煙草商業物流工控安全體系建設探究

摘 要：隨著社會進步和計算機技術的不斷發展，物流工控設備在煙草商業企業物流得到普遍應用，在生產中發揮重要的“神經中樞”作用，逐漸形成了相對完整的工控體系。文章首先對某市煙草商業企業物流工控網絡現狀進行論述，其次分析其工控系統的安全風險，最后對存在的安全體系風險問題給出建設性意見。

關鍵詞：工控設備;煙草物流;安全體系

中圖分類號：F721;F252 文獻標識碼：A文章編號：1005-6432（2022）08-0173-03

DOI：10.13939/j.cnki.zgsc.2022.08.173

當前，全球正出現以信息網絡、智能制造、新能源和新材料為代表的新一輪技術創新浪潮，中國制造業也正處于“兩化融合”發展的關鍵階段和提升的重要時期?？萍歼M步帶來的更加開放的工業控制網絡，正面臨著來自網絡的嚴峻安全威脅。生產制造業面臨的工業控制網絡安全威脅，是全世界面臨的共同難題。為此各國開展深入合作，共同研究應對措施。據統計，我國是受到網絡攻擊最多而且最為嚴重的國家之一，對網絡的數據安全極為重視。隨著工控網絡在制造業的普及，工控安全體系的研究及構建迫在眉睫。

煙草行業內的物流工控系統，需要將產品的信息化和工業化進行高度的融合，其信息安全是頭等大事。自動化技術、計算機技術及互聯網技術的突飛猛進，帶動了工控系統的管理需求，逐漸形成了工業管理與控制的協同一體化。信息化與工業化的高度融合，使得工控系統在硬件、軟件和協議上進一步兼顧通用性。工控系統不再獨立運行，其開放性進一步增強。其接入的范圍不僅局限在企業網，而是擴展到了互聯網。因而面臨著來自互聯網的信息安全威脅，同樣需要可靠的網絡安全防護體系。

1 煙草商業物流工控系統架構

1.1 業務結構

在煙草商業企業的物流組成部分中，主要有數據管理部分、物流管理部分、調度監控部分和控制執行部分，涵蓋了卷煙采購、出入庫、分類揀拾、出貨等各個環節。

1.2 物流工控網絡結構

該煙草商業企業物流工控網絡結構從功能層面劃分為辦公網和生產網。辦公網為數據管理系統工作網絡，包含供應鏈管理、營銷大平臺、財務管理、物流管控、專賣管理系統等;生產網由物流管理層、數據交換平臺、控制總線網絡和設備總線組成。物流工控網絡從縱向來看，分為數據管理系統、數據交互平臺、控制總線網絡和設備總線。該企業的物流工控網絡結構架構如圖1所示。

從圖中看出，根據企業內部數據流向來劃分主要有四個部分。第一部分的數據管理系統包括數據管理層和物流管理層，其中數據管理層主要包括了供應鏈管理系統中的計劃管理、采購管理、營銷管理等，還包括結算統計、訂貨管理、財務管理、專賣管理、票據管理、客戶關系管理和決策支持等。物流管理層則主要負責倉儲管理、調度管理、分揀配貨、合單管理、設備管理、配送管理、綜合管理等。第二部分則是數據交換的平臺，主要以虛擬化服務器集群和工作站作為支撐，技術管理人員進行管理和調度監控，為上下層提供數據的分析和支持。第三部分是總線控制網絡，它是一個用于工業設備自動控制的開放式計算機內部局域網系統，從控制總站為線路支持提供各種接口。第四部分為設備總線，其主要連接了各種變頻器、I/O、電子標簽分揀機、自動分揀機、環穿車、堆垛機、傳輸、疊垛包裝等，完成了各種底層的倉儲備貨、分揀、包裝、標簽打印等操作。

2 煙草商業物流工控系統現狀

2.1 國外物流工控系統現狀

根據美國工業控制系統網絡應急響應小組（ICS-CERT）發布的2013年年報統計，近幾年ICS-CERT接到的工控系統漏洞上報數量在不斷增加，其中在2013年接到的181個漏洞報告中，有177個被確認是真實的工控系統漏洞，共涉及52個廠商。在這177個被確認的漏洞中，87%的漏洞可以通過網絡遠程被利用。在漏洞類型中，身份驗證漏洞的數量最多。這些漏洞可能使具有初級水平的攻擊者通過互聯網獲得訪問工業控制設備的管理員權限。

根據美國ICS-CERT往年統計的工控信息安全事件數量可知，近幾年工業控制系統相關的信息安全事件正在呈快速增長的趨勢。在2013年的工控信息安全事件中，能源、制造業、市政等國家關鍵基礎設施受到的攻擊最為嚴重。這些信息安全事件涉及的主要攻擊方式包括水坑式攻擊、SQL注入攻擊和釣魚攻擊等。

