国产欧美日韩精品a在线观看-国产欧美日韩精品一区二区三区-国产欧美日韩精品综合-国产欧美中文字幕-一区二区三区精品国产-一区二区三区精品国产欧美

1　煙草行業工控系統現狀

目前，煙草工業企業在以“工業化、數字化、智能化”為目標的工業信息化建設應用過程中，已經取得了較好的成績，但是在工控系統的安全防護方面，基本上還是處于空白狀態。主要是由于在煙草工業企業中各工業控制子系統處于相對獨立的環境中，各子系統的安全問題一直以來也并沒有突顯出來；但是，隨著煙草工業企業的數字化、智能化技術的不斷發展及應用，兩化融合高度集成協作的運作模式要求煙草工業企業內部各系統之間需要互聯互通，隨之工控系統安全問題也逐步突現出來^[1]。

在煙草工業企業中現有的工控系統都屬于生產管理網范疇，主要的工控系統包括制絲、卷包、動能、物流四大工業控制子系統。由于生產網內的各工業子系統與辦公網長期隔離封閉、獨立運行的特點，造成了在安全管理建設方面的欠缺^[2]。大部分煙草工業企業還處于無安全布署的狀態，只考慮了系統的可用性，在工控系統安全上還停留在制度管理層面，工控系統在安全方面不具備更多的容錯處理和安全防范能力。因此，工控系統的安全問題是各卷煙廠工業企業目前較為重要且迫切需要解決的問題。

2　煙草行業工控系統安全風險分析

工控系統作為煙草工業企業主要的核心應用系統，目前主要存在的安全風險^[3]從圖1中可看出。

圖1 卷煙廠工控系統網絡架構示意圖

（1）辦公網與生產網之間未進行有效安全隔離。大部分卷煙廠的生產網通過網絡對接的方式直接與辦公網進行連接，中間并無針對工控系統的安全隔離與防護設備，而工控系統的脆弱性遠遠高于一般IT應用系統。因此，生產網絡中的工控系統面臨著來自辦公網的非法訪問、病毒以及惡意代碼的攻擊。所以，生產網與辦公網的安全隔離是保證工控系統安全與穩定的重要基礎。

（2）未進行安全域的劃分與隔離。根據卷煙廠工控系統的特點，工控系統一般分生產執行層、過程監控層、現場控制層、現場設備層，而為了確保各個工控系統的安全性，應該在生產網中進行安全域的劃分，包括網絡安全管理域、過程監控域和工業控制域等，但是，卷煙廠并沒有對各個安全域之間進行安全邏輯隔離。存在著現場工控設備（例如：PLC、交換機等）面臨著來自生產網內部的一些非法訪問控制。

（3）缺乏有效的網絡監控和日志審計。大部分的卷煙廠工業控制系統中幾乎沒有網絡狀態監控和操作日志行為審計。目前大部分服務器的管理員賬戶沒有改名，而是沿用默認的系統用戶名Administrator，面臨默認賬號被破解的風險。在日志安全方面，大部分服務器在日志審計方面都沒有比較完善的保障機制。

（4）工業控制協議的脆弱性。由于工業控制系統中使用的Modbus、S7、PROFINET、OPC等常用工控協議自身安全性不足，一旦遭受攻擊，很容易造成以上協議通訊過程中出現畸變報文、指令被篡改等，造成現場控制設備拒絕服務，可能會對工控系統帶來嚴重的后果與損失。

（5）主機及應用軟件漏洞風險。卷煙廠工業控制系統的操作員站、工程師站、服務器及虛擬服務器等物理主機與虛擬主機基本上采用的都是Windows操作系統，監控組態軟件、數據庫等應用軟件主要采用的是SIEMENS、GE、施耐德電氣等工業自動化主流廠商產品；由于卷煙廠工控系統運行環境特點，致使工業控制系統主機操作系統、應用軟件無法進行補丁升級，即使可以進行補丁升級，生產管理運維人員為了保證生產的正常運行，也不會輕易去對軟件補丁升級。這樣就會導致工業控制系統主機的防護能力非常脆弱，一旦遭受病毒、惡意代碼攻擊，很容易造成系統癱瘓。

（6）安全管理措施不健全，執行力不強。目前，卷煙工業企業本身對各工控系統的日常管理維護能力較為有限，在日常工作中，常常需要原有系統集成的外部廠商工程技術人員對工控系統進行遠程操作維護，由于遠程維護需要通過臨時開啟互聯網通道接入的方式，在外部廠商工程技術人員進行遠程運維工作時，無法對其操作進行有效的監管和記錄，存在較大的安全隱患。同時，運維人員在日常操作維護過程中沒有嚴格按照相關管理制度和措施進行日常工作的維護運行系統，經常使用私人U盤等移動存儲設備，給生產網絡及設備帶來了極大的安全隱患。

