基于煙草工控網(wǎng)絡安全防護策略與應用

◆孟 瑾 石懷忠 崔建華

基于煙草工控網(wǎng)絡安全防護策略與應用

◆孟 瑾 石懷忠 崔建華

（河南中煙工業(yè)有限責任公司安陽卷煙廠 河南 455006）

隨著“互聯(lián)網(wǎng)+”、中國制造2025等國家戰(zhàn)略方針的出臺，特別是物聯(lián)網(wǎng)的飛速發(fā)展、兩化的深度融合，各企業(yè)大力推進工業(yè)控制系統(tǒng)的集中化、集成化管理，系統(tǒng)的互聯(lián)互通性逐步加強。工業(yè)控制網(wǎng)絡與辦公網(wǎng)、外部互聯(lián)網(wǎng)等網(wǎng)絡連接，接踵而來的各種病毒威脅正向工控系統(tǒng)擴散，各種邊界的防御對工業(yè)控制系統(tǒng)的通用性與開放性提出了更高的要求。本文針對某煙草企業(yè)工控網(wǎng)絡存在的安全問題，結(jié)合PPDR模型給出了相應的安全措施和防護策略，并結(jié)合用AHP方法確定的信息安全風險定級與用煙草工控網(wǎng)絡安全防護系統(tǒng)的專業(yè)工具進行危險漏洞檢測進行對比，結(jié)果差異不大。

工業(yè)控制系統(tǒng)；網(wǎng)絡安全；防護策略；煙草行業(yè)

2009年，某煙草企業(yè)生產(chǎn)車間的控制網(wǎng)絡被集多種控制方法于一體的“灰鴿子”病毒感染，該病毒可以在控制網(wǎng)絡中發(fā)送大量的ARP廣播報文，對PLC等工控設備的DoS攻擊，最終導致企業(yè)停產(chǎn)[1]。

2010年，某煙廠車間的Wincc服務器遭受病毒感染，導致與Wincc服務器連接的各終端設備通信中斷，車間生產(chǎn)中斷。專家研究發(fā)現(xiàn)，這是由于網(wǎng)絡中感染了未知病毒，使Wincc服務器遭受到拒絕式服務攻擊，最終導致了整個網(wǎng)絡癱瘓[2]。

據(jù)國家計算機病毒應急處理中心統(tǒng)計2019年3月共發(fā)現(xiàn)病毒7，210，886個，感染計算機10，515萬臺，其傳播途徑主要以“網(wǎng)絡釣魚”、“網(wǎng)頁掛馬”和漏洞為主，發(fā)現(xiàn)病毒數(shù)、新增長的病毒數(shù)、感染計算機數(shù)相比于2月份分別下降了3.2%、15%、8.1%[3]。

隨著工業(yè)4.0時代的到來，工業(yè)控制系統(tǒng)由于自身的脆弱性和系統(tǒng)漏洞，給黑客入侵工業(yè)控制網(wǎng)絡提供了通道，并且除了這些漏洞之外，各種病毒、特洛伊木馬、蠕蟲等都潛在的威脅工業(yè)安全。在企業(yè)中的各種設備、服務器與服務器、設備與服務器間的邊界變得相對模糊，暴露的信息網(wǎng)絡安全問題愈發(fā)突出。

煙草生產(chǎn)系統(tǒng)只在生產(chǎn)職責上自然區(qū)分了制絲、卷包、物流、動力能源等各個車間，但是各個車間之間安全區(qū)域劃分不清晰，邊界訪問控制策略缺失等問題導致一處服務器或操作站感染病毒后，可以迅速通過工控網(wǎng)絡傳播到其他設備直接影響HMI、PLC等設備的正常運行。

