0 引言

    工業控制系統（以下簡稱“工控系統”）是國家基礎設施重要組成部分，是工業基礎設施的核心，被廣泛應用于航天、軍工、智能制造、煉油、化工、電力、電網、水廠、交通、水利、煙草、公用事業等領域，系統不僅生命周期長，而且在可用性和實時性方面要求高，是網絡空間戰的重點攻擊目標。

    目前，我國在工控系統網絡安全技術研究以及產業發展等相關領域中處于快速發展階段，工控系統安全防護能力和工控安全事件應急處置能力相對較差，安全風險很大，特別是某些重要行業的工控系統大量使用國外產品，安全性更加很難保證。因此，工控系統更容易成為為外部威脅進行滲透攻擊的主要目標。

    鑒于工控系統的安全性關系到國計民生，工控系統安全受到各行各業的普遍重視，有大量文獻研究了工控系統的安全問題^[1-3]。工控系統安全建設應根據不同行業、同行業不同生產階段、不同生產工藝的特點以及自身安全需求制定不同的安全建設方案。為此，本文聚焦于煙草行業工業互聯網安全解決的研究、構建與應用。

1 煙草行業工控系統概況

1.1 煙草行業工控系統網絡結構

    煙草行業工控系統(以生產卷煙的各煙草公司為例)主要分布在各中煙公司及下屬的各卷煙廠。各廠的工控系統按功能可分為制絲控制系統、卷包控制系統、物流（高架庫）控制系統、動能控制系統等。煙草行業工控系統典型網絡拓撲結構如圖1所示。其中，制絲網網絡結構如圖2所示。

1.2 煙草行業工控系統的特點

    煙草行業工控系統具有如下特點：

    (1)系統信息化程度高，工藝流程先進，自動化技術水平走在國內制造業、國際煙草業前列。很多國際領先的自動化技術和工控網絡技術(如PROFINET、Ethernet等)進入中國都是率先在煙草制造業中應用。但由于這些系統和技術來源于國外，其安全性難以把控，因此，這些先進技術的應用在巨大提升煙草企業生產力的同時也帶來了極大的安全隱患。

    (2)工控系統向智能化發展的需求迫切。隨著“中國制造2025”的逐步推進，信息化和工業化深度融合，控制網、生產網、管理網、互聯網互聯互通成為常態，煙草制造生產網絡的集成度越來越高。隨著大數據技術、“互聯網+”、人工智能的發展，煙草行業提出了“智能工廠”的新要求，這意味著需求、設計、采購、生產、物流等全方位的互聯互通，各生產車間將采用統一的標準，各煙廠也將逐步實現生產線的互聯互通，互聯互通過程中將會越來越多地采用通用的硬件、通用的軟件和通用協議。與此同時，工控系統的智能化發展和互聯互通將使得信息安全問題更加突出，面臨的信息安全威脅也將更加復雜。

    (3)工控系統在設計之初只考慮了系統的簡單性、可靠性、實時性、經濟性以及系統的獨立運行，而沒有考慮到系統安全問題，這給工控系統的運行和維護帶來巨大的安全隱患。

    由上述分析可見：煙草行業工控系統的每一個特點都與相應的安全隱患相對應，因此，如何保障工控系統的安全運行已成為制約煙草行業加速信息化、智能化發展的主要課題和發展瓶頸。

2 煙草行業工控系統安全現狀和面臨的安全威脅

2.1 煙草行業工控系統安全防護現狀

    從防控技術來看，煙草行業工控系統信息安全體系結構可分為三層網絡架構，分別為：設備層、監控層、管理層，關鍵鏈路和節點采用了冗余配置，從而保證了骨干網絡傳輸的可靠性。部分生產網絡的接入采用傳統防火墻做隔離，匯聚層旁路部署了傳統的入侵檢測系統（IDS）和安全審計系統，部分上位機和工程師站部署了防病毒軟件。

