工業(yè)控制系統(tǒng)的信息安全

賽永杰 馮戰(zhàn)巨

摘要

面對日益嚴重的工業(yè)控制系統(tǒng)信息安全威脅，本文從我國煙草工業(yè)控制系統(tǒng)信息安全方面的需求及煙草工業(yè)信息安全管理存在的問題、特點出發(fā)，對工業(yè)控制系統(tǒng)信息安全的解決方案進行研究，構(gòu)建一套適應(yīng)于煙草工業(yè)控制系統(tǒng)的信息安全系統(tǒng)，保護煙草工業(yè)控制系統(tǒng)的信息安全，保障工業(yè)生產(chǎn)系統(tǒng)的安全、穩(wěn)定運行。

【關(guān)鍵詞】煙草工業(yè)信息安全 工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全系統(tǒng)

1 項目需求背景

當前煙草工業(yè)信息系統(tǒng)形成了由現(xiàn)場控制、中央控制、數(shù)據(jù)采集、廠級MIS、ERP等上下級信息系統(tǒng)組成多層次結(jié)構(gòu)，傳統(tǒng)相對獨立、封閉的現(xiàn)場控制、中央控制和數(shù)據(jù)采集等工業(yè)生產(chǎn)控制環(huán)境逐步開放，與辦公網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間形成了不可分割的聯(lián)系。但工業(yè)控制系統(tǒng)的安全防護措施缺乏，傳統(tǒng)IT安全威脅逐步向生產(chǎn)控制網(wǎng)絡(luò)擴散。煙草企業(yè)車間時有發(fā)生通信中斷、網(wǎng)絡(luò)阻塞、實時數(shù)據(jù)庫采集丟失、控制失靈等網(wǎng)絡(luò)安全事件，造成整條生產(chǎn)線無法啟動或中斷，嚴重影響生產(chǎn)。

隨著行業(yè)信息化進程的加快，煙草企業(yè)工業(yè)化和信息化深度融合，工業(yè)自動化安全管控、工業(yè)系統(tǒng)運行與維護安全，成了當前迫切需要解決的重大問題。為保護煙草工業(yè)控制系統(tǒng)，保障工業(yè)生產(chǎn)系統(tǒng)的安全、穩(wěn)定運行，依據(jù)工信部《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號）精神，結(jié)合NIST、ANSI/ISA99等國際工業(yè)控制安全標準和國際最新的可信計算技術(shù)，我們提出以信息層、監(jiān)控層與現(xiàn)場控制層間的安全隔離控制，和以生產(chǎn)控制內(nèi)部關(guān)鍵主機設(shè)備的可信主機安全防護為核心內(nèi)容的工業(yè)控制系統(tǒng)安全防護的技術(shù)研究。

2 項目系統(tǒng)設(shè)計

2.1 系統(tǒng)設(shè)計目標

（1）通過部署一套運維管理系統(tǒng)，對運維人員進行實名管制，角色分配，對運維人員的操作進行過程監(jiān)督，降低運維風險，提高運維過程可控;對自動化系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等安全設(shè)備的管理維護進行安全、有效、直觀的操作審計;對操作者進行身份驗證、授權(quán)、管理、審計;對操作過程進行實時監(jiān)控，對違規(guī)操作實時告警和阻斷。

（2）通過部署防火墻，在服務(wù)器區(qū)部署防火墻設(shè)備，加強一號工程、數(shù)采系統(tǒng)、中控系統(tǒng)、MES系統(tǒng)等重要業(yè)務(wù)系統(tǒng)的安全訪問控制策略，授權(quán)管理，確保工業(yè)網(wǎng)絡(luò)和管理網(wǎng)絡(luò)之間數(shù)據(jù)交換的安全性，保證信息系統(tǒng)的安全運行。

2.2 系統(tǒng)設(shè)計思路

如圖1所示，本方案的整體思路主要依據(jù)行業(yè)網(wǎng)絡(luò)安全“分級分域、整體保護、積極預防、動態(tài)管理”的總體策略。首先對整個工控系統(tǒng)進行全面風險評估掌握目前工控系統(tǒng)風險現(xiàn)狀;通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會引入來自管理網(wǎng)風險，保證生產(chǎn)網(wǎng)邊界安全;在各車間內(nèi)部工控系統(tǒng)進行一定手段的監(jiān)測、防護，保證車間內(nèi)部安全;最后對整個工控系統(tǒng)進行統(tǒng)一安全呈現(xiàn)，將各個防護點組成一個全面的防護體系，保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運行。

2.2.1 全面風險評估

所有工控安全建設(shè)都應(yīng)該是基于對自身工控安全現(xiàn)狀的精確掌握，本方案首先采用基線核查、漏洞掃描以及滲透測試等手段對整個工控系統(tǒng)進行全面風險評估。主要內(nèi)容包括：工控設(shè)備安全性評估、工控軟件安全性評估、各類操作站安全性評估以及工控網(wǎng)絡(luò)安全性評估。

