今日頭條
官方微信
官方抖音
資訊頻道1 煙草行業(yè)數字化轉型的背景
工業(yè)是國民經濟的主體,工業(yè)競爭力也體現一個國家的競爭力,隨著德國的工業(yè)4.0、美國的先進制造以及我們中國的智能制造等國家戰(zhàn)略政策的推出,以及云計算、大數據、物聯網等新興信息技術在工業(yè)領域的應用,IT領域的一些安全問題逐漸進入工業(yè)系統。我們從廣義上來理解工業(yè)安全,是指整個工業(yè)生產過程中的信息安全,涉及到整個生產的各個領域,各個環(huán)節(jié),從保護對象上來看,它不僅僅保護計算機網絡,保護信息系統,還需要保護工業(yè)控制系統,保護設備和網絡協議,這是相對來講對工業(yè)安全比較廣泛的一個定義。
2 煙草行業(yè)工業(yè)安全現狀
2.1 先進的工業(yè)自動化技術得到了廣泛的應用
從事煙草行業(yè)工業(yè)自動化相關的工作之前,我個人理解煙草行業(yè)類似農副產品加工,自動化程度應該不是特別高。但是真正進入行業(yè)后,發(fā)現煙草企業(yè)不僅自動化程度水平相對較高,而且對新技術的接收程度也相當高。很多國際領先的自動化技術和工控網絡技術已率先在煙草制造業(yè)中應用,據我了解,大多數的煙草企業(yè)希望將新技術融入新廠建設中,比如基于人工智能的排查仿真系統,已經在很多煙草企業(yè)落地使用了。
2.2 工業(yè)安全面臨挑戰(zhàn),在矛盾中尋找方向
新技術在煙草企業(yè)應用既是機遇也是挑戰(zhàn),先進技術的應用在提升煙草企業(yè)生產力的同時也埋下了安全隱患,帶來了大量的工業(yè)安全風險。在煙草企業(yè)做安全,如同在矛盾中尋找方向,我認為矛盾主要體現在如下三個方面:
(1)應用互通與安全隔離的矛盾;
(2)威脅來源多樣化與防護手段單一的矛盾;
(3)實時性、可靠性需求與安全部署的矛盾。所以,一定要在可用性和安全之間找到一個平衡點,達到一個合適的度,從而降低安全風險。
3 煙草行業(yè)工業(yè)網絡介紹
煙草行業(yè)的工業(yè)網絡一般由以下三個部分組成:
3.1 統一規(guī)劃的私有云信息中心
(1)采用虛擬化私有云架構,集中部署企業(yè)的 OT和IT應用。
(2)OT與IT各有獨立資源池,按需安全互通。
3.2 生產、辦公、安防并存的多網架構
擁有生產、辦公、安防等多張網絡,網絡間原則上需要進行訪問隔離。
3.3 工業(yè)系統分層架構
(1)管理協同層:負責系統整體管理,任務制定。
(2)生產執(zhí)行層:負責生產任務的分解下達。
(3)過程控制層:負責接收下發(fā)任務并轉化為具體操作指令。
(4)現場控制層:負責根據操作指令指揮各個執(zhí)
行器件完成具體動作。煙草行業(yè)工業(yè)網絡如圖1所示。
圖1 煙草行業(yè)工業(yè)網絡
4 煙草行業(yè)工控系統面臨的安全問題
煙草行業(yè)工控系統面臨的安全問題一般可分為技術和管理兩類,在調研中發(fā)現很多問題是由技術和管理兩方面因素共同導致的。
4.1 技術問題
從入侵威脅來看: 通過震網病毒以及后續(xù)的變種病毒分析可知,工業(yè)控制領域中的惡意代碼混合了大量0DAY,大部分為專業(yè)攻擊破壞人員編寫,傳統的防病毒和入侵監(jiān)測系統的能力有限,幾乎無法有效的實現提前預警。
從安全防護手段來看: 煙草行業(yè)大部分工業(yè)控制系統在防護、監(jiān)測、運維審計等方面的嚴重不足(主機、服務器無防護,邊界無防護等),極大地阻礙了整體安全防護能力的提升。尤其在煙草行業(yè)的網絡結構中,工控網是可以通過管理網間接連接到互聯網的。
從支撐軟件來看: WInCC、PCS7、ITA以及OPC等編程和組態(tài)軟件,其基于傳統的WIn32位操作系統構建,自身程序代碼和工作環(huán)境極易觸發(fā)安全問題。同時在網絡內部大多采用通用WInDOWS操作系統,其自身存在很多安全漏洞,及其容易被攻擊者利用,造成安全事故。
從運維習慣來看: 工業(yè)自動化專業(yè)技術人員往往缺少信息安全的技術支撐和職業(yè)敏感度,在日常維護過程中,缺乏足夠的安全意識和安全操作規(guī)程,容易因人為操作原因導致安全問題。尤其是在運維的過程中移動存儲介質濫用現象。
從底層設備看:PLC設備和工業(yè)交換機都存在安全漏洞,容易被利用,直接影響工業(yè)控制系統安全性。
從全局監(jiān)控預警來看: 缺乏能夠對工業(yè)控制系統進行全面監(jiān)控,及時預警,快速響應的監(jiān)控管理系統。
4.2 管理問題
從組織結構上看:組織結構人員職責不完善,專業(yè)人員缺乏,工控系統信息安全是一個跨部門跨學科領域,在卷煙生產企業(yè)中工控系統有生產部門負責,信息安全一般由信息部門負責;生產部門對于信息安全知之甚少,而信息部門對于工控系統的理解也不夠深。
從培訓方面看:多數參與工控系統日常運維的車間系統管理員缺乏信息安全技術和管理培訓;關鍵崗位人員也很少去關注工業(yè)控制系統的安全性,日常工作僅僅是保障系統的可用性。
從應急響應機制上看:由于響應機制不夠健全,缺乏應急響應組織和標準化的事件處理流程,發(fā)生信息安全事件后人員反應不夠迅速,通常依靠經驗判斷安全事件發(fā)生的設備和影響范圍,逐一進行排查,響應能力不強。
5 煙草行業(yè)工業(yè)安全痛點
工業(yè)控制系統安全是傳統IT系統安全的延伸,同時又具有自身的特點。主要體現在以下三個方面:
(1)資產狀況不清楚
煙草企業(yè)普遍對自身的資產不清楚,包括資產數量、資產類型、資產分布等都不清楚,在這種狀況下如何能做好防護呢?
