文獻(xiàn)標(biāo)識碼: A
DOI:10.16157/j.issn.0258-7998.190104
中文引用格式: 何巍. 基于縱深防御的煙草行業(yè)工控安全解決方案[J].電子技術(shù)應(yīng)用,2019,45(3):88-91.
英文引用格式: He Wei. Security solutions for industrial control systems in the tobacco industry based on defense in depth[J]. Application of Electronic Technique,2019,45(3):88-91.
0 引言
工業(yè)控制系統(tǒng)(以下簡稱“工控系統(tǒng)”)是國家基礎(chǔ)設(shè)施重要組成部分,是工業(yè)基礎(chǔ)設(shè)施的核心,被廣泛應(yīng)用于航天、軍工、智能制造、煉油、化工、電力、電網(wǎng)、水廠、交通、水利、煙草、公用事業(yè)等領(lǐng)域,系統(tǒng)不僅生命周期長,而且在可用性和實時性方面要求高,是網(wǎng)絡(luò)空間戰(zhàn)的重點攻擊目標(biāo)。
目前,我國在工控系統(tǒng)網(wǎng)絡(luò)安全技術(shù)研究以及產(chǎn)業(yè)發(fā)展等相關(guān)領(lǐng)域中處于快速發(fā)展階段,工控系統(tǒng)安全防護(hù)能力和工控安全事件應(yīng)急處置能力相對較差,安全風(fēng)險很大,特別是某些重要行業(yè)的工控系統(tǒng)大量使用國外產(chǎn)品,安全性更加很難保證。因此,工控系統(tǒng)更容易成為為外部威脅進(jìn)行滲透攻擊的主要目標(biāo)。
鑒于工控系統(tǒng)的安全性關(guān)系到國計民生,工控系統(tǒng)安全受到各行各業(yè)的普遍重視,有大量文獻(xiàn)研究了工控系統(tǒng)的安全問題[1-3]。工控系統(tǒng)安全建設(shè)應(yīng)根據(jù)不同行業(yè)、同行業(yè)不同生產(chǎn)階段、不同生產(chǎn)工藝的特點以及自身安全需求制定不同的安全建設(shè)方案。為此,本文聚焦于煙草行業(yè)工業(yè)互聯(lián)網(wǎng)安全解決的研究、構(gòu)建與應(yīng)用。
1 煙草行業(yè)工控系統(tǒng)概況
1.1 煙草行業(yè)工控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)
煙草行業(yè)工控系統(tǒng)(以生產(chǎn)卷煙的各煙草公司為例)主要分布在各中煙公司及下屬的各卷煙廠。各廠的工控系統(tǒng)按功能可分為制絲控制系統(tǒng)、卷包控制系統(tǒng)、物流(高架庫)控制系統(tǒng)、動能控制系統(tǒng)等。煙草行業(yè)工控系統(tǒng)典型網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1所示。其中,制絲網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。
1.2 煙草行業(yè)工控系統(tǒng)的特點
煙草行業(yè)工控系統(tǒng)具有如下特點:
(1)系統(tǒng)信息化程度高,工藝流程先進(jìn),自動化技術(shù)水平走在國內(nèi)制造業(yè)、國際煙草業(yè)前列。很多國際領(lǐng)先的自動化技術(shù)和工控網(wǎng)絡(luò)技術(shù)(如PROFINET、Ethernet等)進(jìn)入中國都是率先在煙草制造業(yè)中應(yīng)用。但由于這些系統(tǒng)和技術(shù)來源于國外,其安全性難以把控,因此,這些先進(jìn)技術(shù)的應(yīng)用在巨大提升煙草企業(yè)生產(chǎn)力的同時也帶來了極大的安全隱患。
