煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系構建工業(yè)控制系統(tǒng)制器的集合，主要包括數(shù)據(jù)監(jiān)控與采集系統(tǒng)、分布式控制系統(tǒng)、可編程邏輯。ICS屬于關鍵信息基礎設施，已被廣泛應用于電隨著信息通信技術的高速發(fā)展，信息化與工業(yè)化深度融合以及物聯(lián)網(wǎng)的廣泛應用，工業(yè)控制系統(tǒng)

系統(tǒng)也面臨著日益嚴峻的網(wǎng)絡安全威脅。對此美美國國家標準與技術研究院控制系統(tǒng)安全指南和組織的安全與隱私控制800-5制系統(tǒng)安全研究領域具有深遠影響。我國工業(yè)控制系統(tǒng)安全研究起步較晚，由于核心控制設備多為國外品牌，因此大部分是參考國外標準進行后續(xù)研究。不過受2010。煙草行業(yè)工業(yè)控制系統(tǒng)主要分布在卷煙廠、造煙葉加工企業(yè)、卷煙材料企業(yè)及部分控股多元化企業(yè)。為加強工業(yè)控制系統(tǒng)安全管理，煙草行業(yè)將工業(yè)控制系統(tǒng)作為網(wǎng)絡安全重點保護對象，發(fā)布了《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡互聯(lián)控制系統(tǒng)安全管理和技術規(guī)范，從2016年開始每年組織開展全行業(yè)工業(yè)控制系統(tǒng)安全檢查。經(jīng)初步統(tǒng)計，煙草行業(yè)現(xiàn)有近500個工業(yè)控制系統(tǒng)，其核心控制器和組態(tài)軟件以國外品牌為主，安全防護措施較為薄弱，工業(yè)控制系統(tǒng)安全管理水平和防護能力亟待加強。為此，通過分析煙草行業(yè)工業(yè)控制系統(tǒng)所面臨的安全風險，構建一種基于全生命周期的煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系，以期滿足煙草行業(yè)信息化與工業(yè)化深度融合

煙草行業(yè)工業(yè)控制系統(tǒng)面臨的安全風險煙草行業(yè)工業(yè)控制系統(tǒng)主要由工業(yè)控制層、生產(chǎn)執(zhí)行層、管理協(xié)同層31。工業(yè)控制層主要包括SCADADCSPLCHMI等工MES等生產(chǎn)執(zhí)行系統(tǒng)；管理協(xié)同層主要包括ERP管理系統(tǒng)等管理協(xié)同系統(tǒng)。通過對部分煙草企業(yè)調研，發(fā)現(xiàn)當前煙草行業(yè)工業(yè)控制系統(tǒng)面臨的安全風險主要包括網(wǎng)絡通信安全風險、設備應用安全風險、日常管理安全風險3方面。網(wǎng)絡通信安全風險安全域架構設計有欠缺一些煙草企業(yè)在技改規(guī)劃設計階段，對工業(yè)控制網(wǎng)絡與辦公管理網(wǎng)絡的通信安全、工業(yè)控制網(wǎng)絡內部安全區(qū)域的合理化設計等問題考慮較少，導致網(wǎng)絡之間、安全域之間缺少明確的網(wǎng)絡安全邊界界定，內部數(shù)據(jù)傳輸沒有得到合理的訪問控制，存在企業(yè)內部的業(yè)務系統(tǒng)、生產(chǎn)系統(tǒng)、工業(yè)控制系統(tǒng)和生產(chǎn)數(shù)據(jù)未經(jīng)授權訪問、感染病毒和木馬、受到拒絕服務攻擊等風險，容易出現(xiàn)某一系圖1煙草行業(yè)工業(yè)控制系統(tǒng)典型示意圖Fig.1Schematicdiagramoftypicalindustrialcontrolsystemintobaccoindustry統(tǒng)遭受攻擊，進而導致全網(wǎng)系統(tǒng)癱瘓的安全事件發(fā)生。網(wǎng)絡之間安全隔離機制不合理一些煙草企業(yè)針對辦公管理網(wǎng)與工業(yè)控制網(wǎng)的網(wǎng)絡互聯(lián)沒有建立合理有效的安全隔離機制，通常采用服務器雙網(wǎng)卡訪問控制、網(wǎng)絡設備訪問ModbusOPC等主流工業(yè)控制協(xié)議的數(shù)據(jù)包識別功能，因此存在被攻擊和入侵的風險。PLC控制指令數(shù)據(jù)通信明文傳輸大部分煙草企業(yè)沒有對數(shù)據(jù)傳輸進行加密，不論是辦公管理網(wǎng)或工業(yè)控制網(wǎng)的內部數(shù)據(jù)通信、辦公管理網(wǎng)的辦公終端與工業(yè)控制網(wǎng)的數(shù)據(jù)采集服務器之間的數(shù)據(jù)通信、上位機與PLC控制器之間的數(shù)據(jù)通信，還是通過主流工業(yè)控制協(xié)議控制生產(chǎn)設備時傳輸?shù)母鞣N指令信息，均采用明文傳輸，有可能被竊聽和解析。工業(yè)控制系統(tǒng)無線網(wǎng)絡管控機制不完善一些煙草企業(yè)尚未對工業(yè)控制系統(tǒng)使用的無線網(wǎng)絡實行統(tǒng)一管控，在生產(chǎn)車間建設無線網(wǎng)絡時僅考慮生產(chǎn)業(yè)務的可用性，而忽視無線接入的安全性，特別是近年來廣泛應用的AGV無線引導小車，由上位機組態(tài)軟件通過無線網(wǎng)絡對車載PLC進行實時控制，若缺少無線接入安全認證措施，有可能被攻擊者惡意接入并通過無線網(wǎng)絡對車載PLC進行控制，影響AGV小車的正常運行。工業(yè)控制系統(tǒng)安全審計機制缺失大部分煙草企業(yè)缺乏對工業(yè)控制系統(tǒng)日常運維人員操作行為的統(tǒng)一運維審計管理，對于因人為原因造成的生產(chǎn)業(yè)務異常事件無法溯源，也無法找到事件發(fā)生的根本原因，影響對事件的定性分析。設備應用安全風險工業(yè)控制系統(tǒng)自身存在漏洞經(jīng)了解，煙草企業(yè)工業(yè)控制系統(tǒng)的核心控制器以SiemensS7系列PLCRockwellABPLCGEPLC為主。目前在工業(yè)控制系統(tǒng)存在公開漏洞的廠商中，占28%GE占7%Rockwell占5%個廠商的公開漏洞數(shù)量已超過總數(shù)的40%。在上述公開漏洞中，可引起業(yè)務中斷的拒絕服務類漏洞占33%%信息泄露類漏洞占16%，遠程控制類漏洞占8%。基于工業(yè)控制系統(tǒng)的惡意代碼傳播目前，國內已出現(xiàn)基于工業(yè)控制系統(tǒng)的蠕蟲

