李昱曉 張杰

摘要：在卷煙工業(yè)控制網(wǎng)絡(luò)中能夠及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的病毒感染及其它問題，準(zhǔn)確找到故障的發(fā)生點，是維護(hù)工業(yè)控制網(wǎng)絡(luò)安全的前提。本研究將在企業(yè)信息網(wǎng)和制絲車間工業(yè)網(wǎng)絡(luò)之間部署IT防火墻；在工業(yè)控制網(wǎng)絡(luò)信息層和控制層之間部署安全隔離網(wǎng)關(guān)；在每個子系統(tǒng)與工業(yè)環(huán)網(wǎng)之間部署工業(yè)網(wǎng)絡(luò)通信網(wǎng)關(guān)；在每臺可控的計算機(jī)上安裝防病毒軟件并及時更新病毒庫。

Abstract： In the cigarette industrial control network， it is possible to detect the presence of virus infections and other problems in the network in a timely manner. Accurately finding the point of failure is the prerequisite for maintaining the security of industrial control networks. This study will deploy an IT firewall between the enterprise information network and the manufacturing shop's industrial network； deploy security isolation gateways between the information layer and control layer of the industrial control network； and deploy industrial network communication gateways between each subsystem and the industrial ring network， install anti-virus software on each controllable computer and update the virus database.

關(guān)鍵詞：工業(yè)控制網(wǎng)絡(luò)；網(wǎng)絡(luò)安全；病毒防御

Key words： industrial control network；network security；virus protection

中圖分類號：TN915.08 文獻(xiàn)標(biāo)識碼：A 文章編號：1006-4311（2018）27-0196-02

1 研究背景和意義

近十年來，隨著信息技術(shù)的迅猛發(fā)展，信息化在我們企業(yè)中的應(yīng)用取得了飛速發(fā)展?；ヂ?lián)網(wǎng)技術(shù)的出現(xiàn)，使得工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP 技術(shù)，ICS 網(wǎng)絡(luò)和企業(yè)管理網(wǎng)的聯(lián)系越來越緊密。另一方面，傳統(tǒng)工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，設(shè)計上基本沒有考慮互聯(lián)互通所必須考慮的通信安全問題。企業(yè)管理網(wǎng)與工業(yè)控制網(wǎng)的防護(hù)功能都很弱，或者甚至幾乎沒有隔離功能。工控系統(tǒng)的開放使得其安全隱患問題日益嚴(yán)峻。系統(tǒng)中任何一點受到攻擊都有可能導(dǎo)致整個系統(tǒng)癱瘓。

Stuxnet病毒作為一個標(biāo)志性的事件，敲響了工業(yè)控制網(wǎng)絡(luò)安全的警鐘。在國際上工業(yè)控制網(wǎng)絡(luò)被入侵和被破壞的一些典型案例，其造成的經(jīng)濟(jì)損失數(shù)額十分巨大，可以說工業(yè)控制網(wǎng)絡(luò)的安全問題已經(jīng)是網(wǎng)絡(luò)安全領(lǐng)域的焦點問題。

我廠制絲車間工業(yè)控制網(wǎng)絡(luò)運行四年期間共發(fā)生通訊中斷、網(wǎng)絡(luò)阻塞、實時數(shù)據(jù)庫數(shù)據(jù)采集丟失、控制失靈等網(wǎng)絡(luò)安全事件二十余起，曾造成整條制絲生產(chǎn)線無法啟動和中斷等嚴(yán)重影響生產(chǎn)事件。

研究工業(yè)控制網(wǎng)絡(luò)安全不僅體現(xiàn)了企業(yè)對高效生產(chǎn)、安全運行的重視，更體現(xiàn)了企業(yè)對國家經(jīng)濟(jì)安全和人民生命財產(chǎn)安全的責(zé)任。

2 項目研究目的

研究目的主要有三部分：①初步建立卷煙工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全分區(qū)標(biāo)準(zhǔn)；②確立卷煙工業(yè)網(wǎng)絡(luò)控制系統(tǒng)安全模塊化選型思路；③建立卷煙工業(yè)控制網(wǎng)絡(luò)系統(tǒng)安全中央管理平臺。

