◆孟 瑾 石懷忠 崔建華

基于煙草工控網(wǎng)絡(luò)安全防護(hù)策略與應(yīng)用

◆孟 瑾 石懷忠 崔建華

（河南中煙工業(yè)有限責(zé)任公司安陽卷煙廠 河南 455006）

隨著“互聯(lián)網(wǎng)+”、中國制造2025等國家戰(zhàn)略方針的出臺，特別是物聯(lián)網(wǎng)的飛速發(fā)展、兩化的深度融合，各企業(yè)大力推進(jìn)工業(yè)控制系統(tǒng)的集中化、集成化管理，系統(tǒng)的互聯(lián)互通性逐步加強(qiáng)。工業(yè)控制網(wǎng)絡(luò)與辦公網(wǎng)、外部互聯(lián)網(wǎng)等網(wǎng)絡(luò)連接，接踵而來的各種病毒威脅正向工控系統(tǒng)擴(kuò)散，各種邊界的防御對工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。本文針對某煙草企業(yè)工控網(wǎng)絡(luò)存在的安全問題，結(jié)合PPDR模型給出了相應(yīng)的安全措施和防護(hù)策略，并結(jié)合用AHP方法確定的信息安全風(fēng)險定級與用煙草工控網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的專業(yè)工具進(jìn)行危險漏洞檢測進(jìn)行對比，結(jié)果差異不大。

工業(yè)控制系統(tǒng)；網(wǎng)絡(luò)安全；防護(hù)策略；煙草行業(yè)

2009年，某煙草企業(yè)生產(chǎn)車間的控制網(wǎng)絡(luò)被集多種控制方法于一體的“灰鴿子”病毒感染，該病毒可以在控制網(wǎng)絡(luò)中發(fā)送大量的ARP廣播報文，對PLC等工控設(shè)備的DoS攻擊，最終導(dǎo)致企業(yè)停產(chǎn)[1]。

2010年，某煙廠車間的Wincc服務(wù)器遭受病毒感染，導(dǎo)致與Wincc服務(wù)器連接的各終端設(shè)備通信中斷，車間生產(chǎn)中斷。專家研究發(fā)現(xiàn)，這是由于網(wǎng)絡(luò)中感染了未知病毒，使Wincc服務(wù)器遭受到拒絕式服務(wù)攻擊，最終導(dǎo)致了整個網(wǎng)絡(luò)癱瘓[2]。

據(jù)國家計算機(jī)病毒應(yīng)急處理中心統(tǒng)計2019年3月共發(fā)現(xiàn)病毒7，210，886個，感染計算機(jī)10，515萬臺，其傳播途徑主要以“網(wǎng)絡(luò)釣魚”、“網(wǎng)頁掛馬”和漏洞為主，發(fā)現(xiàn)病毒數(shù)、新增長的病毒數(shù)、感染計算機(jī)數(shù)相比于2月份分別下降了3.2%、15%、8.1%[3]。

隨著工業(yè)4.0時代的到來，工業(yè)控制系統(tǒng)由于自身的脆弱性和系統(tǒng)漏洞，給黑客入侵工業(yè)控制網(wǎng)絡(luò)提供了通道，并且除了這些漏洞之外，各種病毒、特洛伊木馬、蠕蟲等都潛在的威脅工業(yè)安全。在企業(yè)中的各種設(shè)備、服務(wù)器與服務(wù)器、設(shè)備與服務(wù)器間的邊界變得相對模糊，暴露的信息網(wǎng)絡(luò)安全問題愈發(fā)突出。

煙草生產(chǎn)系統(tǒng)只在生產(chǎn)職責(zé)上自然區(qū)分了制絲、卷包、物流、動力能源等各個車間，但是各個車間之間安全區(qū)域劃分不清晰，邊界訪問控制策略缺失等問題導(dǎo)致一處服務(wù)器或操作站感染病毒后，可以迅速通過工控網(wǎng)絡(luò)傳播到其他設(shè)備直接影響HMI、PLC等設(shè)備的正常運(yùn)行。