2.2.2 管理網(wǎng)和生產(chǎn)網(wǎng)隔離

國際國內(nèi)的各類工控安全相關(guān)標準以及行業(yè)內(nèi)部于2014年下發(fā)的《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》中，都對管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)安全問題進行了著重關(guān)注。

針對這一問題，本解決方案在各車間工業(yè)控制系統(tǒng)生產(chǎn)網(wǎng)和管理網(wǎng)邊界都應(yīng)該部署工業(yè)防火墻進行管理網(wǎng)和生產(chǎn)網(wǎng)的邏輯隔離，對兩網(wǎng)間數(shù)據(jù)交換進行安全防護，確保生產(chǎn)網(wǎng)不會引入管理網(wǎng)所面臨風險。

2.2.3 各車間內(nèi)監(jiān)測與防護

在管理網(wǎng)和生產(chǎn)網(wǎng)隔離中已經(jīng)對生產(chǎn)執(zhí)行層和各個車間生產(chǎn)網(wǎng)絡(luò)進行了邏輯隔離，確保管理網(wǎng)風險不會引入各車間生產(chǎn)網(wǎng)。那么對于各車間內(nèi)部的安全風險，應(yīng)如何處理來確保各車間內(nèi)部的安全性？在各車間內(nèi)部，主要包括以下幾方面風險：各類操作站的安全風險;網(wǎng)絡(luò)訪問關(guān)系不明確;PLC等工控設(shè)備安全風險;通訊協(xié)議存在風險;無線通信安全性不足。

在PLC前端部署工業(yè)防火墻，對PLC進行防護。在車間現(xiàn)場通過部署Wi-Fi入侵檢測設(shè)備，對煙草工業(yè)控制系統(tǒng)中的AGV小車等其他無線網(wǎng)絡(luò)進行安全防護。部署現(xiàn)場運維審計與管理系統(tǒng)防范現(xiàn)場運維帶來的風險。

2.2.4 統(tǒng)一安全呈現(xiàn)

對于管理人員，面對整個企業(yè)各個車間內(nèi)繁多的各類工控網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站以及安全設(shè)備，如何高效管理，掌握各個點的風險現(xiàn)狀，對整個工控系統(tǒng)安全現(xiàn)狀能夠統(tǒng)一掌握，及時處理各類設(shè)備故障與威脅同樣是工控安全建設(shè)至關(guān)重要的一環(huán)。

針對這一情況，通過在生產(chǎn)執(zhí)行層部署工業(yè)控制信息安全管理系統(tǒng)，對煙草生產(chǎn)中各車間工控系統(tǒng)進行可用性、性能和服務(wù)水平的統(tǒng)一監(jiān)控管理。包括各類主機、服務(wù)器、現(xiàn)場控制設(shè)備、以及各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備的配置及事件分析、審計、預警與響應(yīng)，風險及態(tài)勢的度量與評估，對整個系統(tǒng)面向業(yè)務(wù)進行主動化、智能化安全管理，保障煙草工業(yè)控制系統(tǒng)整體持續(xù)安全運營。見表1。

2.3 系統(tǒng)模塊設(shè)計

2.3.1 運維審計系統(tǒng)建設(shè)

運維審計管理系統(tǒng)，是新一代操作行為安全審計系統(tǒng)，采用軟硬件一體化設(shè)計，通過B/S方式（https）進行管理，其主要功能為實現(xiàn)對運維人員操作服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫過程的記錄，以及違規(guī)操作行為的阻斷與審計功能。系統(tǒng)采用先進的軟件架構(gòu)，支持對多種遠程維護方式的審計功能，如字符終端方式（SSH、Telnet、Rlogin）、圖形方式（RDP、X11、VNC、Radmin、PCAnywhexe）、文件傳輸（FTP、SFTP）以及多種主流數(shù)據(jù)庫的訪問操作，能夠滿足不同用戶的審計需求。運維審計系統(tǒng)采用協(xié)議代理方式對各種維護協(xié)議進行轉(zhuǎn)發(fā)，并在轉(zhuǎn)發(fā)的過程中分別模擬了協(xié)議的客戶端與服務(wù)端。

當客戶端通過運維審計系統(tǒng)訪問服務(wù)器時，首先由運維審計系統(tǒng)模擬成遠程訪問的服務(wù)端時，接受客戶端發(fā)送的信息，并對其進行協(xié)議的還原、解析、記錄，最終獲得客戶端發(fā)送的指令信息，再模擬成操作的客戶端，與真正的目標服務(wù)器建立通訊，并轉(zhuǎn)發(fā)用戶端發(fā)送的指令信息。接收到服務(wù)器端的返回信息后，再反向執(zhí)行此過程，將返回值發(fā)送給客戶端從而實現(xiàn)對各種維護協(xié)議的代理轉(zhuǎn)發(fā)過程。