提出有效的工業(yè)控制網(wǎng)絡(luò)安全總體保障框架。逐步建立起我廠工業(yè)控制系統(tǒng)可信、可控的安全保障體系，包括：在工業(yè)控制系統(tǒng)中建立安全可信的計算環(huán)境，具備病毒防御能力；對現(xiàn)場操作人員實現(xiàn)可信身份鑒別、訪問控制和行為審計，以確保關(guān)鍵主機(jī)設(shè)備能夠長期連續(xù)、穩(wěn)定運行；建立可信的工業(yè)控制網(wǎng)絡(luò)邊界，對接入控制網(wǎng)絡(luò)的各種計算設(shè)備進(jìn)行準(zhǔn)入認(rèn)證，確保非可信計算設(shè)備不能接入工業(yè)控制網(wǎng)；建立可信的工業(yè)控制網(wǎng)絡(luò)環(huán)境，對網(wǎng)絡(luò)中可信主體的各種行為進(jìn)行深度檢查與審計，避免不合規(guī)的異常網(wǎng)絡(luò)行為對網(wǎng)絡(luò)中的生產(chǎn)設(shè)備造成不良影響。

建立“縱深防御”安全防御體制。將網(wǎng)絡(luò)劃分為不同的安全區(qū)，在安全區(qū)之間按照一定規(guī)則安裝網(wǎng)關(guān)安全設(shè)備。以此來保證監(jiān)控各個區(qū)域間的通信，在沒有安全事故發(fā)生的時候也能自動查找安全隱患，當(dāng)發(fā)現(xiàn)安全隱患時能夠自動排除，或者發(fā)出安全警報。

3 項目研究內(nèi)容

為解決我廠工業(yè)控制網(wǎng)絡(luò)所面臨的安全隱患，計劃在工業(yè)控制網(wǎng)進(jìn)行如下安全加固：①在企業(yè)信息網(wǎng)和制絲車間工業(yè)網(wǎng)絡(luò)之間部署IT防火墻；通過設(shè)備部署對企業(yè)生產(chǎn)網(wǎng)與工業(yè)網(wǎng)間進(jìn)行邊界安全防護(hù)，對兩個網(wǎng)之間的數(shù)據(jù)交互進(jìn)行嚴(yán)格審查、過濾，確保病毒、木馬及黑客攻擊行為不會由生產(chǎn)網(wǎng)侵入工控網(wǎng)，從而對生產(chǎn)造成威脅。②在工業(yè)控制網(wǎng)絡(luò)信息層和控制層之間部署工業(yè)網(wǎng)絡(luò)安全隔離網(wǎng)關(guān)；通過設(shè)備部署對信息層與控制層流量進(jìn)行過濾，防止控制終端因為病毒等原因?qū)刂茖釉斐捎绊?，保證生產(chǎn)指令下達(dá)、前段數(shù)據(jù)采集的可靠性。③在工業(yè)控制網(wǎng)絡(luò)不同的每個子系統(tǒng)與工業(yè)環(huán)網(wǎng)之間部署工業(yè)網(wǎng)絡(luò)通信網(wǎng)關(guān)；通過部署設(shè)備對各子系統(tǒng)間進(jìn)行安全隔離。④在每臺可控的計算機(jī)上安裝終端防護(hù)軟件；通過在控制終端上安裝防護(hù)軟件，對終端的USB口進(jìn)行控制，對終端上的文檔進(jìn)行安全審計，既可以防止因U盤引起的交叉感染又可以防止數(shù)據(jù)泄密。

4 項目研究思路

由于業(yè)內(nèi)針對煙草工業(yè)控制研究沒有相關(guān)可參考案例，為完成此次項目研究，我們組織專家深入車間生產(chǎn)線，對我廠現(xiàn)狀進(jìn)行調(diào)研，通過對調(diào)研結(jié)果分析確定我廠工業(yè)控制系統(tǒng)目前存在的網(wǎng)絡(luò)安全隱患，有針對性進(jìn)行安全開發(fā)。

4.1 調(diào)研

通過對我廠工業(yè)控制系統(tǒng)、網(wǎng)絡(luò)與應(yīng)用環(huán)境以及目前安全管理現(xiàn)狀、安全管理與建設(shè)需要等的現(xiàn)場調(diào)研，了解了我廠工業(yè)控制系統(tǒng)目前存在的網(wǎng)絡(luò)安全隱患，為安全保障體系建設(shè)規(guī)劃提供依據(jù)，為可行工業(yè)控制網(wǎng)關(guān)等設(shè)備實施方案的制定提供依據(jù)。

4.1.1 調(diào)研范圍

主機(jī)：主要是工控網(wǎng)內(nèi)監(jiān)控中心相關(guān)服務(wù)器主機(jī)設(shè)備，以及所運行的操作系統(tǒng)、數(shù)據(jù)庫等；

