基于AP2DR2模型的煙草商業企業物流工業控制系統防護分析

洪海舟

[摘 要]隨著工控安全事件的頻發，國家信息安全戰略把工控安全納入了相關戰略規劃，工控安全建設也在各個行業全面鋪開。國家煙草專賣局高度重視行業工控安全，不斷進行行業網絡信息安全自查和巡檢，大力推進行業工控安全建設。工控安全作為煙草商業企業網絡信息安全的薄弱地帶，工控安全建設一直處于探索中。為了彌補行業網絡信息安全短板，提出以AP2DR2網絡安全模型構建的全方位、多層次的工控系統信息安全防護體系，為維護煙草商業企業物流工控系統的信息安全提出相關建議，以有效保障煙草商業企業工控系統信息安全。

[關鍵詞]煙草商業企業;AP2DR2;工業控制系統;信息安全

doi：10.3969/j.issn.1673 - 0194.2020.18.041

[中圖分類號]F270.7;TP315[文獻標識碼]A[文章編號]1673-0194（2020）18-00-02

0? ? ?引 言

隨著信息技術的不斷發展，工業化進程逐漸加快，不斷推動工業產業發展。隨著“中國制造2025”戰略的提出，工控系統信息安全已經成為兩化融合的重要組成部分。國家煙草專賣局根據國內外工控系統的安全形勢和工信部的要求，結合煙草行業內工控系統的基本情況做出了積極響應，以全面推進煙草行業工控安全建設。

1? ? ?煙草商業企業工控系統特征及現存問題

煙草行業卷煙生產工控系統主要有SCADA和PLC兩大類。由于各企所涉及的幾類工控系統在組網方式、系統構成等方面存在差別，可歸納為：物流控制類、絲葉生產類、獨立控制類、動力控制類4類。煙草商業企業引進的工控系統，主要用來進行卷煙分揀和倉儲，具有以下幾種特征：一是煙草商業企業采用的工控系統核心設備均由國外引進，國產化率低;二是以滿足業務功能為第一要務，工控系統依賴設備，獨立于信息系統外;三是各商業企業的工控設備建設時期不同，工控設備技術差異性大。目前，工控系統開始大量采用數字信息技術，使用普遍的通信協議，企業的工控系統已經逐步演變為由生產調度層、現場控制層、企業管理層組成的自動化信息系統。通過生產網與管理網互聯互通，整合進入相關IT系統，成為企業信息系統的一部分。工控系統在面對病毒、APT攻擊等網絡安全威脅時毫無還手之力。本文以煙草商業企業典型的物流控制工控系統為例，進一步分析企業面對的威脅與風險，并利用相關模型進行整體防護設計，以維護商業企業物流工控系統

信息安全。

2? ? ?基于AP2DR2模型的物流分揀倉儲工控系統防護設計

AP2DR2模型由以下6個部分構成，包括：風險分析（Assessment）、安全策略（Policy）、系統防護（Protection）、實時檢測（Detection）、實時響應（Reaction）和災難恢復（Restoration）。在AP2DR2模型中，風險評估是網絡安全的首個重要環節，利用風險評估可以了解網絡安全面臨的風險。沒有絕對的靜態網絡安全系統，通過6個環節的不斷循環，網絡安全系統逐漸完善，進而切實保障網絡安全。

2.1? ?風險分析

典型的物流工控系統網絡可以分為監督控制層、現場控制層、現場設備層。根據現場情況看，生產網和管理網相連，通過VLAN進行隔離。業務上各車間工控系統與管理網相連缺少必要防護措施，導致管理網風險引入工控系統。控制系統中的主機、操作站使用的操作系統均為微軟的Windows系統，而微軟已停止支持Windows XP服務，使系統工作的主機、操作站面對更多漏洞。另外，所有主機、操作站和服務器的安全配置均為自動化集成商在建設系統時采用的默認配置，在投產后長時間運行過程中不會變更配置，且日常運維人員對配置信息掌握不充分。目前，物流工控系統采用的工業控制設備以西門子PLC為主，廣泛應用的S7-300、S7-400等型號均有大量高危漏洞被曝出，利用這些漏洞進行攻擊將導致控制設備宕機，使現場發生生產事故。

2.2? ?安全策略

按照《工業控制系統信息安全防護指南》中的要求，在物流分揀倉儲工控系統信息安全策略大致可以分為物理安全、網絡安全、主機安全、工業控制設備安全、數據安全等。

2.2.1? ?物理安全策略

在現場各個系統操作站等主機設備部署操作站安全管理系統，形成對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域的訪問控制，對操作站、工程師站以及服務器等主機設備的USB、光驅、無線等接口進行嚴格外設控制，避免外設端口成為攻擊入口，形成第一道物理安全防護屏障。

2.2.2? ?網絡安全策略

一是在網絡邊界部署工業防火墻，同時在主要工控網絡設備開啟日志記錄并定期進行審計，阻斷來自管理網的非法行為。二是對工業網絡設備進行安全配置核查審計，對于安全配置較差的設備，在保證生產的前提下變更安全配置。三是強化工業控制網絡設備身份認證。四是在工業控制網絡中部署工控異常監測系統，監控工控系統入侵行為及異常訪問。五是在資產安全方面，對現場控制系統中的關鍵網絡設備（如工業環網上聯交換機）進行冗余配置，增強工業網絡可靠性。