(2)工控系統(tǒng)向智能化發(fā)展的需求迫切。隨著“中國制造2025”的逐步推進(jìn),信息化和工業(yè)化深度融合,控制網(wǎng)、生產(chǎn)網(wǎng)、管理網(wǎng)、互聯(lián)網(wǎng)互聯(lián)互通成為常態(tài),煙草制造生產(chǎn)網(wǎng)絡(luò)的集成度越來越高。隨著大數(shù)據(jù)技術(shù)、“互聯(lián)網(wǎng)+”、人工智能的發(fā)展,煙草行業(yè)提出了“智能工廠”的新要求,這意味著需求、設(shè)計、采購、生產(chǎn)、物流等全方位的互聯(lián)互通,各生產(chǎn)車間將采用統(tǒng)一的標(biāo)準(zhǔn),各煙廠也將逐步實現(xiàn)生產(chǎn)線的互聯(lián)互通,互聯(lián)互通過程中將會越來越多地采用通用的硬件、通用的軟件和通用協(xié)議。與此同時,工控系統(tǒng)的智能化發(fā)展和互聯(lián)互通將使得信息安全問題更加突出,面臨的信息安全威脅也將更加復(fù)雜。
(3)工控系統(tǒng)在設(shè)計之初只考慮了系統(tǒng)的簡單性、可靠性、實時性、經(jīng)濟(jì)性以及系統(tǒng)的獨立運行,而沒有考慮到系統(tǒng)安全問題,這給工控系統(tǒng)的運行和維護(hù)帶來巨大的安全隱患。
由上述分析可見:煙草行業(yè)工控系統(tǒng)的每一個特點都與相應(yīng)的安全隱患相對應(yīng),因此,如何保障工控系統(tǒng)的安全運行已成為制約煙草行業(yè)加速信息化、智能化發(fā)展的主要課題和發(fā)展瓶頸。
2 煙草行業(yè)工控系統(tǒng)安全現(xiàn)狀和面臨的安全威脅
2.1 煙草行業(yè)工控系統(tǒng)安全防護(hù)現(xiàn)狀
從防控技術(shù)來看,煙草行業(yè)工控系統(tǒng)信息安全體系結(jié)構(gòu)可分為三層網(wǎng)絡(luò)架構(gòu),分別為:設(shè)備層、監(jiān)控層、管理層,關(guān)鍵鏈路和節(jié)點采用了冗余配置,從而保證了骨干網(wǎng)絡(luò)傳輸?shù)目煽啃?。部分生產(chǎn)網(wǎng)絡(luò)的接入采用傳統(tǒng)防火墻做隔離,匯聚層旁路部署了傳統(tǒng)的入侵檢測系統(tǒng)(IDS)和安全審計系統(tǒng),部分上位機(jī)和工程師站部署了防病毒軟件。
目前,煙草行業(yè)工控系統(tǒng)的安全防范嚴(yán)重不足,存在諸多安全短板,面臨嚴(yán)峻的安全威脅[4],主要表現(xiàn)在:
(1)各生產(chǎn)網(wǎng)網(wǎng)絡(luò)邊界沒有采用工業(yè)防火墻做隔離,傳統(tǒng)防火墻不能有效識別工控協(xié)議(如ModBus、OPC協(xié)議等)。
(2)各生產(chǎn)車間之間存在數(shù)據(jù)交互(讀寫),但缺乏有效的控制措施。
(3)生產(chǎn)網(wǎng)與辦公網(wǎng)(或管理網(wǎng))之間缺少有效的隔離措施(如工業(yè)防火墻或工業(yè)網(wǎng)閘)。