3　煙草行業工控安全技術防護方案

本著工控安全防護方案依據工控網絡安全“分級分域、整體保護、積極預防、動態管理”為總體策略，以煙草行業工控安全依據的技術規范為主要依據，對煙草行業工控系統首先從工控系統的運行環境上通過管理手段及技術措施對工控系統進行整體加固，在通過對工控系統的網絡邊界隔離、分區分域防護、網絡流量監測與審計、主機安全防護、安全運維管理上進行安全防護，形成如圖2、圖3所示的安全解決方案思路。

圖2 工控系統安全防護解決方案架構圖

圖3 卷煙廠工控安全防護網絡架構示意圖

3.1　網絡邊界隔離、分區分域防護

工業控制系統與廠級網絡（管理辦公網）之間缺少有效的安全隔離措施，同時，生產網絡內部生產執行層、過程監控層、現場控制層等各區域之間也缺少有效的安全隔離措施；可能導致生產網工控系統受到來自廠級網絡的安全攻擊，以及生產網內部監控管理層對現場工控設備的非法訪問從而影響工控系統的正常工作。同樣，在一些大型卷煙廠中有多條制絲生產線，產線與產線之間的控制系統也缺少有效的安全隔離措施，一旦一條生產線遭受到病毒、惡意代碼的攻擊，病毒、惡意代碼也會很快蔓延到其它的生產線中，從而影響各個生產線的正常生產工作。根據縱向分層、橫向分區的原則，通過對生產網與廠級網絡之間，生產網內部各區域之間之間以及生產線與生產線控制系統之家采取有效的安全隔離防護措施，在網絡邊界上加強防護，在各個區域及各生產線之間進行有效的安全隔離，防止來自生產網外部及生產網內部不同安全域間的未授權的非法訪問、攻擊等行為^[4]。

3.2　工控網絡審計

在生產網中的各安全區域的關鍵節點上對網絡流量、通信等行為進行審計，以保證被觸發審計的事件存儲在審計系統內，并且能夠根據存儲的記錄和操作者的權限進行查詢、統計、管理、維護等操作，在必要時從記錄中提取所需要的資料。

在工控網絡中對網絡流量、通信等行為的審計就是收集并分析審計系統中的日志等數據，從而發現違反安全策略的行為，當發生安全事故或者發生違反安全策略的行為之后，通過檢查、分析、比較審計系統中收集的數據，從中發現違反安全策略的行為。
在生產網中的各安全區域的關鍵節點上對網絡流量、通信等行為進行審計，主要實現對攻擊、無流量的異常檢測，工控協議規約的檢測，重要操作行為、網絡會話的審計，原始告警報文的記錄，告警日志的審計等^[5]。

3.3　工控主機安全防護

通過對生產網工控系統的現場觸摸式工控機、工程師站、監控計算機、服務器及虛擬服務器等主機系統進行安全防護，實現對工控主機惡意代碼防護、外設端口的管理和操作系統的安全加固，全面提升工控主機安全防護能力^[6]。

針對生產網工控系統的現場觸摸式工控機、工程師站、監控計算機、服務器及虛擬服務器等工業物理主機與虛擬主機采用“白名單”機制對主機操作系統進行安全防護?！鞍酌麊巍睓C制即是為主機的操作系統建立一個輕量級的“白環境”，真正顛覆了傳統防病毒的“黑名單”思想，可以有效阻止包括震網病毒、Flame、Havex、BlackEnergy等在內的工控惡意程序或代碼在工控主機上的感染、執行和擴散；同時，采用“白名單”機制還可以通過對底層驅動的接管，對工控主機外設端口進行管控，避免控制系統因移動存儲介質的隨意使用感染惡意代碼，或引起關鍵信息的擴散。通過對用戶口令、進程、端口等進行統一管理，提升操作系統的安全防護能力。

3.4　工控入侵檢測
為及時的檢測和發現工控系統中的入侵行為，需要對生產網與廠級網絡邊界處交換機上的所有實時傳輸數據進行監視，通過對網絡中的協議狀態檢查和智能關聯分析，為控制系統提供全面的信息展現和安全預警，為改善用戶網絡的風險控制環境提供決策依據，入侵檢測是網絡邊界隔離防護的合理補充，主要是對網絡中協議的識別、入侵行為的檢測、安全策略的管理、日志及告警的管理、系統及系統數據的管理等，進一步完善了對卷煙廠工控系統的安全管理能力^[7]。

