◆吳秋果 文雅玫 資捷 謝博文 陳壯宇 王雋

打葉復(fù)烤企業(yè)工控系統(tǒng)網(wǎng)絡(luò)安全防護能力建設(shè)研究

◆吳秋果1文雅玫2資捷1謝博文1陳壯宇1王雋1

（1.湖南煙葉復(fù)烤有限公司辦公室 湖南 423000；2.湖南省煙草專賣局（公司）信息中心 湖南 410004）

文章分析了“打葉復(fù)烤”企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全存在的安全問題，提出了“打葉復(fù)烤”企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全整體方案，并針對網(wǎng)絡(luò)安全防護能力建設(shè)進行了全面的闡述，對“打葉復(fù)烤”企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全體系構(gòu)建具有一定的借鑒意義。

工業(yè)控制系統(tǒng)；打葉復(fù)烤企業(yè)；網(wǎng)絡(luò)安全

1 背景

近年來，煙草行業(yè)持續(xù)加強網(wǎng)絡(luò)安全建設(shè)，包括終端防病毒管理，網(wǎng)絡(luò)邊界處的防火墻和IPS等安全軟件和設(shè)備，在一定程度上已經(jīng)對外部威脅具備基本的防護能力。但隨著安全威脅和攻擊手段日新月異，針對工業(yè)控制系統(tǒng)和信息系統(tǒng)的攻擊手段層出不窮，各種高危漏洞不斷被攻擊者挖掘出來，攻擊的目標(biāo)越來越有針對性，企業(yè)面臨的安全威脅呈現(xiàn)新的趨勢。目前大多數(shù)“打葉復(fù)烤”企業(yè)在安全防護上還有如下的欠缺：

（1）未進行安全域劃分。大部分行業(yè)的工控系統(tǒng)與各子系統(tǒng)之間沒進行安全分區(qū)，區(qū)域間未設(shè)置訪問控制措施，邊界訪問控制策略缺失，系統(tǒng)邊界不清晰。

（2）缺少信息安全監(jiān)控機制。在工控網(wǎng)絡(luò)上普遍缺少信息安全監(jiān)控機制，不能及時了解網(wǎng)絡(luò)狀況，一旦發(fā)生問題不能及時確定問題所在，及時排查到故障點，排查過程耗費大量人力成本、時間成本。

（3）系統(tǒng)漏洞安全配置薄弱。系統(tǒng)運行后，“操作站”和服務(wù)器很少打補丁，存在系統(tǒng)漏洞安全配置較薄弱，防病毒軟件安裝不全面等問題。大部分行業(yè)工控系統(tǒng)投產(chǎn)后，對操作系統(tǒng)極少升級，而操作系統(tǒng)會不斷曝出漏洞，導(dǎo)致“操作站”和服務(wù)器暴露在風(fēng)險中。

（4）身份認(rèn)證和準(zhǔn)入控制風(fēng)險。工程師站缺少身份認(rèn)證和接入控制，且權(quán)限過大。無線通信安全性不足，部分行業(yè)工控系統(tǒng)大量使用無線網(wǎng)絡(luò)，存在無線網(wǎng)絡(luò)安全威脅。

（5）其他管理風(fēng)險。隨意使用U盤、光盤、移動硬盤等移動存儲介質(zhì)，有可能使傳染病毒、木馬等威脅進入系統(tǒng)。系統(tǒng)在上線前未進行安全性測試，系統(tǒng)在上線后存在大量安全風(fēng)險漏洞，安全配置薄弱，甚至有的系統(tǒng)帶毒工作。

2 打葉復(fù)烤企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護能力建設(shè)