1 煙草行業(yè)國內(nèi)工業(yè)安全狀況

煙草行業(yè)作為國民經(jīng)濟(jì)的支柱產(chǎn)業(yè)之一，在煙草行業(yè)中大量使用工業(yè)控制系統(tǒng)。在工業(yè)化和信息化融合的大趨勢、大背景下，控制網(wǎng)與辦公網(wǎng)的互聯(lián)互通成為必然發(fā)展趨勢。從目前來看煙草行業(yè)工控網(wǎng)與辦公網(wǎng)、管理網(wǎng)的連接幾乎沒有任何邏輯隔離和檢測防護(hù)。工控網(wǎng)絡(luò)中幾乎沒有針對外部攻擊和病毒感染的發(fā)現(xiàn)、防御手段，當(dāng)各種病毒、特洛伊木馬、蠕蟲等外部威脅源進(jìn)入管理網(wǎng)、辦公網(wǎng)后，就可以直達(dá)現(xiàn)場控制層網(wǎng)絡(luò)，直接威脅到工業(yè)生產(chǎn)。行業(yè)內(nèi)組成工控網(wǎng)絡(luò)的設(shè)備如各類操作站、服務(wù)器、終端等，幾乎都是Windows系統(tǒng)系列，為保證相關(guān)工業(yè)軟件與系統(tǒng)的兼容性、生產(chǎn)的穩(wěn)定性，不能給其安裝殺毒軟件和系統(tǒng)升級。目前大多數(shù)的工業(yè)控制系統(tǒng)的協(xié)議和設(shè)計的產(chǎn)品，往往在于功能的實時性和可用性，而忽視工業(yè)控制系統(tǒng)的相關(guān)防御策略和方法。相關(guān)操作人員及安全管理人員和外部運(yùn)維人員在管理和操作過程中，缺乏科學(xué)管理和專業(yè)技術(shù)運(yùn)維、防護(hù)手段，如各操作站U盤濫用、文件共享等，讓工控系統(tǒng)脆弱性暴露的一覽無余。在自身安全性不高的情況下運(yùn)行，這樣的工控系統(tǒng)就會存在著大量漏洞和安全隱患[4]。

煙草行業(yè)的工控系統(tǒng)主要由SCADA數(shù)采系統(tǒng)和PLC控制系統(tǒng)、IFIX、Wincc服務(wù)器等的設(shè)備控制層、集中監(jiān)控層、生產(chǎn)管理層三層體系結(jié)構(gòu)構(gòu)成。由工業(yè)交換機(jī)組成的工業(yè)環(huán)網(wǎng)是制絲生產(chǎn)工控系統(tǒng)典型特征，環(huán)網(wǎng)上的控制設(shè)備分別接入由工業(yè)交換機(jī)、IO服務(wù)器與操作員站等組成集中監(jiān)控網(wǎng)絡(luò)。管理網(wǎng)通過接入的交換機(jī)與車間各種數(shù)據(jù)庫服務(wù)器、Wincc服務(wù)器、OPC數(shù)采服務(wù)器、Web服務(wù)器等進(jìn)行數(shù)據(jù)交換。車間數(shù)據(jù)管理層為ERP或MES系統(tǒng)提供數(shù)據(jù)，圖1為某煙廠制絲工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)[5]。

就目前而言國內(nèi)的大多數(shù)煙草行業(yè)在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全方面主要情況如下：

（1）行業(yè)工控系統(tǒng)中Siemens和Rockwell的PLC占90%以上，而這些控制器被發(fā)現(xiàn)存在大量安全漏洞[6]。

（2）工業(yè)控制系統(tǒng)需要ERP或MES系統(tǒng)相連，相應(yīng)的ERP或MES系統(tǒng)均部在管理網(wǎng)，企業(yè)管理網(wǎng)直接與互聯(lián)網(wǎng)相連接。

（3）僅有極少部分操作員站部署了防病毒系統(tǒng)，但未定期升級病毒庫，其他操作員站均未部署安全防護(hù)措施。

（4）企業(yè)內(nèi)相關(guān)操作人員及工控安全管理人員已意識到工業(yè)安全的重要性，但如何建設(shè)，急需相關(guān)標(biāo)準(zhǔn)的指導(dǎo)。

縱觀安全建設(shè)的歷程，由于業(yè)務(wù)需求的不斷提升，攻擊手段日益革新，防護(hù)手段也隨之增強(qiáng)，由于被動的響應(yīng)造成現(xiàn)在防護(hù)體系繁雜無效的現(xiàn)狀。