病毒，該類病毒在工業(yè)控制系統(tǒng)的PLC之間傳播，無需借助工業(yè)控制系統(tǒng)中的服務器和管理終端。通常情況下，PLC惡意代碼傳播會先尋找PLC的IP地址，嘗試是否可連接成功并檢測PLC是否感染病毒，若連接失敗或未感染病毒則尋找下一個目標；若連接成功且已感染病毒，蠕蟲病毒則會利用PLC自身協(xié)議的脆弱性，遠程改變PLC操作指令，影響生產(chǎn)設備的正常運行。關鍵生產(chǎn)設備HMI用戶登錄安全管理欠缺一些煙草企業(yè)生產(chǎn)車間關鍵生產(chǎn)設備的現(xiàn)場操控觸摸屏HMI用戶登錄安全管理欠缺，普遍存在不設密碼、弱口令、多人共用一個口令、多個設備共用一個口令等現(xiàn)象，同時操作行為也缺少日常監(jiān)管，存在關鍵生產(chǎn)設備被越權操作的風險。工程師站、操作員站和管理終端自身安全風險煙草企業(yè)的工程師站、操作員站和管理終端通常使用Windows操作系統(tǒng)，由于擔心影響工業(yè)控制軟件的正常運行，一些企業(yè)的工程師站、操作員站和管理終端從未開展過操作系統(tǒng)安全補丁升級，也未安裝防病毒軟件，從而給感染和傳播病毒木馬留下了空間。終端遠程運維風險煙草企業(yè)的關鍵生產(chǎn)設備、工程師站、操作員站和管理終端通常只允許在本地操作，但一些企業(yè)為了生產(chǎn)設備檢修方便，在操作員站通過互聯(lián)網(wǎng)和即時通訊工具與設備原廠商工程師進行溝通交流，并利用即時通訊工具的遠程支持功能允許原廠商工程師對設備進行遠程檢修操作，存在未經(jīng)授權訪問、違規(guī)操作、感染病毒木馬等風險。工業(yè)控制系統(tǒng)移動存儲設備接入安全風險作員站和管理終端沒有采用物理封閉USB接口措施，對于工作人員在生產(chǎn)車間使用USB移動存儲設備管理不嚴格，存在未經(jīng)授權接入竊取生產(chǎn)工藝數(shù)據(jù)、感染病毒木馬等風險。日常管理安全風險從事工業(yè)控制系統(tǒng)安全工作人員欠缺煙草企業(yè)工業(yè)控制系統(tǒng)的安全工作通常由負責系統(tǒng)運維的設備管理部門與負責網(wǎng)絡安全的信息化部門共同承擔，由于兩個部門的工作職責和工作重點各不相同，存在工業(yè)控制系統(tǒng)工程師不懂網(wǎng)絡安全、網(wǎng)絡安全工程師不懂工業(yè)控制系統(tǒng)的現(xiàn)象，導致真正從事工業(yè)控制系統(tǒng)安全工作人員欠缺。關鍵生產(chǎn)崗位人員工業(yè)控制系統(tǒng)安全意識薄弱煙草企業(yè)工業(yè)控制系統(tǒng)的運維工作通常由設備管理部門的工程師和生產(chǎn)車間工作人員完成，這些人員平時對生產(chǎn)安全意識較強，注重工業(yè)控制系統(tǒng)的可用性，但對工業(yè)控制系統(tǒng)安全風險關注較少，系統(tǒng)安全意識薄弱。工業(yè)控制系統(tǒng)應急保障機制不完善一些煙草企業(yè)僅有生產(chǎn)車間停電、發(fā)生生產(chǎn)安全事故的工業(yè)控制系統(tǒng)應急預案，缺少針對工業(yè)控制網(wǎng)絡中斷、服務器軟硬件故障、感染病毒木馬、遭受外部網(wǎng)絡攻擊等方面的應急預案，一旦發(fā)生上述網(wǎng)絡安全事件會對生產(chǎn)業(yè)務活動造成嚴重影響。工業(yè)控制系統(tǒng)設備文檔保存機制不完善一些煙草企業(yè)沒有完善的設備文檔保存機制，由于工業(yè)控制系統(tǒng)已正常運行多年，原有的操作指南和故障快速恢復指南早已丟失，僅保留了處理設備常見故障的技術文檔，一旦設備因感染病毒木馬或遭受外部網(wǎng)絡攻擊而發(fā)生故障，難以快速解決設備的非常見故障。基于全生命周期的煙草行業(yè)工業(yè)控制系統(tǒng)安全保障體系的構建構建工業(yè)控制系統(tǒng)安全保障體系是一項復雜