1 煙草行業(yè)國內(nèi)工業(yè)安全狀況

煙草行業(yè)作為國民經(jīng)濟的支柱產(chǎn)業(yè)之一，在煙草行業(yè)中大量使用工業(yè)控制系統(tǒng)。在工業(yè)化和信息化融合的大趨勢、大背景下，控制網(wǎng)與辦公網(wǎng)的互聯(lián)互通成為必然發(fā)展趨勢。從目前來看煙草行業(yè)工控網(wǎng)與辦公網(wǎng)、管理網(wǎng)的連接幾乎沒有任何邏輯隔離和檢測防護。工控網(wǎng)絡中幾乎沒有針對外部攻擊和病毒感染的發(fā)現(xiàn)、防御手段，當各種病毒、特洛伊木馬、蠕蟲等外部威脅源進入管理網(wǎng)、辦公網(wǎng)后，就可以直達現(xiàn)場控制層網(wǎng)絡，直接威脅到工業(yè)生產(chǎn)。行業(yè)內(nèi)組成工控網(wǎng)絡的設備如各類操作站、服務器、終端等，幾乎都是Windows系統(tǒng)系列，為保證相關工業(yè)軟件與系統(tǒng)的兼容性、生產(chǎn)的穩(wěn)定性，不能給其安裝殺毒軟件和系統(tǒng)升級。目前大多數(shù)的工業(yè)控制系統(tǒng)的協(xié)議和設計的產(chǎn)品，往往在于功能的實時性和可用性，而忽視工業(yè)控制系統(tǒng)的相關防御策略和方法。相關操作人員及安全管理人員和外部運維人員在管理和操作過程中，缺乏科學管理和專業(yè)技術運維、防護手段，如各操作站U盤濫用、文件共享等，讓工控系統(tǒng)脆弱性暴露的一覽無余。在自身安全性不高的情況下運行，這樣的工控系統(tǒng)就會存在著大量漏洞和安全隱患[4]。

煙草行業(yè)的工控系統(tǒng)主要由SCADA數(shù)采系統(tǒng)和PLC控制系統(tǒng)、IFIX、Wincc服務器等的設備控制層、集中監(jiān)控層、生產(chǎn)管理層三層體系結(jié)構(gòu)構(gòu)成。由工業(yè)交換機組成的工業(yè)環(huán)網(wǎng)是制絲生產(chǎn)工控系統(tǒng)典型特征，環(huán)網(wǎng)上的控制設備分別接入由工業(yè)交換機、IO服務器與操作員站等組成集中監(jiān)控網(wǎng)絡。管理網(wǎng)通過接入的交換機與車間各種數(shù)據(jù)庫服務器、Wincc服務器、OPC數(shù)采服務器、Web服務器等進行數(shù)據(jù)交換。車間數(shù)據(jù)管理層為ERP或MES系統(tǒng)提供數(shù)據(jù)，圖1為某煙廠制絲工控系統(tǒng)網(wǎng)絡架構(gòu)[5]。

就目前而言國內(nèi)的大多數(shù)煙草行業(yè)在工業(yè)控制系統(tǒng)網(wǎng)絡安全方面主要情況如下：

（1）行業(yè)工控系統(tǒng)中Siemens和Rockwell的PLC占90%以上，而這些控制器被發(fā)現(xiàn)存在大量安全漏洞[6]。

（2）工業(yè)控制系統(tǒng)需要ERP或MES系統(tǒng)相連，相應的ERP或MES系統(tǒng)均部在管理網(wǎng)，企業(yè)管理網(wǎng)直接與互聯(lián)網(wǎng)相連接。