2 網(wǎng)絡(luò)安全防護(hù)模型

根據(jù)網(wǎng)絡(luò)信息需求的特點(diǎn)，以及目前存在網(wǎng)絡(luò)安全措施和防護(hù)體系，一個最常見的安全模型是PPDR模型[7-9]，即安全策略（Policy)、防護(hù)（Protection)、檢測（Detection)和響應(yīng)（Response)。PPDR模型是在網(wǎng)絡(luò)安全整體的安全策略的控制和指導(dǎo)下，綜合運(yùn)用防護(hù)工具（如防火墻、身份認(rèn)證、加密工具等）的同時，利用檢測工具（如漏洞掃描工具、工控專用審計設(shè)備、工控專用防火墻）掌握和評估分析系統(tǒng)的安全狀態(tài)。在這個過程中通過防護(hù)、檢測和響應(yīng)組成整體的、動態(tài)的安全循環(huán)，在安全策略的驅(qū)動下對系統(tǒng)的實時調(diào)整響應(yīng)，讓系統(tǒng)處于比較安全的狀態(tài)。

圖1 某煙廠制絲工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)

圖2 PPDR模型

其中為系統(tǒng)設(shè)置安全防護(hù)后的防護(hù)時間也是威脅源入侵攻擊安全目標(biāo)后所需的時間；為當(dāng)開始入侵到檢測到入侵行為所需的時間；為檢測到入侵并作出響應(yīng)，同時將系統(tǒng)再調(diào)整到正常狀態(tài)的時間；為目標(biāo)系統(tǒng)暴露的時間。

如果能滿足（1）所示，系統(tǒng)設(shè)置安全防護(hù)后的防護(hù)時間大于開始入侵到檢測到入侵行為所需的時間和響應(yīng)時間之和，說明在入侵攻擊者危害到安全目標(biāo)之前就能將其檢測出來并及時處理掉。對于保護(hù)的目標(biāo)而言，越小，系統(tǒng)暴露的時間越短目標(biāo)就越安全。假如≤0，那么基于PPDR模型可認(rèn)為系統(tǒng)安全。為確保目標(biāo)的安全則需增加防護(hù)時間，同時盡量縮短檢測時間和響應(yīng)時間。

為了構(gòu)建起網(wǎng)絡(luò)邊界的防御壁壘，通過防火墻構(gòu)建了融合安全的防護(hù)體系。通過安全能力的融合系統(tǒng)能夠?qū)崿F(xiàn)事前風(fēng)險預(yù)知、事中完整全過程防護(hù)、事后響應(yīng)和檢測的閉環(huán)，同時將安全能力及數(shù)據(jù)進(jìn)行集中布控，避免防御短板阻斷高級威脅。

3 安全防護(hù)措施

在整個網(wǎng)絡(luò)攻擊的過程中，攻擊者往往也遵循一定的流程。在攻擊初期進(jìn)行網(wǎng)絡(luò)探測確定攻擊目標(biāo)尋找安全漏洞，然后再進(jìn)行邊界突破獲取控制權(quán)限，再通過持續(xù)滲透或橫向移動獲取更多的控制權(quán)，最終進(jìn)行竊取破壞獲得最大的戰(zhàn)果。

為了應(yīng)對此類網(wǎng)絡(luò)攻擊必須要構(gòu)建完整的防護(hù)體系，實現(xiàn)針對攻擊流程的全程保護(hù)。在事前階段對資產(chǎn)實現(xiàn)自動發(fā)現(xiàn)并進(jìn)行風(fēng)險及策略的評估，實現(xiàn)風(fēng)險預(yù)知；在事中通過最新的威脅情報對L2-7層實現(xiàn)聯(lián)動防御的效果；在事后持續(xù)檢測異常行為發(fā)現(xiàn)潛在威脅，并對已經(jīng)發(fā)現(xiàn)的問題提供快速響應(yīng)防止事件擴(kuò)大。

圖3 防護(hù)體系

3.1 事前風(fēng)險預(yù)知

對于現(xiàn)有的資產(chǎn)，由于各類終端主機(jī)的操作系統(tǒng)及作用各不相同，所以每個資產(chǎn)的安全漏洞也便各不相同。一個能夠快速篩選并定位需要保護(hù)的資產(chǎn)就顯得極其重要。通過資產(chǎn)發(fā)現(xiàn)可以保證安全策略真正的產(chǎn)生應(yīng)有的效果。

通過數(shù)據(jù)包中應(yīng)用的版本信息，展示相關(guān)版本中存在的漏洞；通過網(wǎng)站請求包中傳輸?shù)男畔ⅲ瑱z測是否對輸入信息進(jìn)行限制，服務(wù)器是否會做出相應(yīng)來判定是否存在漏洞；通過數(shù)據(jù)包中的信息發(fā)現(xiàn)服務(wù)器的不安全配置等信息，如：數(shù)據(jù)庫錯誤信息、響應(yīng)包中允許文件的任意上傳。