的系統(tǒng)工程，其建設過程需要對人員、資金、工業(yè)控制系統(tǒng)及其軟硬件設備等安全維度進行統(tǒng)籌規(guī)劃設計，將網(wǎng)絡安全融入到工業(yè)控制系統(tǒng)的全生命周期當中貫穿始終，實現(xiàn)工業(yè)控制系統(tǒng)的功能安全與信息安全的全方位深度融合［4］。基于全生命周期的工業(yè)控制系統(tǒng)安全保障體系共分6個階段進行實施，見圖2。該體系在構建過程中，每個階段具有不同要的網(wǎng)絡安全風險，提出有針對性的工業(yè)控制系統(tǒng)安全建設方案。②設備選型階段，根據(jù)確定的工相關安全認證的工業(yè)控制系統(tǒng)和網(wǎng)絡安全設備。③上線測試階段，聘請網(wǎng)絡安全專業(yè)機構對正式上線前的工業(yè)控制系統(tǒng)進行嚴格的安全評估，發(fā)現(xiàn)安全漏洞、隱患和問題要及時進行整改。④運行維護階段，采取訪問控制、安全審計、運維審計等措施，落實網(wǎng)絡安全管理要求。⑤維修檢修階段，根據(jù)工業(yè)控制系統(tǒng)維修檢修的周期，建立同步的周期性網(wǎng)絡安全檢查機制，繼續(xù)聘請網(wǎng)絡安全專業(yè)機構對工業(yè)控制系統(tǒng)進行風險評估和復測驗證。⑥下線報廢階段，當工業(yè)控制系統(tǒng)下線或報廢時，對工業(yè)控制系統(tǒng)的殘余風險進行評估，確保工業(yè)控制系統(tǒng)順利下線，不影響正常的生產(chǎn)業(yè)務活動。圖2基于全生命周期的工業(yè)控制系統(tǒng)安全保障體系示意圖Fig.2Schematicdiagramofindustrialcontrolsystemsecuritysystembasedonwholelifecycle工業(yè)控制網(wǎng)與辦公管理網(wǎng)安全互聯(lián)按照《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡互工業(yè)控制網(wǎng)與辦公管理網(wǎng)及其他網(wǎng)絡安全互聯(lián)要口安全功能。工業(yè)控制網(wǎng)與辦公管理網(wǎng)安全互聯(lián)結構見圖3。分層分域設計工業(yè)控制網(wǎng)是煙草企業(yè)的核心安全域，可依