2.2.3? ?主機安全策略

首先，建立完全仿真的測試系統用于防病毒軟件或應用軟件更新測試，確保所有殺毒軟件病毒庫更新不會對現場控制系統產生影響，然后對相關設備進行安全配置核查審計，同時部署工控漏洞掃描系統，避免因主機設備安全配置不足導致主機設備遭受攻擊。其次，使用口令密碼、USB-Key、智能卡等多種認證手段。對工業主機設置訪問密碼，并規范密碼標準，確保工業主機設備不會被非授權人員輕易訪問。最后，對現場控制系統I/O服務器進行冗余配置，避免因I/O服務器宕機帶來的影響。

2.2.4? ?工業控制設備安全策略

一要核查各類設備安全配置情況并進行審計，及時發現重大工控漏洞。二要提高工業控制設備的身份認證強度。三要對工控異常訪問行為及違法操作進行安全防護，防止工業控制設備遭受入侵攻擊。四要統計現場控制系統系統資產清單，確保相關人員全面掌握現場控制系統內工控設備的具體信息。

2.2.5? ?數據安全策略

部署容災備份系統，提供文件備份、數據庫備份、操作系統、虛擬機等幾大備份功能，保證工業生產數據可用性，在發生數據丟失、篡改等未知數據損害事件后能夠及時恢復生產數據。

2.3? ?系統防護

通過在兩個網絡邊界設置強度不同的安全設備，實現兩個網絡之間的數據交互或安全隔離。例如，工控防火墻與防病毒網關，可以設置一個訪問控制策略，使在數據交換過程中僅能進行數據交換。對于特殊的應用，可以部署工控設備單向導入、工控網閘進行隔離等，也可以采取某些技術實現工控網絡和管理網絡之間的數據交換，如信息擺渡技術。在系統運行過程中，可能因為安全設備單點出現故障導致系統不能正常運行，因此，工業防火墻要有Bypass功能。另外，為了有效避免惡意攻擊、DDoS攻擊，設備聯網干擾，企業應在各種安全分區之間部署檢測入侵的系統。同時，還要檢測工控系統邊界接入的外部設備，并制定相應的防范措施。

2.4? ?實時監測

通過部署工控異常檢測系統實現對工控系統網絡內實時異常監測。異常監測的第一個環節是梳理工控網內上位機、I/O服務器、PLC（DCS控制器）等設備間網絡流秩序的連接關系。同時，由于大多工控系統的服務器到控制器之間采用TCP/IP協議，那么對其協議攻擊的檢測也必不可少。第二個環節是對工控系統中存在的已知木馬后門、蠕蟲病毒的入侵行為以及網絡掃描探測行為的檢測，通過白名單的自學習功能，及時實現從操作站到PLC的異常操作。第三個環節是工控系統操作員站、工程師站、服務器、組態軟件及PLC的漏洞發現以及上述設備的統一性能監測和日志采集及集中管理，以便在發現網絡安全威脅時集中應對。第四個環節是對操作站的U盤及外設管理，以減少病毒感染。

2.5? ?實時響應

如果出現了入侵，那么入侵檢測系統就要及時檢查到，然后向相關人員發出警報，與此同時，還要協助聯動設備阻止入侵，例如，工業防火墻。工控系統應該設置關鍵參數的閥值，如果超過閥值則要發出警報，在邊界中，關鍵的網絡設備應該采用雙機熱備部署，以避免因為單點故障造成網絡癱瘓。

2.6? ?災難恢復

工控系統應該定期備份網絡邊界中的審計記錄以及配置文件，備份方式要采用在線、離線結合的方式，保證出現故障就可以立即恢復，還可以追蹤問題。同時，建立一個完善的安全應急響應機制，并定期進行應急演練。

3? ? ?結 語

工控信息安全是一個持久的工作，基于AP2DR2模型建立起來的工業控制系統防護體系有利于保障系統信息安全：一是可以切實讓生產運維人員和管理人員清晰獲悉自身工控網絡中的風險，以提前做好防護工作，為管理人員進行安全規劃提供有力支撐;二是執行安全防護措施后，有效保障工控網中網絡、主機應用等各層面的安全問題，降低信息系統故障的發生率，進一步減少潛在的風險隱患;三是通過配套運維手冊建立長效機制，提升企業自身應急響應能力;四是將工控信息安全工作形成一種長效機制，避免以前“救火”的被動局面，真正實現工控信息安全主動管理。

主要參考文獻

[1]耿欣.煙草企業工業控制系統安全保障體系研究[J].信息網絡安全，2017（9）：34-37.

[2]薛訓明，楊波，汪菲，等.煙草行業制絲生產線工業控制系統安全防護體系設計[J].科技展望，2016（14）：264-265.

[3]劉磊，陸渝，張志偉，等.工業控制系統信息安全多層防御體系模型探析[J].信息網絡安全，2016（1）：141-145.

[4]聶培穎.石景山區教育城域網信息安全體系的設計與實現[D].北京：北京郵電大學出版社，2010.