通過智能識別訪問流量記錄業(yè)務(wù)相關(guān)信息，自動生成策略避免策略遺漏造成的安全風(fēng)險。

3.2 事中積極防御

網(wǎng)絡(luò)攻擊從早期的網(wǎng)絡(luò)層攻擊到應(yīng)用層，又到現(xiàn)在的WEB層攻擊，攻擊手段不斷演進(jìn)。想要完整的實現(xiàn)事中防御的能力必須要整合傳統(tǒng)防火墻、IPS、WAF防護(hù)能力，通過實現(xiàn)L2-7層的安全防護(hù)避免出現(xiàn)安全防護(hù)的短板。

過往的安全設(shè)備間缺少功能的聯(lián)動，即使演進(jìn)到UTM也因為缺乏應(yīng)對WEB攻擊的防護(hù)能力而力不從心。各功能模塊間的聯(lián)動可以幫助我們完整的對攻擊鏈條進(jìn)行有效分析，通過集中的安全防護(hù)將安全事件進(jìn)行歸類分析，能夠更有效應(yīng)對新的網(wǎng)絡(luò)安全形勢。模塊間的聯(lián)動機(jī)制更加可以幫助設(shè)備在防護(hù)過程中減少資源損耗，當(dāng)通過整體分析確定攻擊行為后可直接在網(wǎng)絡(luò)層畸形阻斷避免攻擊流量損耗應(yīng)用層資源。

3.3 事后檢測響應(yīng)

很多攻擊都是通過先實現(xiàn)單點(diǎn)突破后再進(jìn)行持續(xù)滲透或橫向移動的，在這類問題的解決上通過原有的對外防御已經(jīng)沒有意義。為了發(fā)現(xiàn)此類行為必須通過分析網(wǎng)絡(luò)中的異常行為進(jìn)行判斷。通過多種異常行為檢測的方式發(fā)現(xiàn)網(wǎng)絡(luò)中的失陷主機(jī)掐斷攻擊跳板，避免隱患爆發(fā)。

當(dāng)安全事件發(fā)生時需基于安全事件的具體內(nèi)容提供相應(yīng)的策略配置模板及解決方案，進(jìn)行快速的問題處理，避免因為問題處理的延誤導(dǎo)致事件擴(kuò)散造成更大的損失。

4 網(wǎng)絡(luò)安全防護(hù)系統(tǒng)應(yīng)用

結(jié)合某煙廠的制絲工控系統(tǒng)網(wǎng)絡(luò)，用安全防護(hù)系統(tǒng)掃描得到車間資產(chǎn)。根據(jù)信息資產(chǎn)的保密性、可用性、完整性，對系統(tǒng)資產(chǎn)進(jìn)行分析并完成統(tǒng)計如表1。

表1 某煙廠車間系統(tǒng)資產(chǎn)賦值情況表

通過在風(fēng)險分析過程中結(jié)合資產(chǎn)價值、威脅發(fā)生的可能性、安全弱點(diǎn)的嚴(yán)重性，利用相關(guān)矩陣法根據(jù)威脅發(fā)生的頻率值和脆弱性嚴(yán)重程度值在安全事件可能性矩陣中進(jìn)行對照，從而獲取安全事件發(fā)生可能性。根據(jù)AHP方法對風(fēng)險進(jìn)行評估，分析安全事件發(fā)生的可能性確定各資產(chǎn)的風(fēng)險等級，對各資產(chǎn)的風(fēng)險等級進(jìn)行統(tǒng)計，某煙廠不同等級風(fēng)險的分布情況如表2所示。

表2 風(fēng)險等級情況表

某煙廠防護(hù)系統(tǒng)用工控專用漏洞掃描工具、工控專用審計設(shè)備、工控專用防火墻、IDS4種工具進(jìn)行檢測，分別對漏洞利用攻擊檢測、WEB應(yīng)用攻擊檢測、僵尸網(wǎng)絡(luò)檢測、業(yè)務(wù)弱點(diǎn)發(fā)現(xiàn)、異常流量、網(wǎng)頁篡改監(jiān)測、黑鏈檢測、主機(jī)漏洞、服務(wù)器漏洞等進(jìn)行檢查，得出圖4的某煙廠具體高危漏洞掃描結(jié)果。