（3）僅有極少部分操作員站部署了防病毒系統(tǒng)，但未定期升級病毒庫，其他操作員站均未部署安全防護措施。

（4）企業(yè)內(nèi)相關操作人員及工控安全管理人員已意識到工業(yè)安全的重要性，但如何建設，急需相關標準的指導。

縱觀安全建設的歷程，由于業(yè)務需求的不斷提升，攻擊手段日益革新，防護手段也隨之增強，由于被動的響應造成現(xiàn)在防護體系繁雜無效的現(xiàn)狀。

2 網(wǎng)絡安全防護模型

根據(jù)網(wǎng)絡信息需求的特點，以及目前存在網(wǎng)絡安全措施和防護體系，一個最常見的安全模型是PPDR模型[7-9]，即安全策略（Policy)、防護（Protection)、檢測（Detection)和響應（Response)。PPDR模型是在網(wǎng)絡安全整體的安全策略的控制和指導下，綜合運用防護工具（如防火墻、身份認證、加密工具等）的同時，利用檢測工具（如漏洞掃描工具、工控專用審計設備、工控專用防火墻）掌握和評估分析系統(tǒng)的安全狀態(tài)。在這個過程中通過防護、檢測和響應組成整體的、動態(tài)的安全循環(huán)，在安全策略的驅(qū)動下對系統(tǒng)的實時調(diào)整響應，讓系統(tǒng)處于比較安全的狀態(tài)。

圖1 某煙廠制絲工控系統(tǒng)網(wǎng)絡架構(gòu)

圖2 PPDR模型

其中為系統(tǒng)設置安全防護后的防護時間也是威脅源入侵攻擊安全目標后所需的時間；為當開始入侵到檢測到入侵行為所需的時間；為檢測到入侵并作出響應，同時將系統(tǒng)再調(diào)整到正常狀態(tài)的時間；為目標系統(tǒng)暴露的時間。

如果能滿足（1）所示，系統(tǒng)設置安全防護后的防護時間大于開始入侵到檢測到入侵行為所需的時間和響應時間之和，說明在入侵攻擊者危害到安全目標之前就能將其檢測出來并及時處理掉。對于保護的目標而言，越小，系統(tǒng)暴露的時間越短目標就越安全。假如≤0，那么基于PPDR模型可認為系統(tǒng)安全。為確保目標的安全則需增加防護時間，同時盡量縮短檢測時間和響應時間。

為了構(gòu)建起網(wǎng)絡邊界的防御壁壘，通過防火墻構(gòu)建了融合安全的防護體系。通過安全能力的融合系統(tǒng)能夠?qū)崿F(xiàn)事前風險預知、事中完整全過程防護、事后響應和檢測的閉環(huán)，同時將安全能力及數(shù)據(jù)進行集中布控，避免防御短板阻斷高級威脅。

3 安全防護措施

在整個網(wǎng)絡攻擊的過程中，攻擊者往往也遵循一定的流程。在攻擊初期進行網(wǎng)絡探測確定攻擊目標尋找安全漏洞，然后再進行邊界突破獲取控制權限，再通過持續(xù)滲透或橫向移動獲取更多的控制權，最終進行竊取破壞獲得最大的戰(zhàn)果。

為了應對此類網(wǎng)絡攻擊必須要構(gòu)建完整的防護體系，實現(xiàn)針對攻擊流程的全程保護。在事前階段對資產(chǎn)實現(xiàn)自動發(fā)現(xiàn)并進行風險及策略的評估，實現(xiàn)風險預知；在事中通過最新的威脅情報對L2-7層實現(xiàn)聯(lián)動防御的效果；在事后持續(xù)檢測異常行為發(fā)現(xiàn)潛在威脅，并對已經(jīng)發(fā)現(xiàn)的問題提供快速響應防止事件擴大。

圖3 防護體系

3.1 事前風險預知

對于現(xiàn)有的資產(chǎn)，由于各類終端主機的操作系統(tǒng)及作用各不相同，所以每個資產(chǎn)的安全漏洞也便各不相同。一個能夠快速篩選并定位需要保護的資產(chǎn)就顯得極其重要。通過資產(chǎn)發(fā)現(xiàn)可以保證安全策略真正的產(chǎn)生應有的效果。