應(yīng)用：主要是工控網(wǎng)內(nèi)監(jiān)控中心所運行的應(yīng)用系統(tǒng)；

網(wǎng)絡(luò)：主要是工控網(wǎng)內(nèi)相關(guān)重要網(wǎng)絡(luò)設(shè)備；

機(jī)房環(huán)境：主要是了解工業(yè)控制系統(tǒng)部署環(huán)境；

生產(chǎn)設(shè)施：主要是了解工業(yè)控制系統(tǒng)生產(chǎn)線部署環(huán)境；

安全管理：主要是了解卷煙廠及制絲車間安全管理現(xiàn)狀及需求。

4.1.2 調(diào)研內(nèi)容

制絲車間目前采取的安全控制措施主要有：

病毒、攻擊防護(hù)措施：中控絲計算機(jī)主機(jī)上安裝防病毒軟件，如發(fā)現(xiàn)病毒操作人員需要及時處理，如處理不了的，應(yīng)及時告知計算機(jī)管理員進(jìn)行維護(hù)處理，以防止病毒蔓延殃。不得使計算機(jī)被傳染病毒和主動性輸入病毒。每次使用無線網(wǎng)絡(luò)進(jìn)行殺毒軟件的病毒庫升級時，需更新無線路由器安全設(shè)定的密碼，并嚴(yán)禁將密碼泄露出去。

密碼管理要求：目前主要基于賬戶/密碼的訪問控制策略。車間已明確要求計算機(jī)操作人員必須給自己的計算機(jī)操作系統(tǒng)帳號設(shè)置密碼，并且嚴(yán)格要求密碼長度6位以上，最好使用數(shù)字、字母和各種符號和大小寫搭配，嚴(yán)禁將密碼泄露給第三者，并且嚴(yán)禁安裝破解密碼的任何軟件。

訪問控制與網(wǎng)絡(luò)準(zhǔn)入要求：①安全制度中已明確規(guī)定任何人不得將私人的計算機(jī)、筆記本電腦、帶智能功能的手機(jī)、MP3、等設(shè)備未經(jīng)計算機(jī)管理員許可私自接入計算機(jī)網(wǎng)絡(luò)。②未經(jīng)中控室計算機(jī)管理員的許可，嚴(yán)禁任何人將私人的光盤、VCD、軟盤，移動存儲器等在計算機(jī)設(shè)備上使用。③外來的計算機(jī)設(shè)備禁止接入車間工業(yè)以太網(wǎng)，如因工作需要接入網(wǎng)絡(luò)的必需報車間設(shè)備室批準(zhǔn)，由車間設(shè)備室發(fā)給臨時IP地址；不經(jīng)允許接入網(wǎng)絡(luò)的，一經(jīng)發(fā)現(xiàn)要求其立即斷開網(wǎng)絡(luò)連接，并對責(zé)任人處以經(jīng)濟(jì)罰款。④不得使用外來磁盤、U盤等，確實需要的，要經(jīng)過掃毒處理，確認(rèn)無病毒后方可使用。

資產(chǎn)管理方面：①安全制度中已明確規(guī)定任何人不準(zhǔn)將車間的計算機(jī)設(shè)備的零件挪做他用，不準(zhǔn)將車間內(nèi)的計算機(jī)備件與他人、廠外、家庭交換使用。②對于非專業(yè)人員，不得善自打開機(jī)箱，拆卸、加裝計算機(jī)零件和附加設(shè)備，不得擅自格式化硬盤，或更改計算機(jī)配置參數(shù)，不得擅自刪除、更改、安裝程序和文件，不得帶電插拔輔連設(shè)備。

數(shù)據(jù)安全管理方面：①制絲車間已明確規(guī)定專業(yè)人員和數(shù)據(jù)錄入人員不允許對已錄入并提交系統(tǒng)的基礎(chǔ)數(shù)據(jù)進(jìn)行修改、刪除，確因錄入錯誤，需要修改、刪除的，通知車間設(shè)備室，并進(jìn)行備案。②專業(yè)人員和數(shù)據(jù)錄入人員要做好保密工作，不得把自己的口令和密碼告訴他人。③車間各級領(lǐng)導(dǎo)不得隨意干涉專業(yè)人員和數(shù)據(jù)錄入人員的正常工作，專業(yè)人員和數(shù)據(jù)錄入人員有權(quán)拒絕不準(zhǔn)確的數(shù)據(jù)進(jìn)入應(yīng)用系統(tǒng)。④車間、部門的微機(jī)使用人員應(yīng)做到按時正確的開機(jī)、關(guān)機(jī)，各項信息、指令、數(shù)據(jù)及時準(zhǔn)確的輸入、傳遞和接收，各車間部門負(fù)責(zé)的相關(guān)數(shù)據(jù)要及時進(jìn)行維護(hù)。⑤中控室計算機(jī)中的各種數(shù)據(jù)及報表應(yīng)嚴(yán)格控制在車間內(nèi)部，任何人不得泄露生產(chǎn)數(shù)據(jù)。