劃分安全域，例如卷煙廠內部網(wǎng)絡可劃分為管理協(xié)同層、生產(chǎn)執(zhí)行層、工業(yè)控制層以及制絲接入見圖4。安全域之間訪問控制在煙草企業(yè)內部網(wǎng)絡中，管理協(xié)同層與生產(chǎn)用代理、事件審核和警告等安全功能。工業(yè)控制圖3工業(yè)控制網(wǎng)與辦公管理網(wǎng)安全互聯(lián)示意圖Fig.3Schematicdiagramofsecureinterconnectionbetweenindustrialcontrolnetworkandofficemanagementnetwork圖4工業(yè)控制網(wǎng)分層分域示意圖Fig.4Schematicdiagramofhierarchyandsecuritydomainofindustrialcontrolnetwork層內部各安全域之間采用可識別工業(yè)控制協(xié)議數(shù)據(jù)包的工控安全防火墻，對常用工業(yè)控制協(xié)議和應用數(shù)據(jù)內容的數(shù)據(jù)包進行解析、檢查及過濾，阻斷來自辦公管理網(wǎng)的疑似攻擊、病毒木馬等行為。工業(yè)控制系統(tǒng)白名單運行由于工業(yè)控制系統(tǒng)邊界清晰、內部流量相對單一且面臨的未知威脅較多，因此適用于建立工業(yè)控制系統(tǒng)白名單運行機制，確保生產(chǎn)操作人員

獲得合法、安全、可追溯的操作環(huán)境［5］。白名單運行機制就是利用基于異常檢測六元組模型，通過對多數(shù)據(jù)源進行信息采集，與遠程安全評估工具、工控安全防火墻共同構建基于過程管控的白名單運行環(huán)境，在工業(yè)控制系統(tǒng)內部實現(xiàn)安全風險可控，見圖5。工業(yè)控制系統(tǒng)惡意代碼檢測目前國內的工業(yè)控制系統(tǒng)惡意代碼檢測工具圖5基于異常檢測六元組模型的白名單運行機制示意圖Fig.5Schematicdiagramofwhitelistoperationmechanismbasedonsix-tuplearrayanomalydetectionmodel還處于起步階段，針對工業(yè)控制系統(tǒng)惡意代碼檢測與防范的最佳實踐是將系統(tǒng)安全脆弱性檢測與工業(yè)控制網(wǎng)安全監(jiān)測相結合，即在定期對工業(yè)控制系統(tǒng)進行漏洞掃描、安全評估等脆弱性檢測的同時，對工業(yè)控制網(wǎng)中的異常報文進行實時監(jiān)測，經(jīng)綜合分析后可檢測出惡意代碼的存在。工業(yè)控制協(xié)議安全審計對主流工業(yè)控制協(xié)議的操作指令進行有效識別和安全審計，即通過對工業(yè)控制協(xié)議特征值的

提供了依據(jù)。工業(yè)控制系統(tǒng)安全評估建立工業(yè)控制系統(tǒng)正式上線前的安全評估機制，在系統(tǒng)正式上線前聘請網(wǎng)絡安全專業(yè)機構對工業(yè)控制系統(tǒng)進行安全評估，發(fā)現(xiàn)系統(tǒng)中潛在的安全漏洞、隱患、風險和問題并及時組織整改。工業(yè)控制系統(tǒng)安全評估差異見表1。鑒于工業(yè)控度大等情況，針對工業(yè)控制系統(tǒng)的安全評估相比傳統(tǒng)的等級保護測評和風險評估需要更加謹慎，確保對工業(yè)控制系統(tǒng)的影響最小。表1工業(yè)控制系統(tǒng)安全評估差異Tab.1Differenceofsecurityevaluationofindustrialcontrolsystem評估對象系統(tǒng)服務系統(tǒng)漏洞

傳統(tǒng)安全評估手段如如如

工業(yè)控制系統(tǒng)安全評估手段手工配置檢查；物理線纜跟蹤/檢索；數(shù)據(jù)包被動監(jiān)聽；控制掃描范圍如Netsta如 與CVE漏洞庫信息對比測試環(huán)境掃描 工業(yè)控制系統(tǒng)異常行為監(jiān)測預警建立工業(yè)控制系統(tǒng)異常行為監(jiān)測預警機

制，見圖6。通過建設工業(yè)控制系統(tǒng)安全監(jiān)測預警系統(tǒng)，可以監(jiān)測和采集工業(yè)控制設備的運行日圖6工業(yè)控制系統(tǒng)異常行為監(jiān)測預警