（1）行為監(jiān)控模塊。①操作行為監(jiān)控：對所有操作行為，運維審計系統(tǒng)能完整記錄操作過程。訪問記錄由操作日志和回放文件兩部分組成，記錄內(nèi)容包括操作時間、IP地址、用戶賬號、服務(wù)器賬號、操作指令、操作結(jié)果等信息。系統(tǒng)管理員即可通過操作日志查看詳細操作指令，也可通過錄像回放查看詳細的操作過程。對于所有的操作記錄，運維審計系統(tǒng)可以長時間進行保留，為日后安全審計提供客觀依據(jù)。②會話過程監(jiān)控：對于所有遠程訪問目標設(shè)備的會話連接，運維審計系統(tǒng)均可實現(xiàn)同步過程監(jiān)視，運維人員在服務(wù)器上做的任何操作都會同步顯示在系統(tǒng)管理員的監(jiān)控畫面中，包括vi、smit以及圖形化的RDP、VNC、X11等操作，管理員可以根據(jù)需要隨時切斷違規(guī)操作會話。運維審計系統(tǒng)能以視頻回放方式，重現(xiàn)維護人員對服務(wù)器的所有操作過程，從而真正實現(xiàn)對操作行為的完全審計。③違規(guī)行為處理：運維審計系統(tǒng)可自定義安全事件規(guī)則，可實時對操作過程進行檢測，管理員可以根據(jù)內(nèi)部管理需求，靈活修改規(guī)則內(nèi)容。安全事件規(guī)則的設(shè)定具有靈活性，系統(tǒng)管理員可對異常行為的內(nèi)容、安全事件等級、安全事件分類、作用對象等條件進行配置，并設(shè)定相關(guān)處理方法 （發(fā)送告警至運維系統(tǒng)并啟動事件流程、阻斷會話、忽略指令、鎖定帳號）。

（2）賬戶管理模塊。對所有服務(wù)器、網(wǎng)絡(luò)設(shè)備賬號的集中管理。賬號和資源的集中管理是集中授權(quán)、認證和審計的基礎(chǔ)。集中賬號管理可以完成對賬號整個生命周期的監(jiān)控和管理，而且還降低了管理大量用戶賬號的難度和工作量。同時，通過統(tǒng)一的管理還能夠發(fā)現(xiàn)賬號中存在的安全隱患，并且制定統(tǒng)一的、標準的用戶賬號安全策略。

（3）單點登錄模塊?；贐/S的單點登錄系統(tǒng)，用戶通過一次登錄系統(tǒng)后，就可以無需認證的訪問被授權(quán)的多種基于B/S和C/S的應(yīng)用系統(tǒng)。單點登錄為具有多賬號的用戶提供了方便快捷的訪問途經(jīng)，使用戶無需記憶多種登錄用戶ID和口令。

（4）身份認證模塊。為用戶提供統(tǒng)一的認證接口。采用統(tǒng)一的認證接口不但便于對用戶認證的管理，而且能夠采用更加安全的認證模式，提高認證的安全性和可靠性。集中身份認證提供靜態(tài)密碼、一次性口令和生物特征等多種認證方式，其中，內(nèi)置一次性口令認證系統(tǒng)，而且系統(tǒng)具有靈活的定制接口，可以方便的與第三方認證服務(wù)器對接。

（5）資源授權(quán)模塊。提供統(tǒng)一的界面，對用戶、角色及行為和資源進行授權(quán)，以達到對權(quán)限的細粒度控制，最大限度保護用戶資源的安全。通過集中訪問授權(quán)和訪問控制可以對用戶通過B/S，C/S對服務(wù)器主機、網(wǎng)絡(luò)設(shè)備的訪問進行審計和阻斷。

（6）訪問控制模塊。能夠提供細粒度的訪問控制，最大限度保護用戶資源的安全。細粒度的命令策略是命令的集合，可以是一組可執(zhí)行命令，也可以是一組非可執(zhí)行的命令，該命令集合用來分配給具體的用戶，來限制其系統(tǒng)行為，管理員會根據(jù)其自身的角色為其指定相應(yīng)的控制策略來限定用戶。

2.3.2 設(shè)備風險監(jiān)控審計系統(tǒng)建設(shè)

