◆羅曉峰

打葉復(fù)烤企業(yè)工控安全現(xiàn)狀及防控措施探討

◆羅曉峰

（云南煙葉復(fù)烤有限責(zé)任公司保山復(fù)烤廠 云南 678000）

作為連接煙草工商企業(yè)的橋梁，打葉復(fù)烤企業(yè)在為卷煙工業(yè)企業(yè)提供優(yōu)質(zhì)卷煙原料加工服務(wù)保障方面發(fā)揮著不可替代的作用。工業(yè)控制系統(tǒng)作為打葉復(fù)烤企業(yè)生產(chǎn)加工過程中重要的信息基礎(chǔ)設(shè)施，運(yùn)行的可靠性直接影響產(chǎn)品質(zhì)量的好壞。隨著智能制造等新技術(shù)的應(yīng)用，工控安全引起了打葉復(fù)烤企業(yè)越來(lái)越高的重視。文章以云南某打葉復(fù)烤廠為例，對(duì)打葉復(fù)烤企業(yè)工控網(wǎng)絡(luò)架構(gòu)、可能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及相關(guān)安全防控措施等進(jìn)行了分析和探討。

工控安全；信息安全；打葉復(fù)烤；風(fēng)險(xiǎn)防控

1 引言

近年來(lái)，針對(duì)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)入侵和攻擊事件時(shí)有發(fā)生，2006年至2010年間針對(duì)伊朗核工廠長(zhǎng)達(dá)五年之久“震網(wǎng)”病毒入侵事件， 2017年“Wanna Cry”勒索病毒事件，2018年臺(tái)積電病毒襲擊事件，給相關(guān)企業(yè)造成了重大的經(jīng)濟(jì)損失，也為打葉復(fù)烤甚至整個(gè)煙草行業(yè)工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全問題敲響了警鐘。我國(guó)工業(yè)和信息化部曾于2016年12月發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，提出工業(yè)控制系統(tǒng)應(yīng)用企業(yè)應(yīng)從管理和技術(shù)等方面加強(qiáng)工業(yè)控制系統(tǒng)的安全防護(hù)工作，為相關(guān)企業(yè)工業(yè)控制系統(tǒng)的安全防護(hù)建設(shè)指明了方向。

本文以云南某打葉復(fù)烤廠工業(yè)控制系統(tǒng)為例，對(duì)打葉復(fù)烤企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)、可能面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及相關(guān)防控措施進(jìn)行了分析與探討。

2 打葉復(fù)烤企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)架構(gòu)及其特點(diǎn)

2.1 打葉復(fù)烤企業(yè)網(wǎng)絡(luò)概述

根據(jù)煙草行業(yè)的改革要求，打葉復(fù)烤企業(yè)實(shí)行一個(gè)法人，多點(diǎn)生產(chǎn)加工的模式，主要承擔(dān)煙草工商客戶的煙葉收儲(chǔ)及加工業(yè)務(wù)。按照業(yè)務(wù)需求及使用功能劃分，打葉復(fù)烤廠網(wǎng)絡(luò)一般由辦公網(wǎng)、設(shè)備網(wǎng)、工控網(wǎng)三個(gè)業(yè)務(wù)應(yīng)用專網(wǎng)組成，其中：辦公網(wǎng)主要承載辦公數(shù)據(jù)網(wǎng)絡(luò)、有線電視、信息發(fā)布及會(huì)議系統(tǒng)等信息設(shè)施類應(yīng)用，設(shè)備網(wǎng)主要承載視頻監(jiān)控、門禁、考勤、車輛出入管理系統(tǒng)等安全監(jiān)管類應(yīng)用，工控網(wǎng)主要承載工藝設(shè)備控制、物流設(shè)備控制、能源計(jì)量管理等生產(chǎn)加工類應(yīng)用。網(wǎng)絡(luò)結(jié)構(gòu)一般為三層架構(gòu)星型以太網(wǎng)，分為核心層、匯聚層和接入層，最后通過企業(yè)出口層網(wǎng)絡(luò)設(shè)備連接到互聯(lián)網(wǎng)。三層網(wǎng)絡(luò)架構(gòu)可以保證根據(jù)業(yè)務(wù)需求，對(duì)不同層次進(jìn)行擴(kuò)容。

