廖承亮

廣西真龍彩印包裝有限公司 廣西賀州 542700

工業(yè)控制系統(tǒng)(以下簡稱工控系統(tǒng))是由SCADA、DCS、PCS、PLC等幾種不同類型的控制系統(tǒng)組成，是國家網(wǎng)絡(luò)和信息安全重要組成部分。隨著信息化和工業(yè)化的深度融合，工業(yè)控制系統(tǒng)與業(yè)務(wù)系統(tǒng)、管理系統(tǒng)的互聯(lián)互通導(dǎo)致的工業(yè)控制系統(tǒng)的漏洞和威脅日益增多，工控安全問題日益嚴(yán)重，國內(nèi)外對工控安全的重視程度顯著提高，工信部以及國家局和省局在政策、標(biāo)準(zhǔn)和技術(shù)等方面均下發(fā)了一系列的標(biāo)準(zhǔn)和要求，各地市煙草公司對使用工控安全產(chǎn)品有迫切的需求[1]。但是國內(nèi)外工控安全產(chǎn)品和技術(shù)方案千差萬別，廠商多、設(shè)備種類多、型號多，而各地市卷煙物流分揀是需要持續(xù)運(yùn)作的生產(chǎn)系統(tǒng)，在實(shí)際運(yùn)行環(huán)境上無法對工控安全產(chǎn)品和技術(shù)方案進(jìn)行適用性、穩(wěn)定性和安全性的測試和驗(yàn)證。雖然傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)與網(wǎng)絡(luò)安全產(chǎn)品已較成熟，但是傳統(tǒng)網(wǎng)絡(luò)安全與工控安全無論技術(shù)還是產(chǎn)品上均存在本質(zhì)上的差異，不能盲目的將傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)方案和產(chǎn)品直接應(yīng)用在工業(yè)控制系統(tǒng)上。工控系統(tǒng)的安全防護(hù)需要結(jié)合自身工業(yè)控制系統(tǒng)的特點(diǎn)來選擇工控系統(tǒng)的安全產(chǎn)品和技術(shù)方案。因此我們非常必要研究和實(shí)現(xiàn)工業(yè)控制系統(tǒng)安全仿真系統(tǒng)，提供有效的實(shí)驗(yàn)環(huán)境和測試環(huán)境，開展攻擊模擬和入侵檢測等實(shí)驗(yàn)和測試，從而選擇適用的工控安全產(chǎn)品和技術(shù)方案[2]。

1 工控系統(tǒng)安全概述

1.1 工業(yè)控制系統(tǒng)

隨著信息化與工業(yè)化的深度融合發(fā)展，我們的各業(yè)務(wù)系統(tǒng)、管理系統(tǒng)與工控系統(tǒng)的已經(jīng)打通，實(shí)現(xiàn)了互聯(lián)互通。以某地市煙草公司為例，工業(yè)控制系統(tǒng)形成業(yè)務(wù)網(wǎng)、監(jiān)控網(wǎng)、互聯(lián)網(wǎng)三層網(wǎng)絡(luò)。互聯(lián)網(wǎng)+和信息化技術(shù)的飛速發(fā)展，促使工控系統(tǒng)加快了與傳統(tǒng)IT系統(tǒng)的互聯(lián)互通，現(xiàn)在的工控系統(tǒng)不再是以往的封閉的獨(dú)立的系統(tǒng)，同時，也將傳統(tǒng)網(wǎng)絡(luò)安全的一些風(fēng)險延伸到了工業(yè)控制系統(tǒng)中，互聯(lián)網(wǎng)的外網(wǎng)威脅、傳統(tǒng)網(wǎng)絡(luò)安全的漏洞以及工控系統(tǒng)軟硬本身的漏洞等混合，形成了更為復(fù)雜的網(wǎng)絡(luò)安全問題。該地市級煙草公司卷煙物流分揀工控系統(tǒng)主要由監(jiān)視控制系統(tǒng)（SCADA）和可編程邏輯控制器（PLC）的兩大類控制系統(tǒng)。但以PLC為主，其中主站S7-416系列3個、S7-414系列3個，子站S7-300系列21個。每個區(qū)域的PLC直接接入內(nèi)網(wǎng)交換機(jī)，由上位系統(tǒng)的服務(wù)器下達(dá)指令給PLC完成對各類控制設(shè)備監(jiān)控。