圖4 某煙廠危漏洞掃描結(jié)果

圖5 安全防護(hù)系統(tǒng)保護(hù)結(jié)果

圖6 安全防護(hù)系統(tǒng)入侵嚴(yán)重性等級

由上可見，經(jīng)過用AHP方法進(jìn)行風(fēng)險評估與分析確定的信息安全風(fēng)險定級與用漏洞掃描工具、工控專用審計設(shè)備、工控專用防火墻等工具進(jìn)行檢測結(jié)果差異不大。

實現(xiàn)基于主機(jī)應(yīng)用角色之間的訪問控制，做到可視化的安全訪問策略配置，對應(yīng)用服務(wù)之間訪問進(jìn)行隔離控制。優(yōu)先對所有的服務(wù)器進(jìn)行業(yè)務(wù)安全域的邏輯劃域隔離，減少了非法人員對物理、虛擬服務(wù)器攻擊機(jī)會，集中統(tǒng)一管理服務(wù)器的訪問控制策略。在發(fā)生病毒感染情況下，將威脅放置在可控范圍內(nèi)，從而有效提升網(wǎng)絡(luò)安全防護(hù)水平。

通過對工控系統(tǒng)部署相應(yīng)的專用工具和軟件系統(tǒng)進(jìn)行防護(hù)，把管理網(wǎng)和生產(chǎn)網(wǎng)進(jìn)行隔離從而確保生產(chǎn)網(wǎng)不會受管理網(wǎng)的影響，保證生產(chǎn)網(wǎng)邊界安全；對工控系統(tǒng)采用相應(yīng)的監(jiān)測、防護(hù)手段，確保整個車間網(wǎng)絡(luò)安全；利用獨(dú)有的實時漏洞功能，幫助實時發(fā)現(xiàn)現(xiàn)有漏洞進(jìn)行針對性防護(hù)，為企業(yè)提供安全防護(hù)的策略，對系統(tǒng)實時保駕護(hù)航。針對現(xiàn)有資產(chǎn)的漏洞進(jìn)行安全防護(hù)可以幫助我們更好地實現(xiàn)安全防護(hù)的價值。

5 結(jié)束語

本文根據(jù)煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全的應(yīng)用需要，以PPDR模型為基礎(chǔ)建立相應(yīng)的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)，結(jié)合AHP方法從資產(chǎn)、威脅點(diǎn)和脆弱性進(jìn)行風(fēng)險評估與分析確定的信息安全風(fēng)險定級與采用了工控專用工具進(jìn)行檢測對比，得出了檢測的該信息系統(tǒng)正處于高風(fēng)險運(yùn)行狀態(tài)下。在對工控系統(tǒng)進(jìn)行防御的過程中，可查看安全防護(hù)系統(tǒng)保護(hù)結(jié)果、入侵嚴(yán)重性等級、全過程可查可控，在系統(tǒng)中對整個工控安全狀況呈現(xiàn)，聯(lián)合各個防護(hù)點(diǎn)組成一個全面的防護(hù)體系，保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。

[1]2009年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告[EB/OL].(2010-01-28).http://www.china.com.cn/economic/txt/2010-01/28/content_19324417.html.

[2]張克偉，曹興強(qiáng)，劉貴陽，白書超，等.煙草工業(yè)控制系統(tǒng)安全防護(hù)分析與對策[J].科技論壇，2014（2）:145.

[3]梁宏，孫波.2019年3月計算機(jī)病毒疫情分析[J].權(quán)威分析，2019（5）:91.

[4]耿欣.煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系構(gòu)建[J].煙草科技，2017，50（12）:99-105.

[5]陳興畢，李源，殷耀華等基于煙草工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險評估的研究與應(yīng)用[J].信息技術(shù)與網(wǎng)絡(luò)安全，2019（7）:19-26.

[6]符鑫峰.工業(yè)控制系統(tǒng)信息安全分析及應(yīng)對策略[J].冶金自動化，2018，42（1）.

[7]楊雪梅.基于PPDR模型的關(guān)鍵應(yīng)用信息系統(tǒng)防御體系[J]，計算機(jī)與應(yīng)用化學(xué)，2010（8）:1154-1156.

[8]唐擁政，王春風(fēng).基于PPDR的動態(tài)無線網(wǎng)絡(luò)安全模型的改進(jìn)研究[J].鹽城工學(xué)院學(xué)報（自然科學(xué)版），2013（3）:38-43.

[9]佟洋.網(wǎng)絡(luò)入侵檢測系統(tǒng)模型的研究[D].東北師范大學(xué)，2013.