2023烟草行业工业控制系统安全保障体系构建

烟草行业工业控制系统安全保障体系构建工业控制系统制器的集合，主要包括数据监控与采集系统、分布式控制系统、可编程逻辑。ICS属于关键信息基础设施，已被广泛应用于电随着信息通信技术的高速发展，信息化与工业化深度融合以及物联网的广泛应用，工业控制系统

系统也面临着日益严峻的网络安全威胁。对此美美国国家标准与技术研究院控制系统安全指南和组织的安全与隐私控制800-5制系统安全研究领域具有深远影响。我国工业控制系统安全研究起步较晚，由于核心控制设备多为国外品牌，因此大部分是参考国外标准进行后续研究。不过受2010。烟草行业工业控制系统主要分布在卷烟厂、造烟叶加工企业、卷烟材料企业及部分控股多元化企业。为加强工业控制系统安全管理，烟草行业将工业控制系统作为网络安全重点保护对象，发布了《烟草工业企业生产网与管理网网络互联控制系统安全管理和技术规范，从2016年开始每年组织开展全行业工业控制系统安全检查。经初步统计，烟草行业现有近500个工业控制系统，其核心控制器和组态软件以国外品牌为主，安全防护措施较为薄弱，工业控制系统安全管理水平和防护能力亟待加强。为此，通过分析烟草行业工业控制系统所面临的安全风险，构建一种基于全生命周期的烟草行业工业控制系统安全保障体系，以期满足烟草行业信息化与工业化深度融合

烟草行业工业控制系统面临的安全风险烟草行业工业控制系统主要由工业控制层、生产执行层、管理协同层31。工业控制层主要包括SCADADCSPLCHMI等工MES等生产执行系统；管理协同层主要包括ERP管理系统等管理协同系统。通过对部分烟草企业调研，发现当前烟草行业工业控制系统面临的安全风险主要包括网络通信安全风险、设备应用安全风险、日常管理安全风险3方面。网络通信安全风险安全域架构设计有欠缺一些烟草企业在技改规划设计阶段，对工业控制网络与办公管理网络的通信安全、工业控制网络内部安全区域的合理化设计等问题考虑较少，导致网络之间、安全域之间缺少明确的网络安全边界界定，内部数据传输没有得到合理的访问控制，存在企业内部的业务系统、生产系统、工业控制系统和生产数据未经授权访问、感染病毒和木马、受到拒绝服务攻击等风险，容易出现某一系图1烟草行业工业控制系统典型示意图Fig.1Schematicdiagramoftypicalindustrialcontrolsystemintobaccoindustry统遭受攻击，进而导致全网系统瘫痪的安全事件发生。网络之间安全隔离机制不合理一些烟草企业针对办公管理网与工业控制网的网络互联没有建立合理有效的安全隔离机制，通常采用服务器双网卡访问控制、网络设备访问ModbusOPC等主流工业控制协议的数据包识别功能，因此存在被攻击和入侵的风险。PLC控制指令数据通信明文传输大部分烟草企业没有对数据传输进行加密，不论是办公管理网或工业控制网的内部数据通信、办公管理网的办公终端与工业控制网的数据采集服务器之间的数据通信、上位机与PLC控制器之间的数据通信，还是通过主流工业控制协议控制生产设备时传输的各种指令信息，均采用明文传输，有可能被窃听和解析。工业控制系统无线网络管控机制不完善一些烟草企业尚未对工业控制系统使用的无线网络实行统一管控，在生产车间建设无线网络时仅考虑生产业务的可用性，而忽视无线接入的安全性，特别是近年来广泛应用的AGV无线引导小车，由上位机组态软件通过无线网络对车载PLC进行实时控制，若缺少无线接入安全认证措施，有可能被攻击者恶意接入并通过无线网络对车载PLC进行控制，影响AGV小车的正常运行。工业控制系统安全审计机制缺失大部分烟草企业缺乏对工业控制系统日常运维人员操作行为的统一运维审计管理，对于因人为原因造成的生产业务异常事件无法溯源，也无法找到事件发生的根本原因，影响对事件的定性分析。设备应用安全风险工业控制系统自身存在漏洞经了解，烟草企业工业控制系统的核心控制器以SiemensS7系列PLCRockwellABPLCGEPLC为主。目前在工业控制系统存在公开漏洞的厂商中，占28%GE占7%Rockwell占5%个厂商的公开漏洞数量已超过总数的40%。在上述公开漏洞中，可引起业务中断的拒绝服务类漏洞占33%%信息泄露类漏洞占16%，远程控制类漏洞占8%。基于工业控制系统的恶意代码传播目前，国内已出现基于工业控制系统的蠕虫

