◆吴秋果 文雅玫 资捷 谢博文 陈壮宇 王隽

打叶复烤企业工控系统网络安全防护能力建设研究

◆吴秋果1文雅玫2资捷1谢博文1陈壮宇1王隽1

（1.湖南烟叶复烤有限公司办公室 湖南 423000；2.湖南省烟草专卖局（公司）信息中心 湖南 410004）

文章分析了“打叶复烤”企业工业控制系统网络安全存在的安全问题，提出了“打叶复烤”企业工业控制系统网络安全整体方案，并针对网络安全防护能力建设进行了全面的阐述，对“打叶复烤”企业工业控制系统网络安全体系构建具有一定的借鉴意义。

工业控制系统；打叶复烤企业；网络安全

1 背景

近年来，烟草行业持续加强网络安全建设，包括终端防病毒管理，网络边界处的防火墙和IPS等安全软件和设备，在一定程度上已经对外部威胁具备基本的防护能力。但随着安全威胁和攻击手段日新月异，针对工业控制系统和信息系统的攻击手段层出不穷，各种高危漏洞不断被攻击者挖掘出来，攻击的目标越来越有针对性，企业面临的安全威胁呈现新的趋势。目前大多数“打叶复烤”企业在安全防护上还有如下的欠缺：

（1）未进行安全域划分。大部分行业的工控系统与各子系统之间没进行安全分区，区域间未设置访问控制措施，边界访问控制策略缺失，系统边界不清晰。

（2）缺少信息安全监控机制。在工控网络上普遍缺少信息安全监控机制，不能及时了解网络状况，一旦发生问题不能及时确定问题所在，及时排查到故障点，排查过程耗费大量人力成本、时间成本。

（3）系统漏洞安全配置薄弱。系统运行后，“操作站”和服务器很少打补丁，存在系统漏洞安全配置较薄弱，防病毒软件安装不全面等问题。大部分行业工控系统投产后，对操作系统极少升级，而操作系统会不断曝出漏洞，导致“操作站”和服务器暴露在风险中。

（4）身份认证和准入控制风险。工程师站缺少身份认证和接入控制，且权限过大。无线通信安全性不足，部分行业工控系统大量使用无线网络，存在无线网络安全威胁。

（5）其他管理风险。随意使用U盘、光盘、移动硬盘等移动存储介质，有可能使传染病毒、木马等威胁进入系统。系统在上线前未进行安全性测试，系统在上线后存在大量安全风险漏洞，安全配置薄弱，甚至有的系统带毒工作。

2 打叶复烤企业工业控制系统网络安全防护能力建设

工控网络安全威胁防护能力是指企业内部网络规划符合安全分区要求，采取边界防护措施与其他外部网络进行物理或逻辑隔离，在设备物理安全管理、网络安全防护、主机安全配置、应用安全设计和数据安全保障等方面按照等级保护的要求采取必要的技术手段和管理措施，避免来自外部的计算机病毒、网络攻击等威胁和内部的人员错误操作、恶意破坏等网络安全风险，最大程度保护工控网络的运行安全。通过部署工控安全网关，对工控边界进行多层次、大纵深防护。提供安全域划分、ARP防护、工控病毒与攻击防护、工控协议专用细粒度防护功能，应对网络攻击、病毒木马恶意软件入侵、黑客攻击等多种安全威胁，形成一套涵盖攻击路径分析、网络边界调整、系统全面加固、工控安全边界防护、工控流量安全监测与安全预警的立体化多层级网络安全防护体系。

2.1 攻击路径分析

目前“打叶复烤”企业工控系统存在如下潜在的黑客入侵途径：

（1）无线网。通过安装万能钥匙的终端可以直接接入厂区WIFI，扫描是否存在同时连接互联网和办公网的主机，再以此主机为跳板寻找可以访问工控网络的主机，对工控系统进行攻击。

（2）监控网。在比较隐蔽的监控摄像头位置，在线路上通过拆除、串接、并接等方式接入攻击终端，可进入监控网络，之后利用中控室监控双网卡主机作为跳板攻击工控系统，或者利用高架库“物流区”交换机混接问题，进入工控网络攻击关键系统。

（3）办公网。目前办公网和工控网之间存在防火墙策略松散、高架库“物流区”办公网交换机和“工控域”混接等问题，存在利用办公电脑攻击工控系统的可能。

（4）工控网。部分企业存在中控电脑同时接入生产环网、办公网、互联网的严重违规情况，黑客可以通过远程控制上网主机直接攻击工控系统。

2.2 网络架构规划与调整

根据业务系统的作用和重要性进行网络的安全分区，划分为生产控制大区、管理信息大区和互联网区。各区域之间进行物理或逻辑隔离，规范终端接入，设置路由器访问控制规则，细化和调整现有防火墙策略。不同安全区之间要基于路由器ACL规则、防火墙等访问控制类设备进行逻辑隔离，遵循“最小化原则”，只允许必要的网络流量通过。主要工作包括：

网络架构调整。彻底检查整改主机多网卡、网络VLAN划分、交换机级联、路由器的错误连接等情况，做到安全分区、网络专用。同时对中控室监控主机、高架库交换机和办公内网的访问方式和连接关系进行改造，调整设备DNS配置和路由器配置。

