溫運嶺 穆金麗

摘要：隨著工業(yè)互聯(lián)網(wǎng)時代的到來，現(xiàn)代卷煙工業(yè)企業(yè)兩化融合程度也越來越高，在卷煙生產(chǎn)過程中廣泛使用到各類工業(yè)控制系統(tǒng)，因此有強烈的工控網(wǎng)絡安全防護需求。目前，如何構建一個安全高效、穩(wěn)固可靠的工控網(wǎng)絡體系，成為現(xiàn)代卷煙工業(yè)企業(yè)安全防護的基礎和前提。本文結合制絲車間中控系統(tǒng)實際需求，提出了相關的安全防護措施，進一步為卷煙廠的安全生產(chǎn)運營保駕護航。

關鍵詞：工業(yè)控制網(wǎng)絡;網(wǎng)絡安全;制絲中控

制絲中控系統(tǒng)作為制絲生產(chǎn)過程的核心系統(tǒng)，主要負責制絲車間的生產(chǎn)控制任務，并對制絲過程中的設備運行、工藝質(zhì)量進行監(jiān)控，是保證制絲工藝質(zhì)量和正常生產(chǎn)的根基。一旦網(wǎng)絡被無意或惡意攻擊或病毒入侵將嚴重影響企業(yè)生產(chǎn)運營與管理效率，因此構建網(wǎng)絡安全體系，保障企業(yè)安全穩(wěn)健的發(fā)展顯得尤為重要。

1部署工業(yè)防火墻

依據(jù)“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的網(wǎng)絡安全防護原則。在廠級網(wǎng)絡及制絲中控室管理交換機之間部署工業(yè)防火墻，做到區(qū)域隔離，配置工業(yè)防火墻，防止未授權的網(wǎng)絡連接對制絲線局域網(wǎng)的侵害。

1）訪問控制

工業(yè)防火墻在工控協(xié)議方面做了深度的解析，可以對操作人員和外網(wǎng)非法訪問進行基于IP、MAC、工控協(xié)議或任意組合方式的訪問進行控制，另外，用戶可以根據(jù)具體需求設置更細粒度的策略，如對某個工控協(xié)議的只讀、讀寫或者禁用，防止數(shù)據(jù)被篡改或信息外泄。支持通用防火墻會話狀態(tài)檢測、包過濾機制及工控協(xié)議的深度訪問控制，阻止各類非授權訪問行為。

2）惡意攻擊

由于工控網(wǎng)絡的封閉性和工控網(wǎng)絡中運行的軟件和程序一般情況下都是很固定的，基于工控網(wǎng)絡的這一特點，在工業(yè)防火墻上啟用白名單功能，將工控網(wǎng)絡中可信的軟件或程序放入白名單，只有白名單中的軟件或程序才能被安裝和運行，可以有效阻止惡意病毒和木馬的入侵或非法程序的運行。工業(yè)防火墻可以進行正常通信行為建模，通過對正常通信行為學習后，對工控指令攻擊、控制參數(shù)修改、病毒和蠕蟲等惡意代碼等攻擊行為進行有效防護，減少惡意攻擊行為給工業(yè)控制系統(tǒng)帶來的安全風險。

3）DoS攻擊防護

工控系統(tǒng)對網(wǎng)絡的實時性和響應速度有很高的要求，為了保證工控系統(tǒng)的可用性和高效性，在工業(yè)防火墻上開啟異常報文檢測與異常流量檢測功能，防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊導致的網(wǎng)絡或工控系統(tǒng)的癱瘓。

4）重點設備的安全防護

通過在重點工控設備前加裝工業(yè)防火墻，通過工業(yè)防火墻的工控協(xié)議深度解析及“白名單”安全管理機制，充分保護重要工控設備的信息安全，提升整個工業(yè)控制系統(tǒng)的安全防護等級。

2部署安全防護軟件

在中控計算機、服務器、工程師站、現(xiàn)場工控機上部署主機安全防護軟件。通過設置實現(xiàn)以下功能。

1）阻止惡意代碼的執(zhí)行和擴散

可以有效阻止“白名單”外的程序及病毒、木馬、蠕蟲、等惡意代碼的執(zhí)行，進而有效避免系統(tǒng)感染震網(wǎng)病毒、Flame、Havex、BlackEnergy等工控惡意代碼。如果在工業(yè)控制系統(tǒng)中有一臺設備被惡意病毒感染并通過網(wǎng)絡擴散到其它主機后，在部署了工控主機衛(wèi)士的主機上通過白名單功能就可以阻止病毒的運行，進而保護主機的運行安全。

