烟草行业工控网络安全风险威胁评估

前言：本站为你精心整理了烟草行业工控网络安全风险威胁评估范文，希望能为你的创作提供参考价值，我们的客服老师可以帮助你提供个性化的参考范文，欢迎咨询。

【摘要】随着工业化与信息化的深度融合，工业控制系统的信息化程度越来越高，伴随而来的网络安全风险也日益增长，再加之工业控制系统的网络本身具有独特性，网络安全问题也更加特殊，为控制与减小烟草行业工业控制系统的网络安全风险，文中开始先介绍了工业生产控制系统网络安全与传统信息网络安全的区别，其次说明了工控系统中安全风险威胁评估核心内容，最后介绍了常见的应对措施，为卷烟厂进一步的工控网络安全防护构建安全防护的基本准则。

【关键词】烟草行业工控系统；工控网络安全；安全风险评估

随着“两化融合”、“智能制造”、“工业互联网”的快速推进，工业控制系统越来越多地与广域网连接，造成了病毒、木马等威胁进入工业控制系统，工业控制系统面临的网络安全风险也越来越多，但是人们对工业控制系统的网络安全方式还存在较大的认识误区，为进一步的提高安全防护技术，深入研究工控系统网络安全风险来源就显得尤为重要。

1工控网络安全和传统网络安全的区别

工控网络安全现状令人担忧，与此同时，烟草行业工控网络安全防护工作在国家烟草局有关部门的指导下正在摸索中也逐步开展。正是由于工控网络安全是一个独立的领域，对工控网络安全的认识仍存在着误区，很多业主甚至认为使用在信息系统中有良好效果的传统信息安全防护手段即可防护工控网络的安全，其显然是没有对工控系统与传统信息系统的区别有深入的理解。其中，尤以以下五个方面对工控网络安全防护手段的影响最大。

1.1工控网络与信息网络通信协议不同

信息网络通信协议的目标是将信息传递到目的地，常见的有ftp，http，telnet等协议，但是，工业控制网络使用的是工业控制系统特定的协议，例如S7协议、MODBUS、DNP3、OPC、IEC-104、PROFINET等公开的规范协议以及其他具有工控系统特色、关注控制特征的厂商私有网络通信协议。工业控制协议设计的目标在于可靠和可控，其实时性和精度是重要衡量指标，如果工控网络协议在实时、精度上失去可用性，其信息传递的保密性、安全性和完整性也会失去意义。

1.2工控网络相对信息网络有更高的稳定性要求

大多数工控系统需要连续不间断的工作，某些情况下正在生产的产品或正在使用的设备比信息更加重要，可用性的要求大于保密性要求。工控网络结构和网络行为对控制信号的传输时延性、可靠性、稳定性等要求非常高，数据必须在规定的时间内可靠到达目标系统，数据出现传输丢失、传输延迟、乱序传输等都将给工业控制系统带来严重的、甚至是灾难性的问题。

1.3系统运行软硬件环境不同

工控系统在使用寿命的设计上比信息系统长得多，导致其运行环境相对落后于当前主流的信息技术。工控系统一般使用未更新的操作系统，其中以微软已停止安全服务的Win-dowsXP操作系统为多数。

1.4工控系统更新代价高

工控系统无法像办公网或互联网通过打补丁来封堵安全缺陷。工控系统软件、固件的更新在通过完善的离线测试前，无法及时部署。任何形式的升级失败导致的功能失效问题、网络通信问题都会对系统的可用性产生影响，给工业生产带来不可预计的损失。

1.5现场运行的自然环境不同

一些工业控制系统所处的工业现场环境恶劣，工业环境可能需要在野外零下几十度的低温、潮湿、高原、盐雾等环境中正常运行，而IT信息系统通常在恒温、恒湿的机房中。这就要求工业控制系统中的安全产品，在硬件上要按照不同行业的特殊现场环境要求专门进行设计，做到全密闭、无风扇、运行温度支持-40℃～70℃宽温以及防腐蚀、防潮、防磁、防震等特殊要求。由于上述工控系统与传统信息系统的区别，在工控网络安全防护工作中，简单地将传统信息安全产品在工控系统上堆砌以达到针对工控网络的安全防护是难以起到预期的效果的。人们对工控网络安全的认识误区需要被正视，工控网络安全的防护手段也随着人们认识的提升而逐步演变。

