烟草企业工控网络安全防护建设实践经

(整期优先)网络出版时间:2020-06-24
/ 2

烟草企业工控网络安全防护建设实践经

杨楠

黄金叶生产制造中心 河南省 郑州市 450000

摘要:烟草企业工控网络系统容易遭遇非法攻击和入侵,工控网络安全问题已经成为烟草企业网络安全的重点。工控网络存在的安全问题是由多种原因造成的,工控网络工作方式的特点、用户的安全意识淡薄是其中最重要的原因,通过工控网络防护建设提高工控网络的安全性。

关键词:工控系统;网络;安全策略

烟草企业工控网络安全工作主要涉及制丝、卷包、动力能管、物流等工烟企业核心生产业务系统,通过对各生产业务系统的资产梳理,从资产的安全特性出发结合各生产业务系统工艺特点,分析工控系统的威胁来源与自身的脆弱性,归纳岀企业工控系统面临的主要安全风险,输出风险评估报告,并根据报告设计网络安全防护解决方案,对部署的各类安全设备定制符合业务特点的安全策略,解决工控系统中实际存在的安全问题。

烟草企业工控安全的最大问题是工控安全防护工作风险高和阻力大,没有可以借鉴的成功案例,烟草工控安全首先进行全面工控网络安全风险梳理。

1 资产的识别、梳理

首先需要对工控资产进行安全属性分析、赋值,根据各业务系统内资产所承担的业务重要程度来进行赋值。烟草企业工业控制系统主要以SIEMENS S7-300/400系列控制设备为主,网络设备主要以SIEMENS、华三设备为主,应用软件主要以GE IFix为主;系统中主要用到的工业协议有:OPC、S7、Modbus TCP/RTU等。根据其资产类型,可判断其存在的脆弱性,结合其承担业务的重要程度来综合赋值。

2 面临的威胁识别与资产脆弱性分析

根据烟草工业控制系统的网络结构、主要采用的网络设备、控制设备、软件以及工业协议等,识别出资产脆弱性的影响程度。通过工业控制系统所处的环境以及系统的内部因素、外部因素识别出威胁源、威胁途径及其可能发生的概率;

3 存量安全管理措施评估

对烟草企业工业控制系统现有的安全技术防护、安全管理制度等方面进行评估,并分析其安全保障措施的有效性、合规性。

4 安全风险综合分析

结合工业控制系统的资产识别、威胁识别、资产脆弱性分析及现有安全管理措施评估等,综合分析烟草企业工业控制系统存在的主要安全风险,发现的主要安全问题有:

1)生产网内、外安全域缺乏有效的安全防护措施,存在着攻击者通过互联网、办公网作为跳板,利用病毒、木马远程对工控系统实施攻击的行为;

2)工控系统关键的网络节点缺少异常监测、审计等安全措施,无法及时有效的发现网络中的异常业务指令、异常网络流量、异常通信行为等安全威胁;

3)病毒防范能力较弱,U盘等移动介质使用不规范。一旦病毒、木马等恶意代码进入生产网络,会导致工控主机系统瘫痪或使应用软件数据被篡改,间接导致生产线良品率下降或系统频繁停机;

4)烟草企业工控系统的维修、维护工作主要靠系统集成商来完成,但缺少对第三方运维人员操作行为的技术管理措施,由此也为该企业带来极大的安全隐患,容易出现因第三方运维人员的操作失误而引发生产事故。

5 安全风险防护

依据烟草工控网络安全问题,从物理、网络、主机、应用、数据这五个技术层面提升安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心这五大防护能力。

5.1 强化网络安全区域边界的防护能力

首先对生产网进行安全域划分,纵向划分三个安全域,包括MES层安全域、过程监控层安全域和现场控制层安全域;横向划分安全管理中心安全域、制丝系统安全域、卷包系统安全域、动力能管安全域、物流系统安全域这五个安全域。