网络访问策略调整。在完成网络架构的整体调整后，在分区边界上统一增设防火墙或具有访问控制功能的网络设备进行逻辑隔离。梳理安全区之间必要的互访需求，设置最小化的安全规则，以保证业务的可用性。

2.3 开展全面系统加固

针对评估过程中发现的大量的安全漏洞或问题，重点对系统漏洞、补丁和配置等进行修补和加固。主要加固方式包括：

弱口令修改。对大量终端，尤其是对关键网络设备如路由器、防火墙、交换机（包括工业交换机）、IPS、工控设备如HMI/PLC、摄像头等的系统登录口令（SSH、Telnet、FTP）、WEB界面用户名和口令等进行梳理。

关闭无用服务和端口。对于大量存在的无用IIS、Tomcat、FTP、远程桌面、文件共享等服务进行关闭，对无用的物理端口进行禁用和封签处理。

系统补丁升级。针对存在的WINXP、WIN7、WIN2003、WIN2008、LINUX等系统，统一升级系统安全补丁到最新版本。

杀毒软件更新。对于未安装或正常使用杀毒软件的终端，确保安装并正常进行病毒查杀，并及时更新病毒库到最新版本。

2.4 工控安全边界防护

在完成网络架构的整体调整后，在分区边界上统一增设针对性定制的工控安全网关，对工控边界进行多层次、纵深防护，提供安全域划分、ARP防护、工控病毒与攻击防护、工控协议专用细粒度防护功能，应对网络攻击、病毒木马恶意软件入侵、黑客攻击等多种安全威胁，为系统提供联合、可灵活定制的安全防护。梳理安全区之间必要的互访需求，设置最小化的安全规则，以保证业务的可用性。

2.5 工控流量安全监测与安全预警

“打叶复烤”企业在网络安全防御方面缺失网络安全监测与审计机制，可通过对关键节点部署工控采集与分析探针，负责对工控网络相关数据进行全面的数据采集与实时分析，及时发现攻击行为、违规操作、错误配置、设备故障等安全事件或异常行为。工控网络或系统面临的安全事件或异常行为梳理如下：

高危风险监测。高危风险监测主要表现在工控网络的感染和攻击、非法设备的接入与控制以及高危指令的操作。一是工控病毒感染监测。针对工控系统的专有病毒BlackEnergy黑暗力量、勒索病毒及其多种变种等进行感染监测。二是工控网络攻击监测。系统遭到各种拒绝服务攻击，恶意的端口扫描、IP地址欺骗攻击等。三是非法设备接入监测。非法终端设备接入网络进行维护或恶意攻击，通过旁路接入或“串入”设备窃听网络流量，进行信息窃取等。

中危“风险监测”。中危“风险监测”主要监测包括违规外联、异常流量和脆弱口令等。一是违规外联设备或网络监测。操作人员或恶意攻击者存在私接网卡网线、跨网运维、插拔“非安全”U盘等存储设备、私接非法调试终端、私接无线网卡、跳板上网等违规外联互联网等行为。二是非法组态变更监测。异常的PLC组态变更行为，如攻击者利用系统漏洞对PLC的运行逻辑进行替换，或攻击者通过侵入工程师站对PLC进行配置修改和下发等。三是异常网络流量监测。设备/系统进出网络流量出现激增、归零、严重的重传、超时、缺失，协议有效性、完整性出现异常，工控协议建链、断链异常等。

“低危风险”监测。主要包括：一是IO信号阈值越界监测。设备/系统数字/模拟IO输入输出的控制信号存在明显的越界现象，这可能是控制逻辑、运行参数被恶意修改造成。二是畸形报文攻击监测。攻击者通过发送精心构造的畸形报文对关键设备如PLC进行协议漏洞攻击，这可能造成设备损坏或人员伤亡。

3 结语

本文全面分析了“打叶复烤”企业工业控制系统网络中所存在的安全风险和威胁，按照“完善一套机制，建设四个能力”的思路，构建涵盖攻击路径分析、网络边界调整、系统全面加固、工控安全边界防护、工控流量安全监测与安全预警的立体化多层级网络安全防护体系，形成事前安全检测预防、事中安全事件监测和事后快速应急处置于一体的全生命周期网络安全防护能力，提高了“打叶复烤”企业工业控制系统网络安全防护水平。

[1]李佳玮，郝悍勇，李宁辉.工业控制系统信息安全防护[J].中国电力，2015，48（10）：139-143.

[2]王孝良，崔保红，李思其，等. 关于工控系统信息安全的思考与建议[J]. 信息网络安全，2012，18（11）：11-17.

[3]彭杰，刘力.工业控制系统信息安全性分析[J].自动化仪表， 2012，33（12）：36-39.

[4]曾瑜，郭金全. 工业控制系统信息安全现状分析[J].信息网络安全，2016（9）：169-172.

[5]耿欣.烟草企业工业控制系统安全保障体系研究[J].信息网络安全，2017（9）：34-37.

[6]文雅玫，李建强，谢博文，等. 烟草行业工控系统安全监测与管控方案[J]. 自动化博览，2018，35（11）：78-80.

[7]张玫，曾彬，朱成威. 工控系统安全监测及溯源系统的设计与实现[J]. 信息技术与网络安全，2019，38（01）：18-23.