(4)由于生產(chǎn)網(wǎng)的特殊性(一般來說,從生產(chǎn)線的設(shè)計到使用需要15~30年,設(shè)計之初很少考慮網(wǎng)絡(luò)安全問題),生產(chǎn)網(wǎng)的上位機(jī)、工程師站、HMI、WinCC服務(wù)器大多采用Windows 2000或Windows XP操作系統(tǒng),由于微軟早就不再提供對這些系統(tǒng)的更新和維護(hù),大量的系統(tǒng)漏洞無法修復(fù),存在很大的安全隱患。
(5)各車間存在大量的無線網(wǎng)絡(luò),但這些網(wǎng)絡(luò)往往采用弱密碼口令,且沒有開啟認(rèn)證管理功能。
(6)網(wǎng)絡(luò)中暫時還未形成監(jiān)管機(jī)制,無法做到對事前、事中、事后3個階段的有效監(jiān)控和管理預(yù)警,因此會延誤發(fā)現(xiàn)安全問題的時機(jī),影響業(yè)務(wù)順利進(jìn)行。
(7)現(xiàn)場操作人員安全意識不強(qiáng),很多上位機(jī)、工程師站、HMI等采用了弱口令或共用賬號和密碼,導(dǎo)致權(quán)責(zé)不明,部分現(xiàn)場工控機(jī)USB口未被禁用或未采用監(jiān)管措施。
(8)防病毒軟件沒有及時更新病毒庫,不能有效防護(hù)最新的病毒和木馬,導(dǎo)致多次感染蠕蟲和勒索病毒。
(9)工控設(shè)備自身存在安全漏洞,生產(chǎn)線大量采用西門子產(chǎn)品,但由于該系列產(chǎn)品存在大量的漏洞,這些漏洞可被用于進(jìn)行腳本攻擊,從而改變操作指令,進(jìn)而影響生產(chǎn)的正常進(jìn)行。
(10)缺乏按照測評、風(fēng)險評估、安全整改、安全加固、安全培訓(xùn)、安全托管、安全應(yīng)急等一整套安全服務(wù)體系構(gòu)建的網(wǎng)絡(luò)安全整體解決方案。
(11)單位都制定了應(yīng)急預(yù)案,也會定期進(jìn)行應(yīng)急演練,但是未針對在演練過程中發(fā)現(xiàn)的問題,及時進(jìn)行應(yīng)急預(yù)案修訂,演練多流于形式。
(12)對供應(yīng)商缺少保密協(xié)議的約束。
(13)安全管理組織機(jī)構(gòu)不健全,安全責(zé)任未明確,缺少網(wǎng)絡(luò)安全員崗位,缺乏資產(chǎn)和工控安全的相關(guān)管理制度。
(14)沒有按照國家工控安全相關(guān)標(biāo)準(zhǔn)制定的安全體系。
2.2 工控系統(tǒng)防護(hù)體系存在的問題
從工控防護(hù)體系來看,目前使用最多的還是利用已有產(chǎn)品和技術(shù)[5]的堆砌來構(gòu)建工控安全防護(hù)系統(tǒng),這個不難理解。但構(gòu)建工控安全防護(hù)體系是一個復(fù)雜的系統(tǒng)工程,包含著產(chǎn)品、技術(shù)、服務(wù)、時間、資金等諸多因素,考慮到工控系統(tǒng)的多樣性和復(fù)雜性,這種做法遠(yuǎn)不能滿足客戶需求。因此,傳統(tǒng)安全防護(hù)思路不能用于解決工控安全問題[6]。
市場上流行的另一種主流防護(hù)體系是以漏洞威脅為基礎(chǔ)的工控防護(hù)體系。這種防護(hù)體系借鑒了傳統(tǒng)安全防控理念,但是將其應(yīng)用到工控安全防護(hù)上卻存在如下問題:這是一個事后防御機(jī)制,依賴于對眾多病毒、木馬和異常行為的事先理解和定義。試想:當(dāng)信息戰(zhàn)的第一波攻擊來臨的時候誰能事先定義病毒、木馬和威脅行為的特征?因此,在工控安全領(lǐng)域,這種防護(hù)體系只能用于在第一波攻擊發(fā)生后,防范可能發(fā)生的同種或同類攻擊。這足以說明構(gòu)建基于縱深防御的安全防護(hù)體系的重要性。