2.2 國內煙草商業物流工控系統現狀

根據綠盟科技公司的統計，2013年公開新增工業控制系統相關的漏洞共計78個，相對于前兩年有所放緩，軟件漏洞數量有所回落，但硬件漏洞數量繼續保持持續增長趨勢。對工控網絡攻擊行為已經出現在多種工業領域中，比如軌道交通、石油化工、煙草、電力、醫療系統、制藥等。在某煙草企業，煙機經常出現不明原因的停機，造成巨大的經濟損失。企業人員經過多次生產檢查都無濟于事，最后通過專業工控網絡安全廠商的漏洞挖掘檢測才找到了問題，定位原因為工控網絡攻擊導致。

我國也在積極探索漏洞挖掘與風險通報工作，2012年國務院的23號文與2011年工信部451號文都提出要建立漏洞通報與發布制度。2012年，工業和信息部啟動了工控系統信息安全風險發布工作。同年8月，下發了《工業和信息化部辦公廳關于開展工業控制系統信息安全風險信息發布工作的通知》（工信廳協函〔2012〕629號），對工業控制系統信息安全風險信息發布工作做出了具體安排。

為支持工控系統信息安全風險發布，工信部還組織相關機構建立了工業控制系統信息安全仿真環境和測試實驗室，初步具備了工業控制系統信息安全攻擊與防范體系防御演習以及漏洞檢測、挖掘及驗證能力。同時，我國也鼓勵研究機構、工控產品廠商、信息安全廠商和研究人員積極參與工控風險“可發現”的研究工作，積極向主管部門上報風險。

3 煙草商業物流工控系統安全需求與風險分析

在工業化和信息化兩化融合趨勢下，工業控制網絡與日常辦公網絡的連通是大勢所趨。工業企業通常采取安全措施對傳統網絡進行安全防護，但對工業控制系統的信息安全重視程度不夠。同時，安全保護和管理的措施不足，安全漏洞風險大是常態。

作為國民經濟的支柱產業之一，煙草工商企業中，煙草工業企業在工業生產領域，煙草商業企業在倉儲儲配領域都廣泛使用了工業控制系統。因此如何確保整個系統的安全和穩定對于煙草行業而言是非常重要的。下面就煙草商業物流控制類系統如何進行安全防護進行分析。

就全國煙草商業企業物流領域工控網絡而言，基本上沒有有效的檢測和防范手段抵御外部對工控網絡的攻擊。網絡層面，外部威脅源一旦進入公司的辦公網絡，則可以此為跳板連接到工控網絡的現場控制層網絡，直接影響工業生產;系統和終端層面，由于大部分采用了通用的Windows操作系統，為保證工業軟件的穩定運行，在操作過程中往往不會及時進行系統升級，甚至沒有安裝殺毒軟件，存在著大量的安全漏洞。

由此可見，煙草行業從生產到物流等環節都面臨著工業安全風險，單從煙草物流控制類系統來看，煙草商業物流主要有以下五方面的風險及安全需求。

3.1 生產管理執行系統與物流控制系統的網絡系統隔離需求與風險分析

生產管理執行系統通過網絡通信手段，進行車間管理和將生產任務調度到各生產線執行，控制跟蹤物料、人員、設備和庫存。此類系統生產執行層作為管理網與工控系統直接相連的部分，為避免工控系統受到來自管理網的安全威脅，生產執行層與監督控制層之間的安全隔離十分必要。

3.2 安全域劃分網絡隔離需求與風險分析

在調度控制層中主要設備有操作員站、物流管理系統的服務器和客戶端以及調度控制系統的服務器和客戶端。如果調度控制層設備在同一網段內，業務終端、操作站、服務器沒有安全防護，也不進行區別對待，會存在較大安全風險。

3.3 監控終端及服務器漏洞補丁合規檢查和防護需求與風險分析

操作站、服務器大多采用Windows系統，因為各種技術或管理原因長期不更新，存在大量漏洞。另外，各類操作站的外設管理以及安裝軟件合規性檢查等方面也都需進行安全防護。

3.4 網絡實時監測審計過濾需求與風險分析

在現場控制層主要設備包括控制輸送機、堆垛機等物流機械設備的PLC控制器以及運輸物品AGV小車所接入的無線AP，接收來自監督控制層的操作指令。監控服務器、操作站服務器等很容易成為攻擊跳板，從而被用來惡意訪問其他設備。因此，需對這些設備的入侵或異常行為進行實時監測與過濾。

3.5 現場無線網絡安全需求風險分析

現場的無線AP被入侵后，很可能導致AGV小車的路線錯誤或運輸物品錯誤。煙草商業企業通常對辦公網絡的信息安全進行一定級別的等保防護措施，但由于技術水平和管理方面原因，往往對工業控制系統信息安全缺乏足夠的保護措施，導致工業控制網絡存在較大的安全漏洞和風險。