病毒，该类病毒在工业控制系统的PLC之间传播，无需借助工业控制系统中的服务器和管理终端。通常情况下，PLC恶意代码传播会先寻找PLC的IP地址，尝试是否可连接成功并检测PLC是否感染病毒，若连接失败或未感染病毒则寻找下一个目标；若连接成功且已感染病毒，蠕虫病毒则会利用PLC自身协议的脆弱性，远程改变PLC操作指令，影响生产设备的正常运行。关键生产设备HMI用户登录安全管理欠缺一些烟草企业生产车间关键生产设备的现场操控触摸屏HMI用户登录安全管理欠缺，普遍存在不设密码、弱口令、多人共用一个口令、多个设备共用一个口令等现象，同时操作行为也缺少日常监管，存在关键生产设备被越权操作的风险。工程师站、操作员站和管理终端自身安全风险烟草企业的工程师站、操作员站和管理终端通常使用Windows操作系统，由于担心影响工业控制软件的正常运行，一些企业的工程师站、操作员站和管理终端从未开展过操作系统安全补丁升级，也未安装防病毒软件，从而给感染和传播病毒木马留下了空间。终端远程运维风险烟草企业的关键生产设备、工程师站、操作员站和管理终端通常只允许在本地操作，但一些企业为了生产设备检修方便，在操作员站通过互联网和即时通讯工具与设备原厂商工程师进行沟通交流，并利用即时通讯工具的远程支持功能允许原厂商工程师对设备进行远程检修操作，存在未经授权访问、违规操作、感染病毒木马等风险。工业控制系统移动存储设备接入安全风险作员站和管理终端没有采用物理封闭USB接口措施，对于工作人员在生产车间使用USB移动存储设备管理不严格，存在未经授权接入窃取生产工艺数据、感染病毒木马等风险。日常管理安全风险从事工业控制系统安全工作人员欠缺烟草企业工业控制系统的安全工作通常由负责系统运维的设备管理部门与负责网络安全的信息化部门共同承担，由于两个部门的工作职责和工作重点各不相同，存在工业控制系统工程师不懂网络安全、网络安全工程师不懂工业控制系统的现象，导致真正从事工业控制系统安全工作人员欠缺。关键生产岗位人员工业控制系统安全意识薄弱烟草企业工业控制系统的运维工作通常由设备管理部门的工程师和生产车间工作人员完成，这些人员平时对生产安全意识较强，注重工业控制系统的可用性，但对工业控制系统安全风险关注较少，系统安全意识薄弱。工业控制系统应急保障机制不完善一些烟草企业仅有生产车间停电、发生生产安全事故的工业控制系统应急预案，缺少针对工业控制网络中断、服务器软硬件故障、感染病毒木马、遭受外部网络攻击等方面的应急预案，一旦发生上述网络安全事件会对生产业务活动造成严重影响。工业控制系统设备文档保存机制不完善一些烟草企业没有完善的设备文档保存机制，由于工业控制系统已正常运行多年，原有的操作指南和故障快速恢复指南早已丢失，仅保留了处理设备常见故障的技术文档，一旦设备因感染病毒木马或遭受外部网络攻击而发生故障，难以快速解决设备的非常见故障。基于全生命周期的烟草行业工业控制系统安全保障体系的构建构建工业控制系统安全保障体系是一项复杂