還有一種熱門的安全防護(hù)措施是建立保證工控安全的態(tài)勢感知系統(tǒng)[7]。這是建立智能化工控安全防御系統(tǒng)的一個基本前提,也是實現(xiàn)前述以漏洞威脅防護(hù)為基礎(chǔ)的防護(hù)理論的前提,因為只有做到智能感知,才能真正實現(xiàn)快速認(rèn)知、快速定義、快速反應(yīng)、快速防護(hù)和快速應(yīng)急。但要實現(xiàn)態(tài)勢感知需要滿足:大范圍部署精密且精細(xì)的傳感器,貼合實際的安全策略,大數(shù)據(jù)的收集整理和智能挖掘,資金支持和技術(shù)積累,并要充分理解相應(yīng)的工藝流程和應(yīng)用,這樣才能構(gòu)建較為理想的態(tài)勢感知系統(tǒng)。顯然,理想的態(tài)勢感知系統(tǒng)在短期內(nèi)尚難以實現(xiàn)。
綜上所述,構(gòu)建工控安全體系思路的發(fā)展趨勢是:
(1)立體防護(hù):按照資產(chǎn)的重要程度和風(fēng)險等級劃分安全域;利用授權(quán)準(zhǔn)入、訪問控制、通信加密等多種安全機(jī)制,從物理環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計算安全、應(yīng)用和數(shù)據(jù)安全等多個維度來構(gòu)建多重安全防線。
(2)監(jiān)測預(yù)警[8]:構(gòu)建工控安全大數(shù)據(jù)平臺和態(tài)勢感知神經(jīng)網(wǎng)絡(luò),實現(xiàn)快速感知、快速定位、快速定義、準(zhǔn)確預(yù)警、快速溯源和快速應(yīng)急。
(3)定制嵌入:根據(jù)用戶的工控系統(tǒng)的實際情況和需求,定制工控系統(tǒng)安全防護(hù)解決方案,確定風(fēng)控點和安全閾值后,將安全防護(hù)嵌入進(jìn)工控應(yīng)用系統(tǒng)。
(4)IoT融合:只有將整個企業(yè)乃至行業(yè)的信息系統(tǒng)和工控安全關(guān)聯(lián)和整合,才能實現(xiàn)真正的安全大數(shù)據(jù),實現(xiàn)真正意義上的態(tài)勢感知;實現(xiàn)安全大數(shù)據(jù)的深度分析挖掘;實現(xiàn)安全的運維和應(yīng)急。
(5)安全服務(wù):安全服務(wù)是整個工控安全防護(hù)體系的主體和基線。工控安全服務(wù)包括安全測評、風(fēng)險評估、安全咨詢、安全加固、安全事件分析和研判、應(yīng)急值守、安全高級專家在線支持等。
(6)國產(chǎn)化:只有實現(xiàn)工控系統(tǒng)和工控安全防護(hù)系統(tǒng)的國產(chǎn)化才能真正實現(xiàn)“自主可控”,因此,采用國產(chǎn)硬件、國產(chǎn)操作系統(tǒng)、國產(chǎn)安全應(yīng)用構(gòu)建工控系統(tǒng)和工控安全防護(hù)系統(tǒng)將是實現(xiàn)工控安全的必由之路。
3 煙草行業(yè)工控系統(tǒng)安全解決方案
3.1 工控安全防護(hù)體系概述
為解決上述問題,本文設(shè)計了一種融合IoT的工控信息安全防護(hù)體系,如圖3所示。