在系统层面,对制丝、卷包、动力能管、物流系统、安全管理中心这五个安全域之间部署工业防火墙进行边界隔离;在策略配置上,首先通过配置基于五元组ACL+白名单访问控制策略,建立各子系统区域边界的安全防护模型,阻断一切非法访问,仅允许与各子系统业务相关的可信流量在网络上传输,有效防止外部网络的攻击行为和内部各子系统之间的非法访问等行为。

在业务层面,MES层的OPC服务器需要读取制丝、卷包、动力能管、物流系统这四个安全域内OPC服务器采集的生产业务数据,在工业防火墙上配置OPC只读策略,仅允许MES层OPC服务器对过程监控层OPC客户端的数据采集,禁止MES层OPC服务器对过程监控层OPC服务器写的操作,有效防止MES层利用该接口对过程监控层OPC客户端数据的非法篡改行为。

5.2 提升网络内、外未知威胁检测能力

烟草企业生产网核心交换机与办公网连接,存在经过办公网络来自互联网的攻击风险,强调网络空间安全,强调对未知、新型攻击的识别,对APT攻击的识别。在生产网与厂级网的核心交换机上旁路部署网络威胁感知系统,抓取生产网网络流量,采用威胁情报数据及网络行为分析技术对抓取的网络流量进行实时检测、分析,深度检测网络内、外存在的新型网络攻击行为或APT攻击行为。

在制丝、卷包、动力能管、物流等系统内部通过抓取各子系统网络关键节点网络流量,梳理网络访问关系,建立正常网络访问通信模型,形成“业务通信基准库”,及时有效的发现网络中的异常业务指令、异常网络流量、异常通信行为等安全风险并进行告警,保证只有可信流量才能在各子系统网络中传输。 

5.3 构建基于业务的工控主机安全模型

在生产网各子系统的服务器、工程师站、操作员站等工控主机上部署主机安全防护软件;通过对系统、外设、网络、应用的四重锁定,有效的阻止病毒、木马及“0-Day”漏洞的感染以及被利用,保护系统关键资源。从而实现工控主机从启动、加载到持续运行过程的全生命周期安全防护,从根本上解决防病毒软件带来的误杀、漏杀、占用系统资源、需要联网升级病毒库等问题,最终构建基于业务行为的工控主机安全计算环境。

在工业控制系统内防病毒软件的不适用已经被广泛认识到,采用白名单技术来代替杀毒软件。

5.4 建立统一安全管理中心,强化集中安全管理

安全管理中心部署统一安全管理平台,实现对生产网中安全产品的集中管理,包括策略统一配置、状态统一监控、网络拓扑可视化以及安全事件、安全日志(如:攻击日志、流量日志、访问日志、主机日志、系统日志)的关联分析。利用安全运维管理系统切断运维终端对工业网络设备或资源的直接访问,采用协议代理的方式,实现对生产网中网络设备、主机设备、应用系统、数据库设备集中有序的安全运维管理,同时通过给运维人员创建唯一的身份认证账号,对运维人员从登录到退出的全程操作行为进行审计,进一步加强工控系统及设备运维全过程的安全管控。

6 结束语

工控系统安全防护重点在于安全设备的引入不应对原有业务系统造成影响。烟草企业的制丝、卷包等系统部分工艺段对业务数据传输的速率要求非常高,为保证系统业务数据、流量传输的高效性、稳定性,在实施部署过程中,所有工控安全产品独立独立组网,策略的下发、日志的采集等动作均不占用工控业务系统的网络带宽,既保证工控业务系统安全、稳定运行,也保证了业务数据、流量的正常传输。

参考文献:

[1]许光. 如何构筑烟草行业省级信息网络安全防护体系的构筑[J]. 计算机工程, 2004(22):190-191+194.

[2]李燕翔, 胡明淮. 烟草制造企业工业控制网络安全浅析[J]. 中国科技博览, 2011(34):531-532.

[3]王德吉. 烟草行业工控安全防护建设方案[J]. 自动化博览, 2018, 35(S2):48-51.