通過數(shù)據(jù)包中應用的版本信息，展示相關版本中存在的漏洞；通過網(wǎng)站請求包中傳輸?shù)男畔ⅲ瑱z測是否對輸入信息進行限制，服務器是否會做出相應來判定是否存在漏洞；通過數(shù)據(jù)包中的信息發(fā)現(xiàn)服務器的不安全配置等信息，如：數(shù)據(jù)庫錯誤信息、響應包中允許文件的任意上傳。

通過智能識別訪問流量記錄業(yè)務相關信息，自動生成策略避免策略遺漏造成的安全風險。

3.2 事中積極防御

網(wǎng)絡攻擊從早期的網(wǎng)絡層攻擊到應用層，又到現(xiàn)在的WEB層攻擊，攻擊手段不斷演進。想要完整的實現(xiàn)事中防御的能力必須要整合傳統(tǒng)防火墻、IPS、WAF防護能力，通過實現(xiàn)L2-7層的安全防護避免出現(xiàn)安全防護的短板。

過往的安全設備間缺少功能的聯(lián)動，即使演進到UTM也因為缺乏應對WEB攻擊的防護能力而力不從心。各功能模塊間的聯(lián)動可以幫助我們完整的對攻擊鏈條進行有效分析，通過集中的安全防護將安全事件進行歸類分析，能夠更有效應對新的網(wǎng)絡安全形勢。模塊間的聯(lián)動機制更加可以幫助設備在防護過程中減少資源損耗，當通過整體分析確定攻擊行為后可直接在網(wǎng)絡層畸形阻斷避免攻擊流量損耗應用層資源。

3.3 事后檢測響應

很多攻擊都是通過先實現(xiàn)單點突破后再進行持續(xù)滲透或橫向移動的，在這類問題的解決上通過原有的對外防御已經(jīng)沒有意義。為了發(fā)現(xiàn)此類行為必須通過分析網(wǎng)絡中的異常行為進行判斷。通過多種異常行為檢測的方式發(fā)現(xiàn)網(wǎng)絡中的失陷主機掐斷攻擊跳板，避免隱患爆發(fā)。

當安全事件發(fā)生時需基于安全事件的具體內(nèi)容提供相應的策略配置模板及解決方案，進行快速的問題處理，避免因為問題處理的延誤導致事件擴散造成更大的損失。

4 網(wǎng)絡安全防護系統(tǒng)應用

結(jié)合某煙廠的制絲工控系統(tǒng)網(wǎng)絡，用安全防護系統(tǒng)掃描得到車間資產(chǎn)。根據(jù)信息資產(chǎn)的保密性、可用性、完整性，對系統(tǒng)資產(chǎn)進行分析并完成統(tǒng)計如表1。

表1 某煙廠車間系統(tǒng)資產(chǎn)賦值情況表

通過在風險分析過程中結(jié)合資產(chǎn)價值、威脅發(fā)生的可能性、安全弱點的嚴重性，利用相關矩陣法根據(jù)威脅發(fā)生的頻率值和脆弱性嚴重程度值在安全事件可能性矩陣中進行對照，從而獲取安全事件發(fā)生可能性。根據(jù)AHP方法對風險進行評估，分析安全事件發(fā)生的可能性確定各資產(chǎn)的風險等級，對各資產(chǎn)的風險等級進行統(tǒng)計，某煙廠不同等級風險的分布情況如表2所示。

表2 風險等級情況表

某煙廠防護系統(tǒng)用工控專用漏洞掃描工具、工控專用審計設備、工控專用防火墻、IDS4種工具進行檢測，分別對漏洞利用攻擊檢測、WEB應用攻擊檢測、僵尸網(wǎng)絡檢測、業(yè)務弱點發(fā)現(xiàn)、異常流量、網(wǎng)頁篡改監(jiān)測、黑鏈檢測、主機漏洞、服務器漏洞等進行檢查，得出圖4的某煙廠具體高危漏洞掃描結(jié)果。