    目前，煙草行業工控系統的安全防范嚴重不足，存在諸多安全短板，面臨嚴峻的安全威脅^[4]，主要表現在：

    (1)各生產網網絡邊界沒有采用工業防火墻做隔離，傳統防火墻不能有效識別工控協議(如ModBus、OPC協議等)。

    (2)各生產車間之間存在數據交互(讀寫)，但缺乏有效的控制措施。

    (3)生產網與辦公網(或管理網)之間缺少有效的隔離措施(如工業防火墻或工業網閘)。

    (4)由于生產網的特殊性(一般來說，從生產線的設計到使用需要15～30年，設計之初很少考慮網絡安全問題)，生產網的上位機、工程師站、HMI、WinCC服務器大多采用Windows 2000或Windows XP操作系統，由于微軟早就不再提供對這些系統的更新和維護，大量的系統漏洞無法修復，存在很大的安全隱患。

    (5)各車間存在大量的無線網絡，但這些網絡往往采用弱密碼口令，且沒有開啟認證管理功能。

    (6)網絡中暫時還未形成監管機制，無法做到對事前、事中、事后3個階段的有效監控和管理預警，因此會延誤發現安全問題的時機，影響業務順利進行。

    (7)現場操作人員安全意識不強，很多上位機、工程師站、HMI等采用了弱口令或共用賬號和密碼，導致權責不明，部分現場工控機USB口未被禁用或未采用監管措施。

    (8)防病毒軟件沒有及時更新病毒庫，不能有效防護最新的病毒和木馬，導致多次感染蠕蟲和勒索病毒。

    (9)工控設備自身存在安全漏洞，生產線大量采用西門子產品，但由于該系列產品存在大量的漏洞，這些漏洞可被用于進行腳本攻擊，從而改變操作指令，進而影響生產的正常進行。

    (10)缺乏按照測評、風險評估、安全整改、安全加固、安全培訓、安全托管、安全應急等一整套安全服務體系構建的網絡安全整體解決方案。

    (11)單位都制定了應急預案，也會定期進行應急演練，但是未針對在演練過程中發現的問題，及時進行應急預案修訂，演練多流于形式。

    (12)對供應商缺少保密協議的約束。

    (13)安全管理組織機構不健全，安全責任未明確，缺少網絡安全員崗位，缺乏資產和工控安全的相關管理制度。

    (14)沒有按照國家工控安全相關標準制定的安全體系。

2.2 工控系統防護體系存在的問題

    從工控防護體系來看，目前使用最多的還是利用已有產品和技術^[5]的堆砌來構建工控安全防護系統，這個不難理解。但構建工控安全防護體系是一個復雜的系統工程，包含著產品、技術、服務、時間、資金等諸多因素，考慮到工控系統的多樣性和復雜性，這種做法遠不能滿足客戶需求。因此，傳統安全防護思路不能用于解決工控安全問題^[6]。

    市場上流行的另一種主流防護體系是以漏洞威脅為基礎的工控防護體系。這種防護體系借鑒了傳統安全防控理念，但是將其應用到工控安全防護上卻存在如下問題：這是一個事后防御機制，依賴于對眾多病毒、木馬和異常行為的事先理解和定義。試想：當信息戰的第一波攻擊來臨的時候誰能事先定義病毒、木馬和威脅行為的特征？因此，在工控安全領域，這種防護體系只能用于在第一波攻擊發生后，防范可能發生的同種或同類攻擊。這足以說明構建基于縱深防御的安全防護體系的重要性。

    還有一種熱門的安全防護措施是建立保證工控安全的態勢感知系統^[7]。這是建立智能化工控安全防御系統的一個基本前提，也是實現前述以漏洞威脅防護為基礎的防護理論的前提，因為只有做到智能感知，才能真正實現快速認知、快速定義、快速反應、快速防護和快速應急。但要實現態勢感知需要滿足：大范圍部署精密且精細的傳感器，貼合實際的安全策略，大數據的收集整理和智能挖掘，資金支持和技術積累，并要充分理解相應的工藝流程和應用，這樣才能構建較為理想的態勢感知系統。顯然，理想的態勢感知系統在短期內尚難以實現。

