1、引言近年来,震网病毒等网络安全事件对工控网络安全构成了严重威胁,受到国家和社会的高度重视1。影响烟草企业工控网络安全的主要原因如下:淤烟草企业工控系统与日常办公系统相互连接,缺少网络隔离和安全监测防护,缺少安全风险主动发现和网络安全防御手段。于办公网络与工业生产网络直接相连,外部攻击可以通过办公网络直接进入工业生产网络,直接影响工业生产。盂大部分设备、服务器采用的操作系统比较老旧,且以 Windows 系统为主,系统层面存在大量漏洞,且因担心杀毒会影响生产系统运行,而长期没有采取病毒防护和检测措施。总体来说,烟草企业工控系统不仅本身存在大量漏洞,而且在运行过程中存在巨大的安全隐患,对工控网络安
2、全构成了严重威胁2。因此,烟草企业需要通过制定工控网络安全“白环境”建设方案,增强企业工控系统的安全性,保障工控系统数据的保密性、完整性、可用性。通过网络安全保护及工控网络安全“白环境”建设,使企业的网络安全建设合法合规,与当前日新月异的互联网安全形势和日益发展的信息安全科学技术相适应,同时保障工控系统的安全、稳健、持续性服务3。1 工控网络安全野白环境冶建设思路根据 信息安全技术:网络安全等级保护基本要求(GB/T 222392019)、工控系统网络安全防护指南(国发2016 28 号)、烟草行业工控系统网络安全基线技术规范(YC/T 5802019)、烟草行业网络安全问题整改工作指南 以及
3、 工业控制系统信息安全防护指南(工信部信软2016 338 号)等要求,首先,湖北中烟工业有限责任公司(简称“湖北中烟”)需将工控网络分区分域,部署车间流量日志分区分域监管终端,采集各分区分域的车间主机、网络设备等日志信息;其次,部署各车间的工控网络安全监测与审计系统,采集各车间的业务数据流量;再次,在各车间主机端部署工控主机卫士,对各主机端进行日志采集及安全防护;最后,构建具有工控安全态势感知能力的统一安全管理平台,建设工控网络安全“白环境”4。在满足合规性、满足相关监管要求的前提下,确定基于业务安全、风险管控的防控目标,借鉴国内外先进的信息安全法律、法规、标准,以提升湖北中烟工控系统的总体
4、安全管理水平,加强湖北中烟工控系统的安全监测防护建设,提高生产系统运行的风险管控能力,为湖北中烟生产经营管理活动提供安全保障5。1.1 工控网络安全技术方面从工控网络安全技术方面,建设工控网络安全“白环境”的思路如下:淤在各车间边界部署工业网络防火墙,配置相应的安全策略,做好各车间的逻辑隔离。于在 Windows 终端上安装主机卫士,关闭135、445 等高危端口,设置软件白名单。盂Windows主机设置开机密码,不要采用弱密码,并定期更换密码,以免被破解。榆根据实际工作环境需要,尽量做到网段隔离,防止内网被木马等病毒大面积感染。虞针对重要的工控网络系统和设备,做好流量监控,及时发现并快速处理
5、潜在的安全隐患,从而实现对工控网络的安全防护。工控网络安全防护对象(图 1)如下:淤控制系统,包括分布式控制系统(distributedcontrol system,DCS)、可编程逻辑控制器(programma谣ble logic controller,PLC)。于嵌入设备,包括智能仪表、移动终端、人机交互(human谣machine interaction,HMI)。盂智能设备,包括工业机器人、监测设备等。榆信息技术(information technology,IT)设备,包括网网络安全522023 年 6 月络设备、工控主机、服务器。1.2 工控网络安全管理方面从工控网络安全管理方面,
