浅析烟草行业工业控制系统网络安全应用研究

 浅析烟草行业工业控制系统网络安全应用研究

刘昌宏,李生春,张志华,李淼,耿肖聪

重庆中烟工业有限责任公司黔江卷烟厂，重庆市，409000

摘要: 网络安全建设已成为国家层面的一个极其重要的安全战略，烟草行业遵循国家政策要求和自身行业所需都必须逐步完善自身信息安全保障体系。在信息安全保障体系等上层结构已经搭建完成的情况下，烟草行业所属单位具备了良好的信息安全建设的政策环境和可操作性的建设思路。烟草行业的信息安全建设年度任务具有了一定的可预见性，通过每年的年度信息安全建设通知文件和年度检查，以通知精神为阶段性建设目标，以检查内容为具体建设内容，对整个行业的信息安全保障体系建设做了很好的目标确立和建设要求。

关键词:烟草行业 网络安全  工控系统

1.前言

工业控制系统遍及工业范围的各行各业，它决定着国民经济、国防建设中极为重要的产品——飞机、汽车、石油化工等的产品质量，同时还涉及到关系国计民生的一些大型调度系统诸如电网、输油、输气及配水等。近年，国际国内针对工业控制系统的攻击事件层出不穷，“震网”病毒事件更是为全球工业控制系统安全问题敲响了警钟，促使国家和社会逐渐重视工业控制系统的信息安全问题。

在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：信息化与工业化的深度融合，为了提高生产高效运行、生产管理效率，国内众多行业大力推进工业控制系统自身的集成化，集中化管理。系统的互联互通性逐步加强，工控网络与办公网、互联网也存在千丝万缕的联系。另一方面是工业控制系统本身的发展趋势：向通用性与开放性发展。COTS（Commercial Off The Shelf）已成为构建工业控制系统的设计原则。

工业控制系统正在面临前所未有的信息安全威胁，具体包括：

(1)由于病毒、恶意软件等导致的工厂停产； (2)工业制造的核心数据、配方被窃取；(3)制造工厂及其关键工控生产流程被破坏；(4)恶意操纵工控数据或应用软件；(5)对工控系统功能未经授权的访问等。

由于长期缺乏安全需求的推动,对(采用 TCP/IP 等通用技术的)网络环境下广泛存在的安全威胁缺乏充分认识，现有的工业自动化控制系统在设计、研发中没有充分考虑安全问题，在部署、运维中又缺乏安全意识、管理、流程、策略与相关专业技术的支撑，导致许多工业自动化控制系统中存在着这样或那样的安全问题，一旦被无意或恶意利用就会造成各种信息安全事件。针对工业自动化控制系统的特点,研制并部署相应的工业自动化控制系统信息安全系统，保障我国工业基础设施的安全运营,已成为迫在眉睫的需求。

通过建立烟草行业工控系统网络安全仿真应用平台，研究针对DCS、PLC自动化系统的风险和恶意攻击，提高工控系统信息安全技术水平。通过研究DCS、PLC自动化系统攻防演练，提高工控系统故障应急响应技术水平。

2.项目意义简述

(1)落实公安部发公安网〔2020〕1960号和公司发渝烟工信〔2020〕299号及公司发渝烟工生〔2020〕320号等文件精神，文件明确要求加大工控三级系统保护和对关键基础设施工控领域的技术攻关。

(2)工信部发布《工业互联网创新发展行动计划（2021-2023年）》，提出5项发展目标，明确11项重点任务。完善基础设施、彰显融合应用、提升技术创新、增强网络安全保障、健全产业生态等目标，就工业领域科技创新、联合攻关等提出要求。

(3)公司“数字化”战略引领要求新厂技改和日常工作中加大新技术的应用，工控网络信息安全是公司“数字化”系统网络安全的重要组成部分。

(4)工控网络属于生产工控系统的“神经”，工控系统相对封闭，目前行业内外主要是针对工控系统与办公网边界进行防护，很少在工控系统内部各个安全域之间采取深度安全管控措施，本项目研究领域具有很强创新型、实用性和前瞻性。

(5)工控系统自身非常脆弱，基本不具备发现、防御外部攻击的能力，一旦有威胁进入工控系统，将影响工厂正常生产。国家三级等保对工控系统的防护要求以及加强关键基础设施保护的相关要求中，均明确需重点保护PLC、服务器等关键控制设备， 而PLC高危漏洞多且非常脆弱，PLC漏洞很难通过打补丁方式来修复漏洞，只有采取增加安全管控措施的方式进行加固。

(6)为新厂技改以及现有工控网络安全深度加固推广提供重要依据。

3.国内外现状分析

我国家非常重视工业控制系统信息安全问题，国内标准频发，已经把问题提到新的高度。中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化领导小组组长习近平2014年2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话。会议中，习总书记指出，没有网络安全就没有国家安全，没有信息化就没有现代化。

