淺談卷煙生產中的安全管理

廖承亮

廣西真龍彩印包裝有限公司 廣西賀州 542700

工業控制系統(以下簡稱工控系統)是由SCADA、DCS、PCS、PLC等幾種不同類型的控制系統組成，是國家網絡和信息安全重要組成部分。隨著信息化和工業化的深度融合，工業控制系統與業務系統、管理系統的互聯互通導致的工業控制系統的漏洞和威脅日益增多，工控安全問題日益嚴重，國內外對工控安全的重視程度顯著提高，工信部以及國家局和省局在政策、標準和技術等方面均下發了一系列的標準和要求，各地市煙草公司對使用工控安全產品有迫切的需求[1]。但是國內外工控安全產品和技術方案千差萬別，廠商多、設備種類多、型號多，而各地市卷煙物流分揀是需要持續運作的生產系統，在實際運行環境上無法對工控安全產品和技術方案進行適用性、穩定性和安全性的測試和驗證。雖然傳統的網絡安全技術與網絡安全產品已較成熟，但是傳統網絡安全與工控安全無論技術還是產品上均存在本質上的差異，不能盲目的將傳統網絡安全技術方案和產品直接應用在工業控制系統上。工控系統的安全防護需要結合自身工業控制系統的特點來選擇工控系統的安全產品和技術方案。因此我們非常必要研究和實現工業控制系統安全仿真系統，提供有效的實驗環境和測試環境，開展攻擊模擬和入侵檢測等實驗和測試，從而選擇適用的工控安全產品和技術方案[2]。

1 工控系統安全概述

1.1 工業控制系統

隨著信息化與工業化的深度融合發展，我們的各業務系統、管理系統與工控系統的已經打通，實現了互聯互通。以某地市煙草公司為例，工業控制系統形成業務網、監控網、互聯網三層網絡。互聯網+和信息化技術的飛速發展，促使工控系統加快了與傳統IT系統的互聯互通，現在的工控系統不再是以往的封閉的獨立的系統，同時，也將傳統網絡安全的一些風險延伸到了工業控制系統中，互聯網的外網威脅、傳統網絡安全的漏洞以及工控系統軟硬本身的漏洞等混合，形成了更為復雜的網絡安全問題。該地市級煙草公司卷煙物流分揀工控系統主要由監視控制系統（SCADA）和可編程邏輯控制器（PLC）的兩大類控制系統。但以PLC為主，其中主站S7-416系列3個、S7-414系列3個，子站S7-300系列21個。每個區域的PLC直接接入內網交換機，由上位系統的服務器下達指令給PLC完成對各類控制設備監控。

1.2 工業控制系統安全防護體系

按照行業網絡安全“分級分域、整體保護、積極預防、動態管理”的總體策略。工業控制系統安全防護體系呈整體統一性，以為旁路檢測、串聯防護和現場防護為基礎，形成工控安全風險評估、事件管理、監測與防護、風險管理和資產管理等功能整體防護體系，對整個系統面向業務進行主動化、智能化安全管理，保障某煙草工業控制系統整體持續安全運營[3]。風險評估。采用基線核查、漏洞掃描以及滲透測試等手段對整個工控系統進行全面風險評估。發現工控系統中底層控制設備PLC、操作站、工程師站以及組態軟件所存在的漏洞，根據漏洞情況對其被利用的可能性和嚴重性進行深入分析；在工控網絡層面，通過對網絡結構、網絡協議、各節點網絡流量、網絡規范性等多個方面進行深入分析，尋找網絡層面可能存在的風險。分區域隔離。在風險分析中已經分析了管理網和生產網互聯互通所存在的風險。在工業控制系統生產網和管理網邊界采用工業防火墻進行隔離，對兩網間數據交換進行安全防護。監測與防護。在管理網和生產網隔離中已經對生產執行層和各個區域生產網絡進行了邏輯隔離，工業異常監測系統，旁路主動監測異常和入侵行為，異常及時報警；工業漏洞掃描系統，發現各類操作系統、組態軟件、以及工業交換機、PLC等存在的漏洞，為區域內各類設備、軟件提供完善的漏洞分析檢測。資產管理和事件管理。整個企業各個區域內繁多的各類工控網絡設備、服務器、操作站以及安全設備，進行統一管理，并對各類設備的性能、配置及事件分析、審計、預警與響應進行統一管理[4]。風險管理。對各類主機、服務器、現場控制設備以及各類網絡設備進行風險及態勢的度量與評估。

2 結語

工控系統的安全問題是目前迫切需要研究和建設的內容，而工控系統安全仿真平臺是研究和驗證工控系統安全的重要基礎。本文以某地市級煙草公司工控系統安全仿真建設為例，闡述了地市級煙草公司網絡和工業控制系統基本情況，分析了地市級工控安全安全防護體系，研究工控系統安全仿真平臺建設模式，通過模擬三種常見的工控安全攻擊，通過仿真數據分析，驗證工控安全產品和技術措施的適用性、穩定性和安全性。