2.2 打葉復(fù)烤企業(yè)工控網(wǎng)絡(luò)架構(gòu)

根據(jù)打葉復(fù)烤企業(yè)業(yè)務(wù)特點(diǎn)，工業(yè)控制系統(tǒng)按照系統(tǒng)的業(yè)務(wù)流程和具體組成架構(gòu)特點(diǎn)劃分，主要由煙葉物流控制類、復(fù)烤加工生產(chǎn)控制類、動(dòng)力能管控制類和其他獨(dú)立控制等四類系統(tǒng)組成。煙葉物流控制類系統(tǒng)主要應(yīng)用于原煙收儲(chǔ)、煙葉分選、成品儲(chǔ)運(yùn)等業(yè)務(wù)環(huán)節(jié)，一般由制造執(zhí)行系統(tǒng)（MES）將生產(chǎn)計(jì)劃下發(fā)到物流管理系統(tǒng)（WCS），再由WCS下發(fā)給PLC執(zhí)行任務(wù)；復(fù)烤加工生產(chǎn)控制類系統(tǒng)主要應(yīng)用于煙葉復(fù)烤加工環(huán)節(jié)，系統(tǒng)一般由工業(yè)交換機(jī)組成環(huán)網(wǎng)，根據(jù)生產(chǎn)工藝段劃分，采用PLC、分布式IO、現(xiàn)場(chǎng)設(shè)備分離控制的模式；動(dòng)力能管控制類系統(tǒng)主要包括鍋爐、供配電、空壓設(shè)備等控制系統(tǒng)，為生產(chǎn)線提供水、電、汽、氣等能源保障；其他獨(dú)立控制類主要包括污水處理控制系統(tǒng)等，此類系統(tǒng)因控制設(shè)備單1 I/O點(diǎn)數(shù)較少，控制器、現(xiàn)場(chǎng)設(shè)備及HMI多整合為一體。

2.3 打葉復(fù)烤企業(yè)工控網(wǎng)絡(luò)特點(diǎn)

（2）各類工業(yè)控制系統(tǒng)工作基本相互獨(dú)立，未形成統(tǒng)一信息交互整體，僅預(yù)留與其他系統(tǒng)信息傳遞相關(guān)接口；

（3）復(fù)烤加工生產(chǎn)類控制系統(tǒng)主干網(wǎng)絡(luò)多采用Profinet、EtherNet/IP等工業(yè)以太網(wǎng)技術(shù)，電源和光纖多采用冗余設(shè)計(jì)，整個(gè)系統(tǒng)對(duì)網(wǎng)絡(luò)通訊實(shí)時(shí)性、穩(wěn)定性、可靠性有較高要求；

（4）控制類及網(wǎng)絡(luò)傳輸類設(shè)備主要集中于西門子，羅克韋爾、施耐德、GE等國(guó)外廠家，設(shè)備性能優(yōu)越；

（5）現(xiàn)場(chǎng)儀器儀表多具有網(wǎng)絡(luò)通訊接口，智能化程度較高。

3 打葉復(fù)烤企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀

（1）打葉復(fù)烤企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)設(shè)備（如工業(yè)交換機(jī)、現(xiàn)場(chǎng)操作站等）一般就近放置于生產(chǎn)現(xiàn)場(chǎng)，因現(xiàn)場(chǎng)工況較差，設(shè)備運(yùn)行穩(wěn)定性難以保障；

（2）工控系統(tǒng)網(wǎng)絡(luò)安全類設(shè)備配置單一，僅有防火墻等基礎(chǔ)硬件配置，防火墻攔截策略不夠完善；

（3）各類工控系統(tǒng)一般情況下不連接互聯(lián)網(wǎng)，但為滿足遠(yuǎn)程監(jiān)打等業(yè)務(wù)需求，或?yàn)閷?shí)現(xiàn)工控系統(tǒng)遠(yuǎn)程維護(hù)等功能，系統(tǒng)中一般配備了雙網(wǎng)卡工程師站，僅在需要實(shí)現(xiàn)相關(guān)功能時(shí)，通過人工方式接入互聯(lián)網(wǎng)，存在入侵隱患；

（4）系統(tǒng)內(nèi)工控機(jī)、人機(jī)界面等終端未安裝有終端安全管理系統(tǒng)，USB等接口裸露在外，基本無(wú)防御木馬、病毒攻擊及漏洞修復(fù)的能力；