工业和信息化部2011年9月发布《关于加强工业控制系统信息安全管理的通知》（[2011]451号），通知明确了工业控制系统信息安全管理的组织领导、技术保障、规章制度等方面的要求，并在工业控制系统的连接、组网、配置、设备选择与升级、数据、应急管理等六个方面提出了明确的具体要求。

2012年6月28号国务院《关于大力推进信息化发展和切实保障信息安全的若干意见（国发[2012]23号》中明确要求：保障工业控制系统安全；重点保障对可能危及生命和公共财产安全的工业控制系统。

国家发改委从2011年开始开展工业控制系统信息安全专项，涉及到面向现场设备环境的边界安全专用网关产品、面向集散控制系统（DCS）的异常监测产品、安全采集远程终端单元（RTU）产品、工业应用软件漏洞扫描产品等产业化项目。在电力电网、石油石化、智能制造、轨道交通等领域，支持大型重点骨干企业，按照信息安全等级保护相关要求，开展工业控制系统信息安全建设的试点示范。

目前已颁布了如下标准：

GB/T 26333-2010《工业控制网络安全风险评估规范》；

GB/T 30976.1-2014—工业控制系统信息安全 第1部分：评估规范；

GB/T 30976.2-2014—工业控制系统信息安全 第2部分：验收规范；

此外，《工业控制系统信息安全等级保护设计技术指南(草稿)》、《工业控制系统信息安全等级保护基本要求(草稿）》正在编写过程中。

《集散控制系统（DCS）安全防护标准》正在征求意见中。

在工控安全建设方面走在前列的电力行业早些年已经在生产系统中建立了相关规范，如《电力二次系统安防护规定》（电监会5号令）、《电力二次系统安全防护总体方案》（电监会全34号文）等，发改委14号令 《电力监控系统安全防护规定》。

公安部、经信委等也在不断对影响国计民生的公共系统进行渗透检查，发现了众多问题。

国内工控信息安全产品已推出工业防火墙、操作站安全防护系统、工控异常监测系统、工控安全管理系统、工业安全隔离系统等。石油炼化、轨道交通、智能制造、电网、发电等行业陆续建设工控安全试点示范项目。

国外的一些标准 ：

IEC 62443系列标准是专门用于工业自动化和控制系统的信息安全技术标准，标准分为四个部分，12个文档。

第一部分描述了信息安全的通用方面，如术语、概念、模型、缩略语、系统信息安全符合性度量。

第二部分主要针对用户的信息安全程序。包括整个信息安全系统的管理、人员和程序设计方面。

第三部分主要针对系统集成商保护系统所需的技术性信息安全要求。它主要是系统集成商在把系统组装到一起时需要处理的内容。包括将整体工业自动化控制系统设计分配到各个区域和通道的方法、信息安全保障等级的定义和要求。

第四部分：针对制造商提供的单个部件的技术性信息安全要求。包括系统的硬件、软件和信息部分，以及当开发或获取这些类型的部件时需要考虑的特定技术性信息安全要求。

总之，IEC62443标准通过四个部分，对资产所有者、系统集成商、组件供应商进行了相关信息安全的要求。

SP 800-82《工业控制系统 (ICS) 安全指南》于2010 年 10 月发布，是 NIST 依据 2002 年《联邦信息安全管理法》、2003 年国土安全总统令 HSPD-7 等编制而成。它遵循《OMB 手册》的要求“保障机构信息系统”，为联邦机构使用，同时允许非政府组织自愿使用，不受版权管制。

该指南为保障工业控制系统 （ICS） 信息安全提供指南，包括监控与数据采集系统（SCADA）、分布式控制系统（DCS）、其他完成控制功能的系统。它概述了 ICS 和典型的系统拓扑结构，指出了这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。同时，根据ICS的潜在风险和影响水平的不同，指出了保障 ICS 安全的不同方法和技术手段。该指南适用于电力、水利、石化、交通、化工、制药等行业的 ICS 系统。

国外实验室的研究情况：

爱达荷国家实验室（INL）。在2008 年初，德国西门子公司和该实验室达成合作协议，同意让该实验室检查西门子公司用来控制操作工业机械的电脑控制程序。通过这次合作，INL获得了掌握西门子工业自动控制系统漏洞的机会。

目前研究重点是控制系统态势感知技术相关工具的开发，INL当前正致力于控制系统态势感知技术互操作工具套件项目研究，旨在开发一个工具套件来使运营商能够获知控制系统所有的网络通讯、收集所有的无线网状网络的数据路由消息、查看突发性数据报告、监测系统健康情况、辨明组件故障和网络安全事故、提供态势感知，并确定本地防火墙的有效性。