2工控安全风险评估

分析卷烟企业工业控制系统的网络安全隐患，威胁分析是一种普遍应用的非接触式工控网络信息安全风险评估方式。它是通过全面的、可反复操作的方法来评估工控网络的安全框架，其依据来自于已经颁布的国家及行业的多个工业标准。在威胁分析中，评估人员根据评估对象的不同选择适用现场的评估标准，不同的评估标准将拥有不同的评估选项。评估人员通过对现场的勘察以及与现场人员的访谈结果完成评估选项。在完成所有评估选项后即可知道当前工控网络所符合的安全等级。同时平台会根据评估选项结果进行总结分析，指出工控网络中的风险和问题区域，以及要达到更高安全等级需要整改的部分。工控系统网络安全威胁分析主要包括如下几个方面：

2.1网络架构分析

网络架构分析是通过对被查系统的网络拓扑及网络层面细节架构的评估，主要从网络建设的规范性、网络的可靠性、网络边界安全等几个方面进行分析。工控系统一般分生产执行层、过程监控层、现场控制层、现场设备层。为确保工控系统的安全性，应对生产控制网进行安全域的划分，包括网络安全管理域、过程监控域和工业控制域等不同安全域之间应采用技术隔离手段。

2.2安全配置检查

通过人工查看或使用工具的方式对检查范围内的系统、数据库、设备（含主机、服务器、安全防护设备等）进行检查，发现账号、口令、授权、日志、服务、规则等功能和配置方面的缺陷和脆弱性等。

2.2.1工控系统用户身份鉴别

（1）对操作系统和数据库管理系统的登录用户做一般用户和系统用户标识和鉴别；（2）用户标识：在用户初次注册到系统时，需对用户名和用户标识符进行标识，保护标识信息在工控系统整个生存周期的唯一性和完整性；（3）用户鉴别：在系统登录时，采用复杂的口令规则或具有相关安全强度的其他机制进行鉴别，并保护鉴别所用数据信息的保密性或完整性；应具有登录失败处理功能，才采取结束会话、限制非法登录次数和登录连接超时自动退出等措施；复杂口令规则的具体要求如下：口令采用数字、字母、符号的无规律混排方式；口令的长度至少为8位，并且每季度至少更换1次，更新的口令至少5次内不能重复；如果系统长度不支持上述口令复杂度要求，应使用所支持的最长长度并适当缩小更换周期，也可以使用动态密码卡等一次性口令认证方式；修改系统默认账户，以及这些账户的默认口令，系统无法实现的除外。

2.2.2工控系统自主访问控制

①用户自主访问控制主机操作系统和数据库管理系统；②用户通过对自主访问控制策略的修改，实现对其所创建的客体权限自主控制；③访问控制主体的粒度应为用户级，客体的粒度应为文件级和数据库表级；④用户可以根据授权规则和授权转移规则，确定所属客体的访问权限和权限转移；⑤限制默认账户的访问权限，系统无法实现的除外。

2.2.3工控系统安全审计

（1）设置主机操作系统安全审计和数据库管理系统安全审计；（2）审计内容应包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系的重要安全相关事件。用户的添加和删除，启动和关闭审计功能，调整审计策略，变更权限，以及重要的操作（登陆、退出）等；（3）审计日志应包括审计事件的日期和时间、用户名、事件类型、事件成功与否等；（4）审计功能可分为按照安全审计分类、安全审计事件，可进行安全审计查阅并可生成安全审计报表；（5）具有安全审计事件报警、安全审计事件记录存储等功能；审计事件记录保存应至少6个月；（6）安全审计磁盘剩余空间，提醒剩余空间不足并要求采取相应的防止数据丢失的措施；（7）为第三方软件、设备连接安全审计设备数据提供接口。

2.2.4工控系统入侵防范

（1）遵循最小安装的原则，对操作系统仅安装需要的组件和实用程序；（2）通过设置升级服务器等方式，持续跟踪厂商提供的系统升级更新补丁，在经过充分测试评估后，按正式的补丁，及时进行系统修补。

2.2.5防病毒软件

（1）选配满足本安全及要求的主机防病毒软件；原则上锁有主机均应安装防病毒软件，对由于系统不支持而未安装防病毒软件的主机，用采取其他措施进行病毒防范。（2）及时更新防病毒软件版本和病毒库。（3）支持防病毒软件服务器对客户端统一管理。