6、建设工控网络安全“白环境”的思路如下:开展安全意识培训,如网络攻击演示、网络攻击原理培训等,尽量以低成本、零成本增强工作人员的安全意识,增加工作人员的安全知识储备。例如,认识并理解 0day 漏洞的危害,了解0day 漏洞攻击内网、影响生产的全过程;了解工业网络防火墙的作用和局限,认识工业网络安全监控与审计、数据库审计等系统的价值。2 工控网络安全野白环境冶建设方案根据国家法律法规和行业规范要求,从工控系统的技术防护措施、管理制度、安全服务等方面,制定工控网络安全“白环境”建设方案,采取工控网络安全防护措施,借助分层次的防御体系,构建工控网络安全防护屏障6。工控网络安全“白环境”建设方案涉及
7、3 个车间的工控网络,即卷烟厂制丝车间、卷包数采车间、动力能管车间。在这 3 个车间的操作站、独立服务器、现场 HMI、工程师站等设备上安装工控安全防护系统(图 2)。一方面,为每个车间配置工控安全监测与审计系统、工业网络入侵检测系统和工业网络防火墙系统、数据库审计系统,并在 3 个车间的主机、服务器上选择性安装工控主机防护系统。另一方面,在生产核心交换机配置工业安全运营中心系统,工业安全运营中心系统可通过网络采集工控网络安全监测与审计系统、数据库审计系统数据,以及安装有工控主机防护系统的主机和服务器数据,并对所采集的数据进行分析、总结、展示、预警等,从而实现对 3 个车间网络安全问题的统一管
8、控。2.1 工控主机防护系统工控网络安全“白环境”建设方案中的工控主机防护系统,不仅可以根据工控系统现场业务特征,建立“白环境”机制,而且不依赖于特征库,无须频繁升级。首先,工控主机防护系统采用可信机制,解决因老旧 Windows 操作系统无法升级、安装相应补丁而带来的安全问题。其次,工控主机防护系统支持网络统一管理和配置,支持双因子认证,与 Windows 及Linux 操作系统兼容,可以保证合法设备接入、合法信息传输及合法程序运行。最后,工控主机防护系统具备实时报警、日志管理、程序白名单、网络白名单、安全基线、外设管理、工单管理、基础配置、用户管理等功能,可以保证工控系统的安全稳定运行。2
9、.2 工业网络入侵检测系统首先,工业网络入侵检测系统可以从通信流量、设备流量和接口流量等维度,统计与分析网络流量。其次,工业网络入侵检测系统可以通过仪表盘实时展示设备的中央处理器、磁盘、服务总线、应用程序接口、内存使用情况,从而实现对网络资源的监控。最后,工业网络入侵检测系统可以配置业务系统白名单,并在此基础上,制定特定的安全检测规则,实现对工控业务异常和非法操作的安全检测。2.3 工业网络防火墙系统在每个车间边界处部署工业网络防火墙系统,对车间之间进行逻辑隔离,有效阻止非法访问,防止病毒跨区域扩散。图 1 工控网络安全防护对象工控网络安全防护对象控制系统:DCS、PLC 等嵌入式设备:智能仪
10、表、移动终端、HMI 等智能设备:工业机器人、监测设备等IT 设备:网络设备、工控主机、服务器图 2 工控安全防护系统工业安全运营中心系统工控安全防护系统统一白名单配置汇总和关联分析安全事件态势分析分权和分级分域管理工控主机防护系统网络统一管理程序白名单网络白名单工业网络入侵检测系统网络流量分析网络资源监控业务系统白名单安全检测工业网络防火墙系统逻辑隔离阻止非法访问防止病毒跨区域扩散工控安全监测与审计系统行为安全监测流量审计工控协议深度解析数据库审计系统对各类数据库操作行为进行审计对关键工控系统的安全访问控制与审计、追溯网络安全532023 年 6 月2.4 工控安全监测与审计系统工控安全监测
11、与审计系统可以对工控上下位机的通信和控制行为进行安全监测、流量审计,以及对超速保护控制(overspeed protection control,OPC)、Modbus、S7、Profinet 等工控协议进行深度解析,实现对生产系统内部关键网络节点的安全监测。2.5 数据库审计系统数据库审计系统可以通过对用户网络环境中各类数据库操作行为进行审计,加强关键工控系统的安全访问控制、审计与追溯,有效控制相关业务、运维、开发人员的安全风险,减少对生产系统资产的破坏和数据泄漏。2.6 工业安全运营中心系统工业安全运营中心系统具备统一管理和配置工控网络各安全设备、工控主机防护系统的功能。具体功能如下:淤支