工控網(wǎng)絡(luò)安全威脅防護能力是指企業(yè)內(nèi)部網(wǎng)絡(luò)規(guī)劃符合安全分區(qū)要求，采取邊界防護措施與其他外部網(wǎng)絡(luò)進行物理或邏輯隔離，在設(shè)備物理安全管理、網(wǎng)絡(luò)安全防護、主機安全配置、應(yīng)用安全設(shè)計和數(shù)據(jù)安全保障等方面按照等級保護的要求采取必要的技術(shù)手段和管理措施，避免來自外部的計算機病毒、網(wǎng)絡(luò)攻擊等威脅和內(nèi)部的人員錯誤操作、惡意破壞等網(wǎng)絡(luò)安全風(fēng)險，最大程度保護工控網(wǎng)絡(luò)的運行安全。通過部署工控安全網(wǎng)關(guān)，對工控邊界進行多層次、大縱深防護。提供安全域劃分、ARP防護、工控病毒與攻擊防護、工控協(xié)議專用細(xì)粒度防護功能，應(yīng)對網(wǎng)絡(luò)攻擊、病毒木馬惡意軟件入侵、黑客攻擊等多種安全威脅，形成一套涵蓋攻擊路徑分析、網(wǎng)絡(luò)邊界調(diào)整、系統(tǒng)全面加固、工控安全邊界防護、工控流量安全監(jiān)測與安全預(yù)警的立體化多層級網(wǎng)絡(luò)安全防護體系。

2.1 攻擊路徑分析

目前“打葉復(fù)烤”企業(yè)工控系統(tǒng)存在如下潛在的黑客入侵途徑：

（1）無線網(wǎng)。通過安裝萬能鑰匙的終端可以直接接入廠區(qū)WIFI，掃描是否存在同時連接互聯(lián)網(wǎng)和辦公網(wǎng)的主機，再以此主機為跳板尋找可以訪問工控網(wǎng)絡(luò)的主機，對工控系統(tǒng)進行攻擊。

（2）監(jiān)控網(wǎng)。在比較隱蔽的監(jiān)控攝像頭位置，在線路上通過拆除、串接、并接等方式接入攻擊終端，可進入監(jiān)控網(wǎng)絡(luò)，之后利用中控室監(jiān)控雙網(wǎng)卡主機作為跳板攻擊工控系統(tǒng)，或者利用高架庫“物流區(qū)”交換機混接問題，進入工控網(wǎng)絡(luò)攻擊關(guān)鍵系統(tǒng)。

（3）辦公網(wǎng)。目前辦公網(wǎng)和工控網(wǎng)之間存在防火墻策略松散、高架庫“物流區(qū)”辦公網(wǎng)交換機和“工控域”混接等問題，存在利用辦公電腦攻擊工控系統(tǒng)的可能。

（4）工控網(wǎng)。部分企業(yè)存在中控電腦同時接入生產(chǎn)環(huán)網(wǎng)、辦公網(wǎng)、互聯(lián)網(wǎng)的嚴(yán)重違規(guī)情況，黑客可以通過遠(yuǎn)程控制上網(wǎng)主機直接攻擊工控系統(tǒng)。

2.2 網(wǎng)絡(luò)架構(gòu)規(guī)劃與調(diào)整

根據(jù)業(yè)務(wù)系統(tǒng)的作用和重要性進行網(wǎng)絡(luò)的安全分區(qū)，劃分為生產(chǎn)控制大區(qū)、管理信息大區(qū)和互聯(lián)網(wǎng)區(qū)。各區(qū)域之間進行物理或邏輯隔離，規(guī)范終端接入，設(shè)置路由器訪問控制規(guī)則，細(xì)化和調(diào)整現(xiàn)有防火墻策略。不同安全區(qū)之間要基于路由器ACL規(guī)則、防火墻等訪問控制類設(shè)備進行邏輯隔離，遵循“最小化原則”，只允許必要的網(wǎng)絡(luò)流量通過。主要工作包括：

網(wǎng)絡(luò)架構(gòu)調(diào)整。徹底檢查整改主機多網(wǎng)卡、網(wǎng)絡(luò)VLAN劃分、交換機級聯(lián)、路由器的錯誤連接等情況，做到安全分區(qū)、網(wǎng)絡(luò)專用。同時對中控室監(jiān)控主機、高架庫交換機和辦公內(nèi)網(wǎng)的訪問方式和連接關(guān)系進行改造，調(diào)整設(shè)備DNS配置和路由器配置。