2.2.6工控系统资源控制

（1）通过设定终端接入方式、网络地址范围等限制终端登录；（2）根据安全策略设置登录终端的操作超时锁定；（3）限制单个用户对系统资源的最大或最小使用限度。

2.2.7工控系统备份与恢复

（1）对重要设备和软件应及时备份；当相关设备或软件发生故障时，用备份设备或软件替换故障设备或更换软件；（2）定期（每月至少一次）进行软件数据备份；当相关软件发生故障时，进行系统恢复。

2.3系统漏洞情况研究

结合安全检查实施工作对被检查单位的工控系统漏洞现状，统计分析该行业工业控制系统漏洞分布情况研究。以在报告中图表汇总统计的方式进行漏洞现状安全的分析，并针对重要的高危、危急漏洞进行重点分析，如图2所示。

2.4系统网络数据流量安全研究

流量分析是对工控网络中各类设备间信息交互时的通信数据流进行风险评估的方式。将平台接入工控网络主交换机的镜像端口，实时深度解析工控协议流量包，并把数据与病毒特征库进行对比，及时发现网络中的异常流量并对异常流量进行分析。使用专业的工业控制系统智能防护设备在安全检查测试过程中捕获工业网络的全网数据流量，通过网络数据流量智能分析引擎，对网络数据进行细颗粒度的安全性分析，发现网络中存在的隐患，甚至是病毒木马等恶意数据流量。

2.5渗透测试

渗透测试是指渗透工作人员在外网等利用不同的渗透手段对卷烟企业工控系统网络进行渗透测试，用于发现和挖掘工控系统中存在的漏洞以及风险。渗透测试通常使用的方法是模拟黑客使用的攻击手段对目标卷烟企业的工控网络进行入侵，暴露此系统的弱点，可以让管理人员以及工作人员了解系统所面临的威胁，并作出相应的应急方案。渗透测试具有一定的风险，可能影响卷烟企业生产系统正常运行。

2.6系统安全威胁评估

使用自动化的威胁评估工具，对卷烟企业工控系统现状进行整体性安全威胁评估，从资产、漏洞、威胁等多个角度综合评判，并根据指定的算法开展适用于卷烟行业工控系统安全检查的对标打分研究、实验，并输出一份威胁评估检查报告。

3常见的工控网络安全应对措施

3.1分区分域、边界防护

为了避免病毒、恶意代码的入侵蔓延，所以边界防护及边界隔离宜采用纵向分层、横向分区的防护原则，一般采用工业防火墙、工业网闸、光闸等进行策略防护，工控协议深度监测、威胁检测等。

3.2网络监测及审计

在工业控制系统网络中部署监测审计设备，满足对工业协议深度监测及流还原，对事故及异常操作行为进行分析及事故追溯、网络实时监测告警等。

3.3终端安全防护

工业终端包含：现场触摸式工控机、操作员站、工程师站、上位机、服务器等，工业终端一般宜采用“白名单”防护原则，真正实现终端的自主防御功能，颠覆传统杀毒软件被动防御、且不兼容、升级困难、占用资源过多、新病毒防御不及时等问题。

3.4工控安全运维

采用集中的安全运维可以极大地减少工控系统维护的工作量和维护成本，并且可以制定策略，保障工控系统运行的安全性。

3.5统一安全管理平台

工控统一安全管理平台可以对工业控制系统软、硬件，以及工控网络安全产品进行统一的监控、管理和分析的管理平台，集中部署安全规则，综合分析流量及安全事件，协同处理，极大地提高了安全响应速率和安全事件追踪溯源的时效性。

3.6工控安全态势感知平台

工控安全态势感知平台是以工业网络安全数据、各个卷烟企业行业数据为基础，包含设备资产指纹库、漏洞信息、设备信息、传感数据等海量数据为资源支撑，运用云计算、人工智能等安全感知技术，通过AI分析精准感知网络安全威胁，全面提升系统的监测预警能力和管理层对网络安全事件的应急处置能力。

4总结

基于工业控制系统的特点，并结合国际上普遍针对工控网络安全威胁评估方法的研究，工控网络安全防护建设是维护各厂生产安全的最重要手段。但我国的工控网络安全尚处于初级阶段，因此在后续的工作中我们还要不断地探索学习更好的解决措施。

作者:赵全洲 司成伟 单位:安徽中烟工业有限责任公司滁州卷烟厂