機(jī)房安全管理方面：制絲車間機(jī)房安裝門鎖，具有物理訪問控制措施，配備了消防器材、UPS電源等；機(jī)房、中控室溫度基本控制在28度，以確保計算機(jī)正常運行。

4.2 分析

本課題在進(jìn)行研究設(shè)計時充分考慮與分析了企業(yè)實際網(wǎng)絡(luò)架構(gòu)及安全需求，整體分析方法借鑒EA（Enterprise Architecture，即“企業(yè)架構(gòu)”或“業(yè)務(wù)體系架構(gòu)”）分析方法。EA當(dāng)前是分析企業(yè)、工業(yè)控制網(wǎng)絡(luò)中最有效的辦法。

基于EA的分析規(guī)劃方法，以企業(yè)使命為驅(qū)動，從業(yè)務(wù)架構(gòu)、信息架構(gòu)、應(yīng)用架構(gòu)和技術(shù)架構(gòu)四個方面，從上往下，深入分析企業(yè)的業(yè)務(wù)戰(zhàn)略、組織結(jié)構(gòu)、角色定義和重要的業(yè)務(wù)流程等，深入分析支撐企業(yè)業(yè)務(wù)的數(shù)據(jù)和信息以及對應(yīng)的應(yīng)用系統(tǒng)，深入分析支撐業(yè)務(wù)、數(shù)據(jù)、應(yīng)用服務(wù)部署的基礎(chǔ)設(shè)施（包括中間件、網(wǎng)絡(luò)、通信等軟硬件），全面透徹地分析企業(yè)IT架構(gòu)在不同層面的脆弱性和所面臨的各種威脅與風(fēng)險，在此基礎(chǔ)上，根據(jù)不同層面的安全防護(hù)需求和特點，為企業(yè)進(jìn)行切合其實際要求的信息安全建設(shè)方案設(shè)計和規(guī)劃。

基于EA的分析方法的關(guān)鍵是根據(jù)企業(yè)實際業(yè)務(wù)過程，分析支撐業(yè)務(wù)過程的關(guān)鍵數(shù)據(jù)、應(yīng)用和基礎(chǔ)設(shè)施，并明確相應(yīng)的安全防護(hù)需求。

基于EA的分析方法，具體到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)，將工業(yè)控制系統(tǒng)業(yè)務(wù)、數(shù)據(jù)、應(yīng)用、基礎(chǔ)設(shè)施映射到工業(yè)控制應(yīng)用、保護(hù)對象兩個維度，并增加安全要素，從三個維度對工業(yè)控制系統(tǒng)不同業(yè)務(wù)應(yīng)用進(jìn)行安全風(fēng)險分析。

5 實施效果

該系統(tǒng)運行以來，減少了由于病毒而造成的中控服務(wù)器癱瘓現(xiàn)象，杜絕了由于中控服務(wù)器癱瘓而造成的生產(chǎn)采集數(shù)據(jù)丟失、生產(chǎn)指令無法下達(dá)，生產(chǎn)無法順利進(jìn)行，有效地攔截了病毒得攻擊，中控系統(tǒng)的設(shè)備運行有效作業(yè)率得到較大的提高。中控系統(tǒng)病毒攻擊造成的服務(wù)器故障由原來的每月2次，降到目前每月零次。

構(gòu)建了卷煙工業(yè)控制系統(tǒng)安全保障體系。運用可信計算領(lǐng)域研究成果及NIST、ANSI/ISA99標(biāo)準(zhǔn)，對我廠工業(yè)控制系統(tǒng)的整體安全保障思路、框架等進(jìn)行研究分析，形成我廠工業(yè)控制系統(tǒng)安全可信保障體系框架。

搭建了煙草工業(yè)控制專用的可信主機(jī)防護(hù)系統(tǒng)。在工業(yè)控制系統(tǒng)中建立安全可信的計算環(huán)境，具備病毒自防御能力，能夠抵御已知和未知的病毒攻擊，對生產(chǎn)線操作人員實現(xiàn)可信身份鑒別、訪問控制和行為審計，以確保關(guān)鍵主機(jī)設(shè)備能夠長期連續(xù)、穩(wěn)定運行。

研究了一套可信工業(yè)控制安全網(wǎng)關(guān)設(shè)備。安全網(wǎng)關(guān)設(shè)備功能增加了支持全面的工業(yè)控制協(xié)議，實現(xiàn)信息管理層和過程控制層之間的隔離防護(hù)，防止蠕蟲病毒等惡意代碼向過程控制層擴(kuò)散，支持主流工業(yè)協(xié)議的深度過濾，如OPC、Modbus、DNP3等。