网中的各安全区域的关键节点上对网络流量、通信等行为进行审计,以保证被触发审计的事件存储在审计系统内,并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作,在必要时从记录中提取所需要的资料。
在工控网络中对网络流量、通信等行为的审计就是收集并分析审计系统中的日志等数据,从而发现违反安全策略的行为,当发生安全事故或者发生违反安全策略的行为之后,通过检查、分析、比较审计系统中收集的数据,从中发现违反安全策略的行为。
在生产网中的各安全区域的关键节点上对网络流量、通信等行为进行审计,主要实现对攻击、无流量的异常检测,工控协议规约的检测,重要操作行为、网络会话的审计,原始告警报文的记录,告警日志的审计等[5]。
3.3工控主机安全防护
通过对生产网工控系统的现场触摸式工控机、工程师站、监控计算机、服务器及虚拟服务器等主机系统进行安全防护,实现对工控主机恶意代码防护、外设端口的管理和操作系统的安全加固,全面提升工控主机安全防护能力[6]。
针对生产网工控系统的现场触摸式工控机、工程师站、监控计算机、服务器及虚拟服务器等工业物理主机与虚拟主机采用“白名单”机制对主机操作系统进行安全防护。“白名单”机制即是为主机的操作系统建立一个轻量级的“白环境”,真正颠覆了传统防病毒的“黑名单”思想,可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散;同时,采用“白名单”机制还可以通过对底层驱动的接管,对工控主机外设端口进行管控,避免控制系统因移动存储介质的随意使用感染恶意代码,或引起关键信息的扩散。通过对用户口令、进程、端口等进行统一管理,提升操作系统的安全防护能力。
3.4工控入侵检测
为及时的检测和发现工控系统中的入侵行为,需要对生产网与厂级网络边界处交换机上的所有实时传输数据进行监视,通过对网络中的协议状态检查和智能关联分析,为控制系统提供全面的信息展现和安全预警,为改善用户网络的风险控制环境提供决策依据,入侵检测是网络边界隔离防护的合理补充,主要是对网络中协议的识别、入侵行为的检测、安全策略的管理、日志及告警的管理、系统及系统数据的管理等,进一步完善了对卷烟厂工控系统的安全管理能力[7]。
3.5工控安全运维管理
在卷烟厂通过对工控系统的集中安全运维管理,可以减少工控系统维护工作量;同时能够为卷烟厂提供全面的用户和资源管理,减少卷烟厂的维护成本;能够帮助卷烟厂制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源的安全;能够详细记录用户对资源的访问及操作,满足对用户行为审计的需求。
通过对工控系统的主机等设备进行安全运维管理实现对集中的账号管理、访问控制、安全审计、违规操作的告警与阻断以及实时操作的全过程监控等[8]。
3.6统一安全管理
统一的安全管理即实现生产网工控系统的安全策略统一配置及下发、日志收集等。通过对卷烟厂工控网络中的边界隔离、网络监测审计、工控主机安全防护等安全防护措施进行集中配置管理,实现对工控网络中各安全防护策略、系统及主机的统一配置、全面监控、实时告警、流量分析等,降低运维成本、提高事件响应效率,通过统一的安全管理,可真正实现安全技术和安全管理的结合,全面提升控制系统的信息安全保障能力。
4总结
综上所述,烟草行业工业控制系统中所存在的安全风险和威胁有其行业特点,随着工业控制系统中所暴露出来的安全性问题越来越多,影响越来越大,我们应该重视其安全危害可能造成的社会经济、政治等方面的影响。目前,我们在烟草行业工控系统中的安全防护水平还处于初级阶段水平,还需要在吸收和借鉴国外先进技术和理念的基础上探索出符合自身发展特点的工业控制系统安全防护措施和解决方案。
作者简介
王德吉,男,博士后,博士生导师,现任中国烟草总公司职工进修学院首席培训师。第六届全国烟草行业劳动模范,全国烟草行业“十一五”教育培训工作优秀教师,河南烟草系统第二届感动人物提名奖,国家职业技能鉴定高级考评员,国家局教材委员会委员,兼任工业物流自动化河南省工程实验室主任,中科院博导,清华大学、湖南农业大学兼职硕导,IFAC委员、国际工程师协会委员,中科院高级访问学者,自动化学会委员,中科协创新专家,西门子专家,郑州大学兼职教授,管道安全国家工程实验室特聘专家,TC124国家标准化委员会委员。主持国家级项目3项目和省部级科研项目19项。获得省部级奖项10项(一等奖1项,二等奖2项,三等奖7项),省部级教学奖50项。正式发表论文52篇,其中SCI、EI检索23篇。申报发明专利19项,获7项发明专利,19项实用新型专利,出版著作7本,获软件著作权12项。编写国家标准16项、行业标准3项。
摘自《自动化博览》2018工业控制系统信息安全专刊(第五辑)