4 煙草商業物流工控系統網絡安全建設策略

通常來講，工控系統物流控制類的安全域通常包括生產執行域、監督控制域和工控域。面對物流控制類工控系統不同分域、分區情況以及業務要求如何進行相應的安全防護。通過下面所述安全防護措施，能夠有效保障物流控制類系統安全運轉。

其一，對生產管理執行系統到物流控制系統進行訪問控制，阻斷來自管理網的非法行為，避免工控系統受到來自管理網的安全威脅。其二，做好操作站到PLC、堆垛機的訪問控制。倉儲物流系統中最重要的設備就是堆垛機，實現操作站到PLC、堆垛機的訪問控制是一種實現堆垛機全過程信息數據管理的方式，該管理方式數據全面，覆蓋了堆垛機的全過程數據，可以實現堆垛機的信息化控制。其三，對物流控制類工控系統進行實時異常流量監測。由于工控網絡的穩定、可靠和可控性由各方面的指標組成，其中每個設備對外的請求數量、收到的請求數量和對外提供的服務都是可度量且可控的。對物流控制類工控系統進行實時異常流量監測，既可以旁路部署，又可以串入工控網絡的設備。對工控網絡的流量進行實時采集和監測，并利用智能學習引擎自學習工控網絡正常流量形成安全基線，以此為基線對工控網絡中的各個設備進行實時監測，對異常的流量進行實時告警并記錄到告警日志中。如何解決全方面收集各工控系統中各個設備發送和收到的流量、如何建立安全基線、如何判定流量異常及流量異常后處理的問題。其四，對操作站的U盤及外設要進行嚴格管控。U盤具有攜帶方便、存儲容量大、價格便宜等優點，很多人喜歡把各種資料儲存在U盤里。病毒制造者不甘錯過這一傳播病毒的好機會，編制了種種病毒，給U盤使用者帶來了煩惱。對操作站的U盤及外設要進行嚴格管控，減少病毒的感染。其五，及時發現工控系統操作員站、工程師站、服務器、組態軟件及PLC的漏洞，以便做出應對。其六，對工控系統的操作員站、工程師站、路由器、交換機和組態軟件等設備進行統一性能監測、日志采集及集中管理。其七，對無線網絡安全進行有效防護。其八，及時準確地發現和修補工控漏洞。工業控制系統安全問題受到了廣泛關注，安全問題的核心就是漏洞，工業控制系統安全事件層出不窮使得工控系統存在大量的漏洞。要做好措施及時準確地發現和修補工控漏洞。

綜上所述，煙草物流工控系統的安全防護刻不容緩，煙草行業物流控制工控系統安全防護解決方案，不僅能對系統進行有效防護，更能在不影響正常業務的情況下完成部署，防護過程高效便捷。同時，還應針對個性化安全需求，提供差異化的工控系統防護解決方案。

5 結論

現代企業的發展要跟上信息化、智能化的步伐。構建完善物流工控網絡對每一家煙草商業物流來說是大勢所趨。不斷提升工控系統信息安全防護技術，建立高效、全面的工控網絡安全防護體系，減少或避免網絡安全事件對商業企業的破壞與故障，有效保障企業的正常運行，對我國煙草行業發展具有積極作用。

參考文獻：

[1]洪軼群.煙草工業控制系統信息安全檢測技術研究[J].網絡安全技術與應用，2020（2）.

[2]賽永杰，馮戰巨.工業控制系統的信息安全[J].電子技術與軟件工程，2018（17）：207-209.

[3]陳雪鴻，楊帥鋒，孫巖.工業控制系統安全等級保護測評研究[J].信息安全研究，2020，6（3）：272-278.

[4]段沛鑫.淺談企業工業控制系統信息安全工作[J].電腦迷，2018（8）：48.

[5]秦艷飛.企業工業控制系統網絡安全防護體系研究[J].現代工業經濟和信息化，2019，9（12）.

[6]王德吉.煙草行業工控安全防護建設方案[J].自動化博覽，2018，35（S2）：48-51.

[7]崔建華.“兩化融合”背景下煙草行業工控系統安全防護研究[J].科學與財富，2020（3）：344.

[8]徐國忠.石化企業工業控制系統信息安全分析與對策[J].石油化工自動化，2018，54（5）：52-55.

[9]郭江，陳服軍，張志華.水利工控系統網絡安全防護的問題與對策[J].中國水利水電科學研究院學報，2018，16（5）：466-471.

[10]宗志鋒.大數據背景下的水務行業工控系統網絡安全防護研究[J].信息安全與通信保密，2020（1）：104-109.

[作者簡介]方文華（1981—），男，陜西西安人，碩士研究生，工程師，研究方向：網絡安全、信息管理。

3709501186519