PPR蛋白普遍具有與單鏈RNA結(jié)合的能力，隨著研究的深入，PPR基序識(shí)別特定核苷酸的規(guī)律也逐漸清晰，目前認(rèn)為，一個(gè)PPR基序可以特異性的識(shí)別一個(gè)核苷酸。

（5）工控網(wǎng)絡(luò)管理人員技術(shù)技能相對(duì)薄弱，網(wǎng)絡(luò)安全管理措施較為單薄，缺乏相關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案；

（6）系統(tǒng)對(duì)設(shè)備操作安全控制有較高要求，系統(tǒng)發(fā)生故障時(shí)，要及時(shí)、準(zhǔn)確地停止相關(guān)設(shè)備，根據(jù)故障原因發(fā)出聲、光報(bào)警，并顯示故障原因提示信息，故障排除后，需要人工對(duì)故障進(jìn)行復(fù)位才允許重新啟動(dòng)設(shè)備進(jìn)行生產(chǎn)。

4 工控安全建設(shè)相關(guān)標(biāo)準(zhǔn)規(guī)范

關(guān)于工控系統(tǒng)信息安全標(biāo)準(zhǔn)，國(guó)際上已有幾個(gè)重要的標(biāo)準(zhǔn)，IEC62443/ISA99，NIST SP800-82等，我國(guó)2014年底發(fā)布了GB30976.1-2014《工業(yè)控制系統(tǒng)信息安全評(píng)估規(guī)范和驗(yàn)收規(guī)范》。煙草行業(yè)2014實(shí)施關(guān)于工控系統(tǒng)信息安全的規(guī)范《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》（YCT 494-2014），提出煙草企業(yè)的生產(chǎn)網(wǎng)和管理網(wǎng)的網(wǎng)絡(luò)連接架構(gòu)與要求，給出了煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)互聯(lián)接口安全模型及其安全功能、性能要求，明確兩網(wǎng)之間的安全功能包括身份鑒別、訪問控制、網(wǎng)絡(luò)互聯(lián)控制、惡意行為防范、安全審計(jì)、支撐操作系統(tǒng)安全。上述標(biāo)準(zhǔn)規(guī)范也為打葉復(fù)烤企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)指明了方向。

5 云南某打葉復(fù)烤廠工控網(wǎng)絡(luò)安全建設(shè)

云南某打葉復(fù)烤廠在工控網(wǎng)絡(luò)安全建設(shè)方面遵循預(yù)防為主，技術(shù)為先的思路，從“人防+技防”為切入點(diǎn)實(shí)施網(wǎng)絡(luò)安全建設(shè)。依據(jù)煙草行業(yè)網(wǎng)絡(luò)安全 “分級(jí)分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理” 總體策略及《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》進(jìn)行建設(shè)，將生產(chǎn)網(wǎng)和管理隔離，通過身份鑒別、訪問控制、網(wǎng)絡(luò)互聯(lián)控制、惡意行為防范、安全審計(jì)，支撐操作系統(tǒng)安全，加強(qiáng)接口數(shù)量控制和安全管理。

5.1 充分應(yīng)用網(wǎng)絡(luò)隔離技術(shù)

應(yīng)用網(wǎng)絡(luò)隔離技術(shù)，在系統(tǒng)中運(yùn)用如防火墻等隔離措施，對(duì)病毒和外部攻擊進(jìn)行防御，運(yùn)用及部署過濾或封鎖網(wǎng)絡(luò)流量的手段，來(lái)保證系統(tǒng)的安全。

5.2 入侵檢測(cè)和入侵預(yù)防系統(tǒng)

通過預(yù)裝入侵檢測(cè)和入侵預(yù)防系統(tǒng)（如安全監(jiān)測(cè)軟件、防火墻軟件），通過軟件技術(shù)檢測(cè)和防御網(wǎng)絡(luò)流量中的網(wǎng)絡(luò)物理攻擊，降低目標(biāo)環(huán)境中的潛在威脅，以此來(lái)保證系統(tǒng)的安全