設(shè)備風險監(jiān)控審計系統(tǒng)，系統(tǒng)通過集中采集信息系統(tǒng)中的系統(tǒng)安全事件、用戶訪問記錄、系統(tǒng)運行日志、系統(tǒng)運行狀態(tài)等各類信息，經(jīng)過規(guī)范化、過濾、歸并和告警分析等處理后，以統(tǒng)一格式的日志形式進行集中存儲和管理，結(jié)合豐富的日志統(tǒng)計匯總及關(guān)聯(lián)分析功能，實現(xiàn)對信息系統(tǒng)日志的全面審計。

遇到特殊安全事件和系統(tǒng)故障，設(shè)備風險監(jiān)控系統(tǒng)可以幫助管理員進行故障快速定位，并提供客觀依據(jù)進行追查和恢復。設(shè)備風險監(jiān)控系統(tǒng)可以幫助用戶有效降低IT系統(tǒng)的故障而帶來的損失，降低IT系統(tǒng)的運維成本和管理的復雜度，顯著提高系統(tǒng)整體的安全性、可靠性和運行效率，保證IT系統(tǒng)持續(xù)、穩(wěn)定運行，降低信息系統(tǒng)的整體安全風險。

2.3.3 下一代防火墻系統(tǒng)建設(shè)

煙草工業(yè)網(wǎng)絡(luò)信息安全經(jīng)過多年發(fā)展己具備一定的防護功能，主要實現(xiàn)了對網(wǎng)絡(luò)出口的安全防護，互聯(lián)網(wǎng)邊界部署了防火墻、入侵防御、上網(wǎng)行為管理、防毒墻等安全防護設(shè)備;廣域網(wǎng)邊界部署了防火墻設(shè)備。服務(wù)器網(wǎng)絡(luò)區(qū)域目前只部署了一臺服務(wù)器接入交換機，沒有部署相應(yīng)的安全設(shè)備。目前，針對服務(wù)器的安全防護主要通過交換機的訪問控制列表來實現(xiàn)，而交換機的訪問控制列表屬于包過濾級別的防護手段，不能滿足信息安全規(guī)劃和應(yīng)用系統(tǒng)等級保護的要求。

3 結(jié)束語

煙草工業(yè)控制系統(tǒng)的信息安全系統(tǒng)，可以有效保護煙草工業(yè)控制系統(tǒng)的信息安全。通過運維審計系統(tǒng)，解決賬號共享問題，實現(xiàn)設(shè)備分類管理，權(quán)限劃分，操作行為實時監(jiān)控，出現(xiàn)違規(guī)問題，能快速定位到責任人，也有效防止誤操作，濫操作，以及越權(quán)訪問對新業(yè)務(wù)系統(tǒng)造成的迫害，通過日志審計，建立一個日志收集平臺，減少運維人員的工作量，通過日志審計內(nèi)置的風險模型關(guān)聯(lián)算法，及時發(fā)現(xiàn)網(wǎng)絡(luò)中的風險事件，監(jiān)控網(wǎng)絡(luò)中所有設(shè)備的運行情況，幫助用戶有效降低IT系統(tǒng)的故障而帶來的損失，降低IT系統(tǒng)的運維成本和管理的復雜度，顯著提高系統(tǒng)整體的安全性、可靠性和運行效率，保障業(yè)務(wù)的正常運行。

通過對服務(wù)器區(qū)域安全域的劃分和加固，進一步優(yōu)化我廠網(wǎng)絡(luò)安全結(jié)構(gòu)，增強重要業(yè)務(wù)系統(tǒng)的訪問控制，完善網(wǎng)絡(luò)的基礎(chǔ)建設(shè)和管理水平，項目實施后可以為部署在服務(wù)器網(wǎng)絡(luò)區(qū)域內(nèi)的一號工程，數(shù)采，等信息系統(tǒng)營造一個安全的網(wǎng)絡(luò)運行環(huán)境，保障煙草工業(yè)信息化工作的正常、有序進行。提高網(wǎng)絡(luò)應(yīng)對突發(fā)事件的防范能力，避免信息安全事件對我廠乃至工業(yè)公司網(wǎng)絡(luò)運行造成較大的影響，進一步提高網(wǎng)絡(luò)信息安全防范水平，滿足應(yīng)用系統(tǒng)等級保護的要求。

參考文獻

[1]TC/SC 65.IEC/TS 62443-1-1 Edition1，0：Industrial communicationnetworks-Network and system security-Part 1-1：Terminology，concepts andmodels[S].Geneva：IEC，2009.

[2]The Smart Grid InteroperabilityPanel-Cyber Security Working Group.NISTIR 7628：Guidelines for smartgrid cyber security[S].NIST，2010.

[3]肖建榮.工業(yè)控制系統(tǒng)信息安全[M].電子工業(yè)出版社，2015.

[4]袁曉舒.工業(yè)控制系統(tǒng)信息安全的探討[J].信息安全與通信保密，2013（02）：51-52.