的系统工程，其建设过程需要对人员、资金、工业控制系统及其软硬件设备等安全维度进行统筹规划设计，将网络安全融入到工业控制系统的全生命周期当中贯穿始终，实现工业控制系统的功能安全与信息安全的全方位深度融合［4］。基于全生命周期的工业控制系统安全保障体系共分6个阶段进行实施，见图2。该体系在构建过程中，每个阶段具有不同要的网络安全风险，提出有针对性的工业控制系统安全建设方案。②设备选型阶段，根据确定的工相关安全认证的工业控制系统和网络安全设备。③上线测试阶段，聘请网络安全专业机构对正式上线前的工业控制系统进行严格的安全评估，发现安全漏洞、隐患和问题要及时进行整改。④运行维护阶段，采取访问控制、安全审计、运维审计等措施，落实网络安全管理要求。⑤维修检修阶段，根据工业控制系统维修检修的周期，建立同步的周期性网络安全检查机制，继续聘请网络安全专业机构对工业控制系统进行风险评估和复测验证。⑥下线报废阶段，当工业控制系统下线或报废时，对工业控制系统的残余风险进行评估，确保工业控制系统顺利下线，不影响正常的生产业务活动。图2基于全生命周期的工业控制系统安全保障体系示意图Fig.2Schematicdiagramofindustrialcontrolsystemsecuritysystembasedonwholelifecycle工业控制网与办公管理网安全互联按照《烟草工业企业生产网与管理网网络互工业控制网与办公管理网及其他网络安全互联要口安全功能。工业控制网与办公管理网安全互联结构见图3。分层分域设计工业控制网是烟草企业的核心安全域，可依

划分安全域，例如卷烟厂内部网络可划分为管理协同层、生产执行层、工业控制层以及制丝接入见图4。安全域之间访问控制在烟草企业内部网络中，管理协同层与生产用代理、事件审核和警告等安全功能。工业控制图3工业控制网与办公管理网安全互联示意图Fig.3Schematicdiagramofsecureinterconnectionbetweenindustrialcontrolnetworkandofficemanagementnetwork图4工业控制网分层分域示意图Fig.4Schematicdiagramofhierarchyandsecuritydomainofindustrialcontrolnetwork层内部各安全域之间采用可识别工业控制协议数据包的工控安全防火墙，对常用工业控制协议和应用数据内容的数据包进行解析、检查及过滤，阻断来自办公管理网的疑似攻击、病毒木马等行为。工业控制系统白名单运行由于工业控制系统边界清晰、内部流量相对单一且面临的未知威胁较多，因此适用于建立工业控制系统白名单运行机制，确保生产操作人员

获得合法、安全、可追溯的操作环境［5］。白名单运行机制就是利用基于异常检测六元组模型，通过对多数据源进行信息采集，与远程安全评估工具、工控安全防火墙共同构建基于过程管控的白名单运行环境，在工业控制系统内部实现安全风险可控，见图5。工业控制系统恶意代码检测目前国内的工业控制系统恶意代码检测工具图5基于异常检测六元组模型的白名单运行机制示意图Fig.5Schematicdiagramofwhitelistoperationmechanismbasedonsix-tuplearrayanomalydetectionmodel还处于起步阶段，针对工业控制系统恶意代码检测与防范的最佳实践是将系统安全脆弱性检测与工业控制网安全监测相结合，即在定期对工业控制系统进行漏洞扫描、安全评估等脆弱性检测的同时，对工业控制网中的异常报文进行实时监测，经综合分析后可检测出恶意代码的存在。工业控制协议安全审计对主流工业控制协议的操作指令进行有效识别和安全审计，即通过对工业控制协议特征值的

提供了依据。工业控制系统安全评估建立工业控制系统正式上线前的安全评估机制，在系统正式上线前聘请网络安全专业机构对工业控制系统进行安全评估，发现系统中潜在的安全漏洞、隐患、风险和问题并及时组织整改。工业控制系统安全评估差异见表1。鉴于工业控度大等情况，针对工业控制系统的安全评估相比传统的等级保护测评和风险评估需要更加谨慎，确保对工业控制系统的影响最小。表1工业控制系统安全评估差异Tab.1Differenceofsecurityevaluationofindustrialcontrolsystem评估对象系统服务系统漏洞

传统安全评估手段如如如

工业控制系统安全评估手段手工配置检查；物理线缆跟踪/检索；数据包被动监听；控制扫描范围如Netsta如 与CVE漏洞库信息对比测试环境扫描 工业控制系统异常行为监测预警建立工业控制系统异常行为监测预警机

制，见图6。通过建设工业控制系统安全监测预警系统，可以监测和采集工业控制设备的运行日图6工业控制系统异常行为监测预警