(2)安全威脅不清楚
基于資產狀況不清楚,導致安全威脅不清楚。資產目前有沒有風險,有沒有被攻擊過,一旦發(fā)生攻擊會產生什么樣的后果,這些都不是很清晰。
(3)生產故障難定位
當設備斷線、停機時,我們很難定位,不知道是什么原因導致的,是系統的原因是應急能力還是安全問題?
6 安全體系建設的基本思路
綜上所示,在煙草行業(yè)應如何做安全?我認為首先要合規(guī),從根上來講有三條特別重要:(1)網絡安全法,國家的法律一定要遵守。(2)在實施的時候,需要參照具體的技術要求。(3)一定要結合行業(yè),行業(yè)跟行業(yè)之間做安全有很大的差別,在煙草行業(yè)要遵照煙草行業(yè)的基本要求去做安全。
安全是一個動態(tài)安全,我們的外界環(huán)境也在不斷變化,所以,整個安全體系的建設也是一個動態(tài)建設過程。安全體系建設一般遵循安全規(guī)劃——安全建設——建后評估——安全運營的基本思路。
(1)安全規(guī)劃(PLAn)
安全規(guī)劃是針對發(fā)現的現有體系的安全問題,設定安全建設目標并制定針對性的改進方案,此過程中可以通過購買“風險評估”、“安全咨詢”等服務。
(2)安全建設(DO)
安全建設是根據安全規(guī)劃所制定的改進方案,有步驟的進行安全改造。
(3)建后評估(CHECK)
建后評估是在安全建設完成后,評估已建成的安全體系進行是否達到安全規(guī)劃中所設定的安全目標(比如通過相應的等保測評)。
(4)安全運營(ACTIOn)
安全運營是在安全體系投入使用后,不間斷地運營整個安全體系并發(fā)現新問題。
7 建設從“終端”到“云端”的分層縱深安全防護體系
風險評估是安全建設的切入點,是安全規(guī)劃的先決條件,其目的在于識別和評估系統中各類資產所面臨的危害和風險。 風險分析優(yōu)先做資產識別,對自身的資料有了清晰的了解,再根據資產的脆弱性分析可能面臨的威脅,從而按照風險的級別排序,成為后期做安全建設的依據。風險評估的典型內容一般包括:識別可能受到威脅的目標、分析價值和潛在損失、威脅和弱點分析、識別已有的安全防護措施等。
在做安全規(guī)劃時,主要基于PPDR模型對我們的安全技術體系和安全管理體系做統籌規(guī)劃,在規(guī)劃的過程中始終堅持一條,“零信任的安全策略”。“零信任”是指什么?即:不可管即不可控、不可控即不安全,值得信任的不是人,而是讓人不會犯錯誤的技術&管理體系,沒有技術手段支撐的安全管理是低效的,并且常常失效。在煙草行業(yè)建立完整的安全技術管理體系十分必要,具體如圖2所示。
圖2 安全技術管理體系
圖2安全技術體系中基于“應用級白名單”的零信任安全防護,主要分為兩方面:
(1)接入認證:實現接入可信
·只允許授信的人或設備接入網絡,對于未通過認證的設備進行實時阻斷,不允許其接入網絡,并進行實時告警。
·對必要的設備進行安全基線檢查,只有符合安全策略的設備才能接入網絡。
(2)應用控制:實現行為可控
·識別合法設備的網絡訪問行為,只允許其傳輸與預先確定的應用相關的數據,其他數據一概阻斷。
總的來看,煙草行業(yè)要建設從“終端”到“云端”的分層縱深安全防護體系需要做好以下三點:
(1)分層縱深安全防護結構
由于工業(yè)系統采用分層架構,每一層的接入都是下層的匯聚節(jié)點,不能采用扁平化安全分區(qū)方法,而應采用分層式的縱深安全防護結構。
(2)應用級白名單訪問控制
對網絡訪問采用應用級白名單訪問控制,做到接入可信、行為可控。
(3)應用級威脅抵御
除了應用級白名單訪問控制能力外,還應包括有應用級的威脅抵御能力,可以阻斷已知的漏洞攻擊行為、病毒木馬的傳播與網絡訪問行為等。
網絡安全體系整體架構模型如圖3所示。
圖3 網絡安全體系整體架構模型
工控信息安全與生產緊密相關,要解決安全問題,一定要根據自身網絡狀況的問題,分別去做不同的規(guī)劃,從而達到不同的目標。
本文內容根據作者在“2019工業(yè)網絡專家計劃論壇”中所做報告整理。
摘自《自動化博覽》2019年12月刊
北京市公安局海淀分局備案號:11010802023656號