網(wǎng)絡(luò)訪問策略調(diào)整。在完成網(wǎng)絡(luò)架構(gòu)的整體調(diào)整后，在分區(qū)邊界上統(tǒng)一增設(shè)防火墻或具有訪問控制功能的網(wǎng)絡(luò)設(shè)備進行邏輯隔離。梳理安全區(qū)之間必要的互訪需求，設(shè)置最小化的安全規(guī)則，以保證業(yè)務(wù)的可用性。

2.3 開展全面系統(tǒng)加固

針對評估過程中發(fā)現(xiàn)的大量的安全漏洞或問題，重點對系統(tǒng)漏洞、補丁和配置等進行修補和加固。主要加固方式包括：

弱口令修改。對大量終端，尤其是對關(guān)鍵網(wǎng)絡(luò)設(shè)備如路由器、防火墻、交換機（包括工業(yè)交換機）、IPS、工控設(shè)備如HMI/PLC、攝像頭等的系統(tǒng)登錄口令（SSH、Telnet、FTP）、WEB界面用戶名和口令等進行梳理。

關(guān)閉無用服務(wù)和端口。對于大量存在的無用IIS、Tomcat、FTP、遠(yuǎn)程桌面、文件共享等服務(wù)進行關(guān)閉，對無用的物理端口進行禁用和封簽處理。

系統(tǒng)補丁升級。針對存在的WINXP、WIN7、WIN2003、WIN2008、LINUX等系統(tǒng)，統(tǒng)一升級系統(tǒng)安全補丁到最新版本。

殺毒軟件更新。對于未安裝或正常使用殺毒軟件的終端，確保安裝并正常進行病毒查殺，并及時更新病毒庫到最新版本。

2.4 工控安全邊界防護

在完成網(wǎng)絡(luò)架構(gòu)的整體調(diào)整后，在分區(qū)邊界上統(tǒng)一增設(shè)針對性定制的工控安全網(wǎng)關(guān)，對工控邊界進行多層次、縱深防護，提供安全域劃分、ARP防護、工控病毒與攻擊防護、工控協(xié)議專用細(xì)粒度防護功能，應(yīng)對網(wǎng)絡(luò)攻擊、病毒木馬惡意軟件入侵、黑客攻擊等多種安全威脅，為系統(tǒng)提供聯(lián)合、可靈活定制的安全防護。梳理安全區(qū)之間必要的互訪需求，設(shè)置最小化的安全規(guī)則，以保證業(yè)務(wù)的可用性。

2.5 工控流量安全監(jiān)測與安全預(yù)警

“打葉復(fù)烤”企業(yè)在網(wǎng)絡(luò)安全防御方面缺失網(wǎng)絡(luò)安全監(jiān)測與審計機制，可通過對關(guān)鍵節(jié)點部署工控采集與分析探針，負(fù)責(zé)對工控網(wǎng)絡(luò)相關(guān)數(shù)據(jù)進行全面的數(shù)據(jù)采集與實時分析，及時發(fā)現(xiàn)攻擊行為、違規(guī)操作、錯誤配置、設(shè)備故障等安全事件或異常行為。工控網(wǎng)絡(luò)或系統(tǒng)面臨的安全事件或異常行為梳理如下：

高危風(fēng)險監(jiān)測。高危風(fēng)險監(jiān)測主要表現(xiàn)在工控網(wǎng)絡(luò)的感染和攻擊、非法設(shè)備的接入與控制以及高危指令的操作。一是工控病毒感染監(jiān)測。針對工控系統(tǒng)的專有病毒BlackEnergy黑暗力量、勒索病毒及其多種變種等進行感染監(jiān)測。二是工控網(wǎng)絡(luò)攻擊監(jiān)測。系統(tǒng)遭到各種拒絕服務(wù)攻擊，惡意的端口掃描、IP地址欺騙攻擊等。三是非法設(shè)備接入監(jiān)測。非法終端設(shè)備接入網(wǎng)絡(luò)進行維護或惡意攻擊，通過旁路接入或“串入”設(shè)備竊聽網(wǎng)絡(luò)流量，進行信息竊取等。