2）網(wǎng)絡白名單

針對工作站、服務器等設備進行網(wǎng)絡白名單配置管理，包括開啟SYN攻擊防護（Windows系統(tǒng)專有）和配置防火墻、添加配置控制程序連接（Windows系統(tǒng)專有）以及TCP或UDP端口連接的規(guī)則，最大限度保護工作站、服務器等設備的安全。

3）主機監(jiān)控管理

開啟主機白名單安全防護，使工控網(wǎng)絡中的上位機、服務器等抵御木馬、工控病毒等惡意程序的攻擊。對白名單外的惡意代碼、違規(guī)操作進行告警及記錄;對人員未授權安裝軟件進行告警;對普通U盤以及安全U盤的違規(guī)使用告警;支持注冊表、配置文件和操作系統(tǒng)文件破壞告警。

4）安全基線管理

對工作站、服務器等設備進行基線配置管理，包括賬戶策略、審核策略、安全選項、IP安全、進程審計、系統(tǒng)日志等。通過開啟密碼復雜度、強制密碼歷史、關閉guest賬戶（Windows系統(tǒng)專有）、開啟系統(tǒng)和賬戶審核、關閉默認共享（Windows系統(tǒng)專有）、進行進程審計等措施最大限度保護工作站、服務器等設備的安全。

3部署統(tǒng)一安全管理平臺

建設統(tǒng)一安全管理平臺對工業(yè)防火墻、工業(yè)主機安全防護軟件等產(chǎn)品進行統(tǒng)一管理。實現(xiàn)對工控系統(tǒng)中的網(wǎng)絡設備、主機設備、應用系統(tǒng)、安全設備進行集中運維管理，實現(xiàn)安全策略的統(tǒng)一配置及下發(fā)、設備運行狀況的全面監(jiān)控、安全事件的實時告警，日志的收集、處理及分析，有助于降低運維成本、提高事件響應效率。

1）安全產(chǎn)品集中管理

對工控網(wǎng)絡中的工業(yè)防火墻、工控安全監(jiān)測與審計系統(tǒng)、工控主機衛(wèi)士、主機安全加固系統(tǒng)等安全產(chǎn)品進行集中管理，包括安全策略配置、設備狀態(tài)監(jiān)控、網(wǎng)絡拓撲管理等。

2）高速率加密傳輸通道

采用私有加密方式進行通信，防止數(shù)據(jù)包遭到惡意截取或篡改，有效保障數(shù)據(jù)的有效性和安全性。

3）全面的安全日志審計

全面記錄工業(yè)網(wǎng)絡中的主機安全日志、網(wǎng)絡異常攻擊監(jiān)測日志、網(wǎng)絡攻擊防護日志、工業(yè)網(wǎng)絡會話信息，同時保留攻擊發(fā)生時的原始報文信息，便于安全事件的追溯和調(diào)查取證。

4）安全日志關聯(lián)分析

對工控網(wǎng)絡中的安全日志（如：攻擊日志、流量日志、訪問日志、主機日志、系統(tǒng)日志）進行匯總、關聯(lián)分析并形成報告，為工控網(wǎng)絡安全事件分析和調(diào)查取證提供依據(jù)。

結束語

本文針對制絲中控網(wǎng)絡安全問題提出了相應的防護措施，即采取部署工業(yè)防火墻、部署安全防護軟件、部署統(tǒng)一安全管理平臺等，為進一步提高制絲中控系統(tǒng)網(wǎng)絡安全水平，促進卷煙工業(yè)安全防控體系構建，保障企業(yè)安全生產(chǎn)運營提供了堅實根基。

參考文獻

[1]趙全洲，司成偉.淺談煙草行業(yè)工控網(wǎng)絡安全風險的威脅評估[J].通訊世界，2019，26（8）：63-65.

[2]吳莉.淺談煙草行業(yè)網(wǎng)絡安全及其防范策略[J].計算機光盤軟件與應用，2012（5）：116-117.

[3]許新鋒.工業(yè)控制系統(tǒng)網(wǎng)絡安全等級保護的建設[J].中小企業(yè)管理與科技，2020（7）：112-113