該解決方案以基本防護(hù)為核心,構(gòu)建多層、多維度的基礎(chǔ)防線,實施區(qū)域重點防護(hù);采用訪問控制、準(zhǔn)入控制、存儲、傳輸加密、審計等技術(shù)作為輔助手段;以網(wǎng)絡(luò)攻擊、流量、漏洞以及內(nèi)部存在的重點風(fēng)險點和薄弱環(huán)節(jié)作為被監(jiān)控的主要風(fēng)險點;將傳統(tǒng)安全與工控安全進(jìn)行融合,建立工控安全大數(shù)據(jù)監(jiān)控、預(yù)警、關(guān)聯(lián)查詢和數(shù)據(jù)挖掘系統(tǒng),快速定位威脅來源。同時輔以按照等級保護(hù)、國家工信部工控安全防護(hù)指南的要求配套的工控安全管理運維和應(yīng)急體系,最大限度地實現(xiàn)對關(guān)鍵基礎(chǔ)設(shè)施的有效縱深防御,從而在“事前”和“事中”階段消除安全威脅,將損失減少到最低。在方案的實施過程中,應(yīng)以國產(chǎn)化的硬件、軟件、技術(shù)體系和管理體系為基礎(chǔ)。
3.2 方案特點
本文提出的方案具有如下特點:
(1)具備行業(yè)特性,貼合行業(yè)實際,嵌入到應(yīng)用中,實用性強(qiáng)。
(2)基于基本的安全防控思想,輔以安全漏洞信息、威脅情報,監(jiān)控重要風(fēng)險點,可防范第一波ARP攻擊。
(3)采用基于服務(wù)的感知監(jiān)測管控體系,可及時感知到異?;蛭粗{,快速分析和定位威脅、修補漏洞,迅速加固并啟動應(yīng)急預(yù)案,從而實現(xiàn)動態(tài)防護(hù)。
(4)將縱深防御策略貫穿于始終,實現(xiàn)分級、分防線策略,將安全嵌入到應(yīng)用中,作為最后一道安全防線,將風(fēng)險值降到最低。
(5)引入風(fēng)控管理平臺,將海量報警信息進(jìn)行具體化和精細(xì)化,重點明確、針對性強(qiáng)、反應(yīng)迅速、指向明確,可追根溯源,快速聯(lián)動反應(yīng)。
(6)將風(fēng)控信息、綜合報警信息、安全態(tài)勢報告可視化,充分顯示工控安全防控的過程和成果。
(7)融合安全大數(shù)據(jù),可快速實現(xiàn)關(guān)聯(lián)查詢分析以及數(shù)據(jù)挖掘。
(8)將安全服務(wù)貫徹始終。
(9)將安全管理貫穿于整個過程。
(10)將國產(chǎn)化基因安全作為最終替代目標(biāo)。
3.3 方案可行性與合規(guī)性
該IoT融合的綜合安全解決方案已在某港口運行了4年,目前還在不斷完善中。在此期間,基本工控安全防護(hù)配備了數(shù)十套工業(yè)防火墻和工業(yè)數(shù)據(jù)隔離交換設(shè)備、6套工業(yè)運維審計系統(tǒng)、近百套白名單軟件、6套廠級工業(yè)監(jiān)管日志平臺、多套無人值守工業(yè)機(jī)房動環(huán)管理;配備了嵌入應(yīng)用的加密傳輸、工業(yè)協(xié)議過濾、阻斷、報警等應(yīng)用系統(tǒng);同時,配合使用了傳統(tǒng)的負(fù)載均衡、高端防火墻、VPN、堡壘機(jī)、風(fēng)控平臺、日志挖掘平臺,并對200多臺服務(wù)器、眾多終端安裝白名單系統(tǒng)打了補丁;通過每年度、每季度、每月進(jìn)行的監(jiān)測、評估、整改、加固、應(yīng)急、托管、高端專家咨詢等安全服務(wù),最終較好地防御住了永恒之藍(lán)、勒索軟件、挖礦程序、變種病毒和木馬等的多次攻擊,取得了良好的防控結(jié)果,保護(hù)了信息系統(tǒng)和工控系統(tǒng)的安全。因此,該方案具有較好的實施可行性和可靠性。
另外,該解決方案是參照工信部工控安全防護(hù)指南的要求[9-10]構(gòu)建的,完全符合工控安全要求。
3.4 方案先進(jìn)性
該方案具有如下先進(jìn)性:
(1)防御理念先進(jìn),該方案可實現(xiàn)多層次、多維度、多防線的基本縱深防御。
(2)該方案可實現(xiàn)由基礎(chǔ)數(shù)據(jù)、基礎(chǔ)傳感器和基層安全設(shè)備分層構(gòu)建的態(tài)勢感知,反應(yīng)靈敏、迅速真實。