    綜上所述，構建工控安全體系思路的發展趨勢是：

    (1)立體防護：按照資產的重要程度和風險等級劃分安全域；利用授權準入、訪問控制、通信加密等多種安全機制，從物理環境安全、網絡和通信安全、設備和計算安全、應用和數據安全等多個維度來構建多重安全防線。

    (2)監測預警^[8]：構建工控安全大數據平臺和態勢感知神經網絡，實現快速感知、快速定位、快速定義、準確預警、快速溯源和快速應急。

    (3)定制嵌入：根據用戶的工控系統的實際情況和需求，定制工控系統安全防護解決方案，確定風控點和安全閾值后，將安全防護嵌入進工控應用系統。

    (4)IoT融合：只有將整個企業乃至行業的信息系統和工控安全關聯和整合，才能實現真正的安全大數據，實現真正意義上的態勢感知；實現安全大數據的深度分析挖掘；實現安全的運維和應急。

    (5)安全服務：安全服務是整個工控安全防護體系的主體和基線。工控安全服務包括安全測評、風險評估、安全咨詢、安全加固、安全事件分析和研判、應急值守、安全高級專家在線支持等。

    (6)國產化：只有實現工控系統和工控安全防護系統的國產化才能真正實現“自主可控”，因此，采用國產硬件、國產操作系統、國產安全應用構建工控系統和工控安全防護系統將是實現工控安全的必由之路。

3 煙草行業工控系統安全解決方案

3.1 工控安全防護體系概述

    為解決上述問題，本文設計了一種融合IoT的工控信息安全防護體系，如圖3所示。

    該解決方案以基本防護為核心，構建多層、多維度的基礎防線，實施區域重點防護；采用訪問控制、準入控制、存儲、傳輸加密、審計等技術作為輔助手段；以網絡攻擊、流量、漏洞以及內部存在的重點風險點和薄弱環節作為被監控的主要風險點；將傳統安全與工控安全進行融合，建立工控安全大數據監控、預警、關聯查詢和數據挖掘系統，快速定位威脅來源。同時輔以按照等級保護、國家工信部工控安全防護指南的要求配套的工控安全管理運維和應急體系，最大限度地實現對關鍵基礎設施的有效縱深防御，從而在“事前”和“事中”階段消除安全威脅，將損失減少到最低。在方案的實施過程中，應以國產化的硬件、軟件、技術體系和管理體系為基礎。