12、持统一白名单配置。于全面记录系统安全日志并对日志进行汇总和关联分析,支持多种工控设备、网络设备和安全设备的设备指纹识别。盂支持资产管理,资产画像分析,有助于资产态势、漏洞态势和安全事件态势分析。榆支持分权和分级分域管理,实现对各车间账户的分级账户管理。3 工控网络安全野白环境冶建设方案的应用3.1 多点融合尧分布式的数据采集湖北中烟工控系统涉及多种工控设备、网络设备和安全设备,为了保障工控网络的安全,工控网络安全“白环境”建设方案采用了终端采集探针和流量日志采集分析设备,针对湖北中烟工控系统现场的实际情况,全面采集和分析现场系统和设备中的流量、日志、数据,以多点融合的方式,分布式部署、采集和范
13、式化处理数据,实现数据采集的多点覆盖和关联分析7。3.2 基于场景的数据分析和清洗由于湖北中烟工控系统多点、多源事件关联错综复杂,且工控网络所受到的攻击具有并发量大、源头多、数据结构复杂、分布广等特点。首先,通过大数据分析,解析关联多源异构数据和快速分析安全风险,以提高湖北中烟工控系统的反应速度和数据解析能力。其次,通过工业安全运营中心系统,实现数据整合、呈现、分析、编辑和可视化处理。最后,通过多维度数据融合,敏锐发现网络风险和态势变化,并高效掌握相关数据,最终将有效的威胁告警及预警信息统一呈现,为信息安全决策工作提供有力支撑。3.3 多维度尧全方位的资产管理工控网络安全“白环境”建设方案对主
14、机、服务器、PLC、硬件、软件、操作系统、生产系统、依赖组件、中间件、数据库、网络传输协议、开放端口、对外应用程序接口等方面进行了多维度、全方位的资产监测和管理,可确保湖北中烟工控系统的安全稳定运行。4 结语在现有工控网络结构特点和工控系统运行分析工作的基础上,深化落实安全保护要求,提出工控网络安全“白环境”建设方案,采用白名单机制,通过企业工控系统行为检测、网络边界防护、工控主机安全防护以及加强集中安全运维管理,实现对工控系统的资产管理、安全态势分析,构筑网络安全“白环境”。在湖北中烟工控系统的建设中实施工控网络安全“白环境”建设方案,能够进一步提升企业工控网络安全,保证设备安全使用,内容保
15、密、完整和防篡改。参考文献1 王小山,杨安,石志强,等.工业控制系统信息安全新趋势J.信息网络安全,2015(1):6-11.2 高孟茹,谢方军,董红琴,等.面向关键信息基础设施的网络安全评价体系研究J.信息网络安全,2019(9):111-114.3 郭启全,张海霞.关键信息基础设施安全保护技术体系J.信息网络安全,2020,20(11):1-9.4 耿欣.烟草行业工业控制系统安全保障体系构建J.烟草科技,2017,50(12):99-105.5 尚文利,张修乐,刘贤达,等.工控网络局域可信计算环境构建方法与验证J.信息网络安全,2019(4):1-10.6 尚文利,尹隆,刘贤达,等.工业控
16、制系统安全可信环境构建技术及应用J.信息网络安全,2019(6):1-10.7 袁胜.“白环境”下的工控安全J.中国信息安全,2016(4):74-75.基金项目院 湖北中烟企业生产网络工控安全建设项目“襄阳卷烟厂生产网络工控安全”(XX00Q2D32022Y0180)。作者简介院刘维昌(1981),男,汉族,湖北襄阳人,本科,工程师,主要从事信息网络、网络安全等工作。陈忠华(1978),男,汉族,湖北荆门人,硕士研究生,高级工程师,主要从事网信规划、信息安全等工作。梅凌(1976),女,汉族,湖北襄阳人,本科,工程师,主要从事信息化软件运维、信息化项目管理等工作。张佳儒(1994),女,汉族,湖北襄阳人,本科,助理工程师,主要从事数据治理、电气自动化等工作。网络安全54
浙ICP备2021020529号-1 | 浙B2-20240490 