5.3 及時(shí)更新及安裝應(yīng)用安全補(bǔ)丁

通過管理手段及軟件技術(shù)，對(duì)系統(tǒng)使用的操作系統(tǒng)、應(yīng)用軟件及各工業(yè)專用軟件，及時(shí)更新并安裝應(yīng)用安全補(bǔ)丁。通過安全補(bǔ)丁的安裝來(lái)減小系統(tǒng)所存在的漏洞和后門，并及時(shí)應(yīng)用到中控系統(tǒng)的應(yīng)用層。以此來(lái)降低和彌補(bǔ)程序錯(cuò)誤、設(shè)計(jì)缺陷的可能性，以保證系統(tǒng)的安全。

5.4 軟件及接口安全技術(shù)

在系統(tǒng)軟件開發(fā)設(shè)計(jì)過程中，通過軟件及接口安全技術(shù)，對(duì)外部接口軟件的連接請(qǐng)求進(jìn)行身份認(rèn)證，客戶端經(jīng)過認(rèn)證后才能與服務(wù)器建立連接，同時(shí)服務(wù)器也需要經(jīng)過認(rèn)證才能與客戶端通信，以此來(lái)保護(hù)網(wǎng)絡(luò)服務(wù)的安全。同時(shí)采用TLS等措施對(duì)信息交換進(jìn)行加密，保證通信安全。

5.5 遠(yuǎn)程訪問VPN網(wǎng)關(guān)的應(yīng)用

為更好保障系統(tǒng)的生產(chǎn)運(yùn)行安全，以及對(duì)網(wǎng)絡(luò)和技術(shù)的未來(lái)發(fā)展進(jìn)行充分的預(yù)案，系統(tǒng)建設(shè)時(shí)引入了遠(yuǎn)程訪問VPN網(wǎng)關(guān)設(shè)備和系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的安全接入和管理，有效保障業(yè)務(wù)數(shù)據(jù)安全和應(yīng)對(duì)不斷變化的業(yè)務(wù)需求。

5.6 制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案

為確保工控系統(tǒng)的運(yùn)行安全和數(shù)據(jù)安全，提升應(yīng)急處理能力，最大限度預(yù)防和減少網(wǎng)絡(luò)安全突發(fā)事件造成的損害，保障信息資產(chǎn)安全，系統(tǒng)建設(shè)完成后制定了工控網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案，為工控網(wǎng)絡(luò)的安全可靠運(yùn)行提供制度上的保障。

6 結(jié)語(yǔ)

隨著物聯(lián)網(wǎng)、智能制造等新技術(shù)在打葉復(fù)烤的應(yīng)用，加工現(xiàn)場(chǎng)設(shè)備數(shù)字化、網(wǎng)絡(luò)化、智能化的加快發(fā)展，工控安全將面臨越來(lái)越多的挑戰(zhàn)。打葉復(fù)烤工控網(wǎng)絡(luò)安全與企業(yè)安全生產(chǎn)息息相關(guān)，加強(qiáng)相關(guān)網(wǎng)絡(luò)安全設(shè)施建設(shè)，提升工控安全信息系統(tǒng)的防護(hù)能力，對(duì)解決自動(dòng)化、信息化、智能化融合中互聯(lián)網(wǎng)帶來(lái)的威脅具有重要意義，有利于助推企業(yè)高質(zhì)量發(fā)展。

[1]張勇.卷煙生產(chǎn)企業(yè)網(wǎng)絡(luò)安全技術(shù)體系探究[J].科技創(chuàng)新與應(yīng)用，2015（27）：94.

[2]梁琦.工業(yè)控制系統(tǒng)安全防護(hù)方案[J].電信科學(xué)，2018（04）：144-150.

[3]李偉.煙草商業(yè)物流工控安全體系研究[J].計(jì)算機(jī)產(chǎn)品與流通，2018（07）：274-275.

[4]周民軍.工控網(wǎng)絡(luò)現(xiàn)狀與安全分析[J].現(xiàn)代工業(yè)經(jīng)濟(jì)和信息化，2017（15）：61-62.

[5]趙全洲，司成偉.淺談煙草行業(yè)工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的威脅評(píng)估[J].通訊世界，2019（08）：63-65.

[6]GB 30976.1-2014《工業(yè)控制系統(tǒng)信息安全評(píng)估規(guī)范和驗(yàn)收規(guī)范》[S].

[7]YC/T494-2014《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》[S].