3.2 方案特點

    本文提出的方案具有如下特點：

    (1)具備行業特性，貼合行業實際，嵌入到應用中，實用性強。

    (2)基于基本的安全防控思想，輔以安全漏洞信息、威脅情報，監控重要風險點，可防范第一波ARP攻擊。

    (3)采用基于服務的感知監測管控體系，可及時感知到異常或未知威脅，快速分析和定位威脅、修補漏洞，迅速加固并啟動應急預案，從而實現動態防護。

    (4)將縱深防御策略貫穿于始終，實現分級、分防線策略，將安全嵌入到應用中，作為最后一道安全防線，將風險值降到最低。

    (5)引入風控管理平臺，將海量報警信息進行具體化和精細化，重點明確、針對性強、反應迅速、指向明確，可追根溯源，快速聯動反應。

    (6)將風控信息、綜合報警信息、安全態勢報告可視化，充分顯示工控安全防控的過程和成果。

    (7)融合安全大數據，可快速實現關聯查詢分析以及數據挖掘。

    (8)將安全服務貫徹始終。

    (9)將安全管理貫穿于整個過程。

    (10)將國產化基因安全作為最終替代目標。

3.3 方案可行性與合規性

    該IoT融合的綜合安全解決方案已在某港口運行了4年，目前還在不斷完善中。在此期間，基本工控安全防護配備了數十套工業防火墻和工業數據隔離交換設備、6套工業運維審計系統、近百套白名單軟件、6套廠級工業監管日志平臺、多套無人值守工業機房動環管理；配備了嵌入應用的加密傳輸、工業協議過濾、阻斷、報警等應用系統；同時，配合使用了傳統的負載均衡、高端防火墻、VPN、堡壘機、風控平臺、日志挖掘平臺，并對200多臺服務器、眾多終端安裝白名單系統打了補丁；通過每年度、每季度、每月進行的監測、評估、整改、加固、應急、托管、高端專家咨詢等安全服務，最終較好地防御住了永恒之藍、勒索軟件、挖礦程序、變種病毒和木馬等的多次攻擊，取得了良好的防控結果，保護了信息系統和工控系統的安全。因此，該方案具有較好的實施可行性和可靠性。

    另外，該解決方案是參照工信部工控安全防護指南的要求^[9-10]構建的，完全符合工控安全要求。

3.4 方案先進性

    該方案具有如下先進性：

    (1)防御理念先進，該方案可實現多層次、多維度、多防線的基本縱深防御。

    (2)該方案可實現由基礎數據、基礎傳感器和基層安全設備分層構建的態勢感知，反應靈敏、迅速真實。

    (3)將風控管理、安全大數據分析挖掘、安全預警應急、安全檢測、安全運維、安全管理等服務貫徹于始終。

    (4)對煙草行業和其他行業中工控安全防護具有重大指導意義。

    (5)符合與IoT融合發展的大趨勢。

    (6)可打造國產化的基因安全。

4 結論

    在本文中，首先回顧了煙草行業工控系統的網絡結構及其特點，然后分析了煙草行業工控系統安全的現狀和工控系統面臨的安全威脅，最后提出了煙草行業工控系統安全解決方案及其應用情況。本文提出的基于縱深防御的工控系統安全解決方案在煙草行業的應用表明，該方案理念先進、貼合實際、符合國標、重重布防、預警應急、基因安全、具備較強的可實施性，可為煙草行業的工業控制系統安全乃至信息安全提供有力的安全保障。

參考文獻

[1] 魏欽志.工業控制系統安全現狀及安全策略分析[J].信息安全與技術，2013(2)：23-26.

[2] 陶耀東，李寧，曾廣圣.工業控制系統安全綜述[J].計算機工程與應用，2016(13)：8-18.

[3] 崔艷娜，張紅金，李繼安.工業控制系統漏洞的統計及其分析研究[J].電子產品可靠性與環境試驗，2018(6)：41-46.

[4] 白雪原.工控系統安全威脅及防護應用探討[J].中國信息化，2018(5)：70-71.

[5] 李平，李程程.工業控制網絡安全防御體系的關鍵技術研究[J].中國管理信息化，2019(1)：186-189.

[6] 于寅虎.不能用傳統信息安全思路解決工控安全問題——專訪北京威努特技術有限公司首席技術官 黃敏[J].電子技術應用，2017(6)：1-2.

[7] 陶耀東，賈新桐.工業控制系統網絡安全態勢感知框架研究[J].信息技術與網絡安全，2018(5)：3-6.

[8] 文雅玫，李建強，謝博，等.煙草行業工控系統安全監測與管控方案[J].自動化博覽，2018(11)：66-68.

[9] 工業和信息化部.工業控制系統信息安全防護能力評估工作管理辦法[OL].(2017-07-31)[2019-01-24].http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5761045/content.html.

[10] 工業和信息化部.工業控制系統信息安全防護指南[OL].(2016-10-17)[2019-01-24]. http：//www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5346662/content.html.

作者信息:

何  巍

(湖南中煙工業有限責任公司，湖南 長沙410014)