(3)將風(fēng)控管理、安全大數(shù)據(jù)分析挖掘、安全預(yù)警應(yīng)急、安全檢測、安全運維、安全管理等服務(wù)貫徹于始終。
(4)對煙草行業(yè)和其他行業(yè)中工控安全防護(hù)具有重大指導(dǎo)意義。
(5)符合與IoT融合發(fā)展的大趨勢。
(6)可打造國產(chǎn)化的基因安全。
4 結(jié)論
在本文中,首先回顧了煙草行業(yè)工控系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)及其特點,然后分析了煙草行業(yè)工控系統(tǒng)安全的現(xiàn)狀和工控系統(tǒng)面臨的安全威脅,最后提出了煙草行業(yè)工控系統(tǒng)安全解決方案及其應(yīng)用情況。本文提出的基于縱深防御的工控系統(tǒng)安全解決方案在煙草行業(yè)的應(yīng)用表明,該方案理念先進(jìn)、貼合實際、符合國標(biāo)、重重布防、預(yù)警應(yīng)急、基因安全、具備較強(qiáng)的可實施性,可為煙草行業(yè)的工業(yè)控制系統(tǒng)安全乃至信息安全提供有力的安全保障。
參考文獻(xiàn)
[1] 魏欽志.工業(yè)控制系統(tǒng)安全現(xiàn)狀及安全策略分析[J].信息安全與技術(shù),2013(2):23-26.
[2] 陶耀東,李寧,曾廣圣.工業(yè)控制系統(tǒng)安全綜述[J].計算機(jī)工程與應(yīng)用,2016(13):8-18.
[3] 崔艷娜,張紅金,李繼安.工業(yè)控制系統(tǒng)漏洞的統(tǒng)計及其分析研究[J].電子產(chǎn)品可靠性與環(huán)境試驗,2018(6):41-46.
[4] 白雪原.工控系統(tǒng)安全威脅及防護(hù)應(yīng)用探討[J].中國信息化,2018(5):70-71.
[5] 李平,李程程.工業(yè)控制網(wǎng)絡(luò)安全防御體系的關(guān)鍵技術(shù)研究[J].中國管理信息化,2019(1):186-189.
[6] 于寅虎.不能用傳統(tǒng)信息安全思路解決工控安全問題——專訪北京威努特技術(shù)有限公司首席技術(shù)官 黃敏[J].電子技術(shù)應(yīng)用,2017(6):1-2.
[7] 陶耀東,賈新桐.工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全態(tài)勢感知框架研究[J].信息技術(shù)與網(wǎng)絡(luò)安全,2018(5):3-6.
[8] 文雅玫,李建強(qiáng),謝博,等.煙草行業(yè)工控系統(tǒng)安全監(jiān)測與管控方案[J].自動化博覽,2018(11):66-68.
[9] 工業(yè)和信息化部.工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估工作管理辦法[OL].(2017-07-31)[2019-01-24].http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5761045/content.html.
[10] 工業(yè)和信息化部.工業(yè)控制系統(tǒng)信息安全防護(hù)指南[OL].(2016-10-17)[2019-01-24]. http://www.miit.gov.cn/n1146295/n1652858/n1652930/n3757016/c5346662/content.html.
作者信息:
何 巍
(湖南中煙工業(yè)有限責(zé)任公司,湖南 長沙410014)