1.2 工業(yè)控制系統(tǒng)安全防護(hù)體系

按照行業(yè)網(wǎng)絡(luò)安全“分級分域、整體保護(hù)、積極預(yù)防、動態(tài)管理”的總體策略。工業(yè)控制系統(tǒng)安全防護(hù)體系呈整體統(tǒng)一性，以為旁路檢測、串聯(lián)防護(hù)和現(xiàn)場防護(hù)為基礎(chǔ)，形成工控安全風(fēng)險評估、事件管理、監(jiān)測與防護(hù)、風(fēng)險管理和資產(chǎn)管理等功能整體防護(hù)體系，對整個系統(tǒng)面向業(yè)務(wù)進(jìn)行主動化、智能化安全管理，保障某煙草工業(yè)控制系統(tǒng)整體持續(xù)安全運(yùn)營[3]。風(fēng)險評估。采用基線核查、漏洞掃描以及滲透測試等手段對整個工控系統(tǒng)進(jìn)行全面風(fēng)險評估。發(fā)現(xiàn)工控系統(tǒng)中底層控制設(shè)備PLC、操作站、工程師站以及組態(tài)軟件所存在的漏洞，根據(jù)漏洞情況對其被利用的可能性和嚴(yán)重性進(jìn)行深入分析；在工控網(wǎng)絡(luò)層面，通過對網(wǎng)絡(luò)結(jié)構(gòu)、網(wǎng)絡(luò)協(xié)議、各節(jié)點(diǎn)網(wǎng)絡(luò)流量、網(wǎng)絡(luò)規(guī)范性等多個方面進(jìn)行深入分析，尋找網(wǎng)絡(luò)層面可能存在的風(fēng)險。分區(qū)域隔離。在風(fēng)險分析中已經(jīng)分析了管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通所存在的風(fēng)險。在工業(yè)控制系統(tǒng)生產(chǎn)網(wǎng)和管理網(wǎng)邊界采用工業(yè)防火墻進(jìn)行隔離，對兩網(wǎng)間數(shù)據(jù)交換進(jìn)行安全防護(hù)。監(jiān)測與防護(hù)。在管理網(wǎng)和生產(chǎn)網(wǎng)隔離中已經(jīng)對生產(chǎn)執(zhí)行層和各個區(qū)域生產(chǎn)網(wǎng)絡(luò)進(jìn)行了邏輯隔離，工業(yè)異常監(jiān)測系統(tǒng)，旁路主動監(jiān)測異常和入侵行為，異常及時報警；工業(yè)漏洞掃描系統(tǒng)，發(fā)現(xiàn)各類操作系統(tǒng)、組態(tài)軟件、以及工業(yè)交換機(jī)、PLC等存在的漏洞，為區(qū)域內(nèi)各類設(shè)備、軟件提供完善的漏洞分析檢測。資產(chǎn)管理和事件管理。整個企業(yè)各個區(qū)域內(nèi)繁多的各類工控網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站以及安全設(shè)備，進(jìn)行統(tǒng)一管理，并對各類設(shè)備的性能、配置及事件分析、審計(jì)、預(yù)警與響應(yīng)進(jìn)行統(tǒng)一管理[4]。風(fēng)險管理。對各類主機(jī)、服務(wù)器、現(xiàn)場控制設(shè)備以及各類網(wǎng)絡(luò)設(shè)備進(jìn)行風(fēng)險及態(tài)勢的度量與評估。

2 結(jié)語

工控系統(tǒng)的安全問題是目前迫切需要研究和建設(shè)的內(nèi)容，而工控系統(tǒng)安全仿真平臺是研究和驗(yàn)證工控系統(tǒng)安全的重要基礎(chǔ)。本文以某地市級煙草公司工控系統(tǒng)安全仿真建設(shè)為例，闡述了地市級煙草公司網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)基本情況，分析了地市級工控安全安全防護(hù)體系，研究工控系統(tǒng)安全仿真平臺建設(shè)模式，通過模擬三種常見的工控安全攻擊，通過仿真數(shù)據(jù)分析，驗(yàn)證工控安全產(chǎn)品和技術(shù)措施的適用性、穩(wěn)定性和安全性。