3.5　工控安全運維管理

工控安全運維管理即：實現對工業現場主機等設備的運維操作行為的管控和審計，在工業控制系統的安全運維管理是集用戶（Account）管理、授權（Authorization）管理、認證（Authentication）管理和綜合審計（Audit）于一體的集中安全運維及管理。

在卷煙廠通過對工控系統的集中安全運維管理，可以減少工控系統維護工作量；同時能夠為卷煙廠提供全面的用戶和資源管理，減少卷煙廠的維護成本；能夠幫助卷煙廠制定嚴格的資源訪問策略，并且采用強身份認證手段，全面保障系統資源的安全；能夠詳細記錄用戶對資源的訪問及操作，滿足對用戶行為審計的需求。

通過對工控系統的主機等設備進行安全運維管理實現對集中的賬號管理、訪問控制、安全審計、違規操作的告警與阻斷以及實時操作的全過程監控等^[8]。

3.6　統一安全管理

統一的安全管理即實現生產網工控系統的安全策略統一配置及下發、日志收集等。通過對卷煙廠工控網絡中的邊界隔離、網絡監測審計、工控主機安全防護等安全防護措施進行集中配置管理，實現對工控網絡中各安全防護策略、系統及主機的統一配置、全面監控、實時告警、流量分析等，降低運維成本、提高事件響應效率，通過統一的安全管理，可真正實現安全技術和安全管理的結合，全面提升控制系統的信息安全保障能力。

4　總結

綜上所述，煙草行業工業控制系統中所存在的安全風險和威脅有其行業特點，隨著工業控制系統中所暴露出來的安全性問題越來越多，影響越來越大，我們應該重視其安全危害可能造成的社會經濟、政治等方面的影響。目前，我們在煙草行業工控系統中的安全防護水平還處于初級階段水平，還需要在吸收和借鑒國外先進技術和理念的基礎上探索出符合自身發展特點的工業控制系統安全防護措施和解決方案。

參考文獻：

[1] 田芳, 趙光輝. 中國智能制造實證研究：以煙草產業為例[J]. 中國市場, 2018 ( 19 ).

[2] 李光朋. 工業控制系統信息安全建設思路[J]. 自動化博覽, 2015 ( 10 ) : 62 - 66.

[3] 耿欣. 煙草企業工業控制系統安全保障體系研究[J]. 信息網絡安全, 2017 ( 9 ) : 34 - 37.

[4] 顧碩. 加強工業控制系統信息安全管理[J]. 自動化博覽, 2013 ( 11 ).

[5] 高倩. 基于ZigBee的油氣生產物聯網安全通信系統關鍵技術研究[D]. 蘭州理工大學, 2014.

[6] 張坤. 可信計算技術下的工控安全防護思路[J]. 電子技術與軟件工程, 2017 ( 21 ) : 196 - 196.

[7] 王中杰. 工業控制系統入侵檢測關鍵技術研究與實現[D]. 中國科學院大學, 2016.

[8] 魏欽志.“PDCA”在工控安全運維管理中的應用(上)[J]. 自動化博覽, 2017 ( 9 ) : 66 - 70.

作者簡介

王德吉，男，博士后，博士生導師，現任中國煙草總公司職工進修學院首席培訓師。第六屆全國煙草行業勞動模范，全國煙草行業“十一五”教育培訓工作優秀教師，河南煙草系統第二屆感動人物提名獎，國家職業技能鑒定高級考評員，國家局教材委員會委員，兼任工業物流自動化河南省工程實驗室主任，中科院博導，清華大學、湖南農業大學兼職碩導，IFAC委員、國際工程師協會委員，中科院高級訪問學者，自動化學會委員，中科協創新專家，西門子專家，鄭州大學兼職教授，管道安全國家工程實驗室特聘專家，TC124國家標準化委員會委員。主持國家級項目3項目和省部級科研項目19項。獲得省部級獎項10項（一等獎1項，二等獎2項，三等獎7項），省部級教學獎50項。正式發表論文52篇，其中SCI、EI檢索23篇。申報發明專利19項，獲7項發明專利，19項實用新型專利，出版著作7本，獲軟件著作權12項。編寫國家標準16項、行業標準3項。

摘自《工業控制系統信息安全?？ǖ谖遢嫞?/span>