圖4 某煙廠危漏洞掃描結(jié)果

圖5 安全防護系統(tǒng)保護結(jié)果

圖6 安全防護系統(tǒng)入侵嚴重性等級

由上可見，經(jīng)過用AHP方法進行風險評估與分析確定的信息安全風險定級與用漏洞掃描工具、工控專用審計設備、工控專用防火墻等工具進行檢測結(jié)果差異不大。

實現(xiàn)基于主機應用角色之間的訪問控制，做到可視化的安全訪問策略配置，對應用服務之間訪問進行隔離控制。優(yōu)先對所有的服務器進行業(yè)務安全域的邏輯劃域隔離，減少了非法人員對物理、虛擬服務器攻擊機會，集中統(tǒng)一管理服務器的訪問控制策略。在發(fā)生病毒感染情況下，將威脅放置在可控范圍內(nèi)，從而有效提升網(wǎng)絡安全防護水平。

通過對工控系統(tǒng)部署相應的專用工具和軟件系統(tǒng)進行防護，把管理網(wǎng)和生產(chǎn)網(wǎng)進行隔離從而確保生產(chǎn)網(wǎng)不會受管理網(wǎng)的影響，保證生產(chǎn)網(wǎng)邊界安全；對工控系統(tǒng)采用相應的監(jiān)測、防護手段，確保整個車間網(wǎng)絡安全；利用獨有的實時漏洞功能，幫助實時發(fā)現(xiàn)現(xiàn)有漏洞進行針對性防護，為企業(yè)提供安全防護的策略，對系統(tǒng)實時保駕護航。針對現(xiàn)有資產(chǎn)的漏洞進行安全防護可以幫助我們更好地實現(xiàn)安全防護的價值。

5 結(jié)束語

本文根據(jù)煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡安全的應用需要，以PPDR模型為基礎建立相應的網(wǎng)絡安全防護系統(tǒng)，結(jié)合AHP方法從資產(chǎn)、威脅點和脆弱性進行風險評估與分析確定的信息安全風險定級與采用了工控專用工具進行檢測對比，得出了檢測的該信息系統(tǒng)正處于高風險運行狀態(tài)下。在對工控系統(tǒng)進行防御的過程中，可查看安全防護系統(tǒng)保護結(jié)果、入侵嚴重性等級、全過程可查可控，在系統(tǒng)中對整個工控安全狀況呈現(xiàn)，聯(lián)合各個防護點組成一個全面的防護體系，保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運行。

[1]2009年中國電腦病毒疫情及互聯(lián)網(wǎng)安全報告[EB/OL].(2010-01-28).http://www.china.com.cn/economic/txt/2010-01/28/content_19324417.html.

[2]張克偉，曹興強，劉貴陽，白書超，等.煙草工業(yè)控制系統(tǒng)安全防護分析與對策[J].科技論壇，2014（2）:145.

[3]梁宏，孫波.2019年3月計算機病毒疫情分析[J].權威分析，2019（5）:91.

[4]耿欣.煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系構(gòu)建[J].煙草科技，2017，50（12）:99-105.

[5]陳興畢，李源，殷耀華等基于煙草工控系統(tǒng)網(wǎng)絡安全風險評估的研究與應用[J].信息技術與網(wǎng)絡安全，2019（7）:19-26.

[6]符鑫峰.工業(yè)控制系統(tǒng)信息安全分析及應對策略[J].冶金自動化，2018，42（1）.

[7]楊雪梅.基于PPDR模型的關鍵應用信息系統(tǒng)防御體系[J]，計算機與應用化學，2010（8）:1154-1156.

[8]唐擁政，王春風.基于PPDR的動態(tài)無線網(wǎng)絡安全模型的改進研究[J].鹽城工學院學報（自然科學版），2013（3）:38-43.

[9]佟洋.網(wǎng)絡入侵檢測系統(tǒng)模型的研究[D].東北師范大學，2013.