阿贡国家实验室（ANL）：

ANL关于工业控制安全的研究主要集中在SCADA系统领域（主要是美国天然气管道运输的SCADA系统）。ANL已经开展SCADA系统调查和评估研究，并开发出各种工具、技术和方法，用于评估和改进SCADA系统。ANL还为天然气管道运输系统设计了SCADA整合远程设施控制方案。

西北太平洋国家实验室（PNNL）：

PNNL提出了SSCP（安全SCADA通信协议）概念。目前正在进行的研究包括构建能源行业安全通信架构、开发现场设备管理软件应用、开发加密信任管理软件应用、开发协议分析器。

橡树岭国家实验室（ORNL）：

ORNL目前正在进行通过便携式验收测试仪和协议进行SCADA系统网络安全测试项目研究，同时正在开发下一代安全的、可扩展的智能电网通信网络。

4.工控系统网络安全应用平台设计思路

4.1.平台设计原则

能够完整复现烟草工业生产各个环节如工业现场复杂网络结构、多种工业通讯协议及总线协议、各种传感器信号等；

能够重点模拟烟草生产监控、现场控制、现场设备的全部设备；

能够覆盖烟草生产企业主流工业控制系统，如西门子、ABB、罗克韦尔、施耐德、GE、三菱、和利时等品牌；

工业控制系统安全体现完整建设覆盖工控系统全生命周期，自上而下有工控系统信息安全统一管理系统、工控异常监测系统、工控网络流分析审计系统、工业防火墙、工业网闸、工控现场运维审计与分析系统、操作站安全系统等。

4.2.平台面向对象

适用自动化专业学习掌握烟草工业控制系统自动控制原理、PLC编程原理等专业课程的学习及教学；

适用网络通讯专业学习掌握网络通讯技术-传统以太网、工业以太网及其他网络技术包括攻防研究及教学；

适用软件专业学习掌握各种攻防脚本编写，提高编程应用能力。

适用于其他测评研究机构研究教学。

5.工控系统网络安全应用平台建设内容

工控系统网络安全应用平台开发工控软件模拟生产控制过程，完成工控系统硬件组态，在工控系统网络上建立工控系统网络安全应用平台，对工控网络划分多个安全域，利用原有工业防火墙采购备件进行硬件升级来实现对各个安全域分级防护，采用技术手段模拟攻击PLC、服务器等各安全域的设备和系统，以验证安全防护策略和管控措施的有效性。

图1 平台架构图

(1)在工控系统网络上建立工控系统网络安全应用平台，划分多个安全域，主要包含办公信息网边界、服务器区、生产现场操作站、多个PLC控制区、工程师站、监控室等。

(2)利用原有一台工业防火墙进行硬件升级。采购包含但不限于光和电接口板卡、电源、光纤模块、变频器、PLC扩展卡、传感器、网络连接线、光纤线、电线、跳线、远程IO等相关备品备件，将工业防火墙部署在各个安全域之间，实现各个安全域的分级防护。

(3)开发工控软件模拟生产控制过程，实现工业自动控制的部分功能。

(4)模拟攻击PLC、服务器等重要网络安全域并验证其深度管控措施的有效性。

(5)根据项目进展，探索其他安全域和下端智能设备的管控措施。

(6)将研究方案应用到现有空调工控系统进行生产环境的现场验证，分析现行工控系统运行情况，实现对各个安全域的分级管控。

6.关键技术

1)开发工控软件模拟生产控制过程，完成工控系统硬件组态，在工控系统内，根据业务功能和物理环境划分多个安全域。

2)模拟攻击PLC、服务器等重要网络安全域，详细分析整个工控系统运行情况，并进行日志和数据收集整理，优化配置策略。

3)为现有工控系统安全防范和易地技改中的工控系统建立提供技术依据。

7.结论

工控系统网络安全应用平台完成工控网络硬件组态。在工控系统内，根据业务功能和物理环境详细划分多个安全域。各个安全域之间采取网络安全技术措施，详细分析整个工控系统运行情况，并进行日志和数据收集整理，优化配置策略。为现有工控系统和易地技改中的工控系统网络安全深度加固提供技术依据。

参考文献

[1]尚高峰.行业信息网络系统终端安全管理体系建设研究[J].计算机安全,2011:39-41.

[2]史玉锋,李明,赵燕,宋杰.网络信息安全防护体系研究[J].数字通信世界,2018:68-69.

[3]张永锋.企业网络与信息安全防护研究[J].网络安全技术与应用,2017

[4]汤华.浅谈企业信息网络的安全防护体系[J].网络安全技术与应用,2017

[5]赵阳,张鉴,王新峰.等级化网络及信息系统安全防护体系研究[J].电信科学,2009:85-88.