中?！帮L(fēng)險監(jiān)測”。中?！帮L(fēng)險監(jiān)測”主要監(jiān)測包括違規(guī)外聯(lián)、異常流量和脆弱口令等。一是違規(guī)外聯(lián)設(shè)備或網(wǎng)絡(luò)監(jiān)測。操作人員或惡意攻擊者存在私接網(wǎng)卡網(wǎng)線、跨網(wǎng)運維、插拔“非安全”U盤等存儲設(shè)備、私接非法調(diào)試終端、私接無線網(wǎng)卡、跳板上網(wǎng)等違規(guī)外聯(lián)互聯(lián)網(wǎng)等行為。二是非法組態(tài)變更監(jiān)測。異常的PLC組態(tài)變更行為，如攻擊者利用系統(tǒng)漏洞對PLC的運行邏輯進行替換，或攻擊者通過侵入工程師站對PLC進行配置修改和下發(fā)等。三是異常網(wǎng)絡(luò)流量監(jiān)測。設(shè)備/系統(tǒng)進出網(wǎng)絡(luò)流量出現(xiàn)激增、歸零、嚴(yán)重的重傳、超時、缺失，協(xié)議有效性、完整性出現(xiàn)異常，工控協(xié)議建鏈、斷鏈異常等。

“低危風(fēng)險”監(jiān)測。主要包括：一是IO信號閾值越界監(jiān)測。設(shè)備/系統(tǒng)數(shù)字/模擬IO輸入輸出的控制信號存在明顯的越界現(xiàn)象，這可能是控制邏輯、運行參數(shù)被惡意修改造成。二是畸形報文攻擊監(jiān)測。攻擊者通過發(fā)送精心構(gòu)造的畸形報文對關(guān)鍵設(shè)備如PLC進行協(xié)議漏洞攻擊，這可能造成設(shè)備損壞或人員傷亡。

3 結(jié)語

本文全面分析了“打葉復(fù)烤”企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)中所存在的安全風(fēng)險和威脅，按照“完善一套機制，建設(shè)四個能力”的思路，構(gòu)建涵蓋攻擊路徑分析、網(wǎng)絡(luò)邊界調(diào)整、系統(tǒng)全面加固、工控安全邊界防護、工控流量安全監(jiān)測與安全預(yù)警的立體化多層級網(wǎng)絡(luò)安全防護體系，形成事前安全檢測預(yù)防、事中安全事件監(jiān)測和事后快速應(yīng)急處置于一體的全生命周期網(wǎng)絡(luò)安全防護能力，提高了“打葉復(fù)烤”企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護水平。

[1]李佳瑋，郝悍勇，李寧輝.工業(yè)控制系統(tǒng)信息安全防護[J].中國電力，2015，48（10）：139-143.

[2]王孝良，崔保紅，李思其，等. 關(guān)于工控系統(tǒng)信息安全的思考與建議[J]. 信息網(wǎng)絡(luò)安全，2012，18（11）：11-17.

[3]彭杰，劉力.工業(yè)控制系統(tǒng)信息安全性分析[J].自動化儀表， 2012，33（12）：36-39.

[4]曾瑜，郭金全. 工業(yè)控制系統(tǒng)信息安全現(xiàn)狀分析[J].信息網(wǎng)絡(luò)安全，2016（9）：169-172.

[5]耿欣.煙草企業(yè)工業(yè)控制系統(tǒng)安全保障體系研究[J].信息網(wǎng)絡(luò)安全，2017（9）：34-37.

[6]文雅玫，李建強，謝博文，等. 煙草行業(yè)工控系統(tǒng)安全監(jiān)測與管控方案[J]. 自動化博覽，2018，35（11）：78-80.

[7]張玫，曾彬，朱成威. 工控系統(tǒng)安全監(jiān)測及溯源系統(tǒng)的設(shè)計與實現(xiàn)[J]. 信息技術(shù)與網(wǎng)絡(luò)安全，2019，38（01）：18-23.