1　烟草行业工控系统现状

目前，烟草工业企业在以“工业化、数字化、智能化”为目标的工业信息化建设应用过程中，已经取得了较好的成绩，但是在工控系统的安全防护方面，基本上还是处于空白状态。主要是由于在烟草工业企业中各工业控制子系统处于相对独立的环境中，各子系统的安全问题一直以来也并没有突显出来；但是，随着烟草工业企业的数字化、智能化技术的不断发展及应用，两化融合高度集成协作的运作模式要求烟草工业企业内部各系统之间需要互联互通，随之工控系统安全问题也逐步突现出来^[1]。

在烟草工业企业中现有的工控系统都属于生产管理网范畴，主要的工控系统包括制丝、卷包、动能、物流四大工业控制子系统。由于生产网内的各工业子系统与办公网长期隔离封闭、独立运行的特点，造成了在安全管理建设方面的欠缺^[2]。大部分烟草工业企业还处于无安全布署的状态，只考虑了系统的可用性，在工控系统安全上还停留在制度管理层面，工控系统在安全方面不具备更多的容错处理和安全防范能力。因此，工控系统的安全问题是各卷烟厂工业企业目前较为重要且迫切需要解决的问题。

2　烟草行业工控系统安全风险分析

工控系统作为烟草工业企业主要的核心应用系统，目前主要存在的安全风险^[3]从图1中可看出。

图1 卷烟厂工控系统网络架构示意图

（1）办公网与生产网之间未进行有效安全隔离。大部分卷烟厂的生产网通过网络对接的方式直接与办公网进行连接，中间并无针对工控系统的安全隔离与防护设备，而工控系统的脆弱性远远高于一般IT应用系统。因此，生产网络中的工控系统面临着来自办公网的非法访问、病毒以及恶意代码的攻击。所以，生产网与办公网的安全隔离是保证工控系统安全与稳定的重要基础。

（2）未进行安全域的划分与隔离。根据卷烟厂工控系统的特点，工控系统一般分生产执行层、过程监控层、现场控制层、现场设备层，而为了确保各个工控系统的安全性，应该在生产网中进行安全域的划分，包括网络安全管理域、过程监控域和工业控制域等，但是，卷烟厂并没有对各个安全域之间进行安全逻辑隔离。存在着现场工控设备（例如：PLC、交换机等）面临着来自生产网内部的一些非法访问控制。

（3）缺乏有效的网络监控和日志审计。大部分的卷烟厂工业控制系统中几乎没有网络状态监控和操作日志行为审计。目前大部分服务器的管理员账户没有改名，而是沿用默认的系统用户名Administrator，面临默认账号被破解的风险。在日志安全方面，大部分服务器在日志审计方面都没有比较完善的保障机制。

（4）工业控制协议的脆弱性。由于工业控制系统中使用的Modbus、S7、PROFINET、OPC等常用工控协议自身安全性不足，一旦遭受攻击，很容易造成以上协议通讯过程中出现畸变报文、指令被篡改等，造成现场控制设备拒绝服务，可能会对工控系统带来严重的后果与损失。

（5）主机及应用软件漏洞风险。卷烟厂工业控制系统的操作员站、工程师站、服务器及虚拟服务器等物理主机与虚拟主机基本上采用的都是Windows操作系统，监控组态软件、数据库等应用软件主要采用的是SIEMENS、GE、施耐德电气等工业自动化主流厂商产品；由于卷烟厂工控系统运行环境特点，致使工业控制系统主机操作系统、应用软件无法进行补丁升级，即使可以进行补丁升级，生产管理运维人员为了保证生产的正常运行，也不会轻易去对软件补丁升级。这样就会导致工业控制系统主机的防护能力非常脆弱，一旦遭受病毒、恶意代码攻击，很容易造成系统瘫痪。

（6）安全管理措施不健全，执行力不强。目前，卷烟工业企业本身对各工控系统的日常管理维护能力较为有限，在日常工作中，常常需要原有系统集成的外部厂商工程技术人员对工控系统进行远程操作维护，由于远程维护需要通过临时开启互联网通道接入的方式，在外部厂商工程技术人员进行远程运维工作时，无法对其操作进行有效的监管和记录，存在较大的安全隐患。同时，运维人员在日常操作维护过程中没有严格按照相关管理制度和措施进行日常工作的维护运行系统，经常使用私人U盘等移动存储设备，给生产网络及设备带来了极大的安全隐患。

3　烟草行业工控安全技术防护方案

本着工控安全防护方案依据工控网络安全“分级分域、整体保护、积极预防、动态管理”为总体策略，以烟草行业工控安全依据的技术规范为主要依据，对烟草行业工控系统首先从工控系统的运行环境上通过管理手段及技术措施对工控系统进行整体加固，在通过对工控系统的网络边界隔离、分区分域防护、网络流量监测与审计、主机安全防护、安全运维管理上进行安全防护，形成如图2、图3所示的安全解决方案思路。

图2 工控系统安全防护解决方案架构图

图3 卷烟厂工控安全防护网络架构示意图

3.1　网络边界隔离、分区分域防护

工业控制系统与厂级网络（管理办公网）之间缺少有效的安全隔离措施，同时，生产网络内部生产执行层、过程监控层、现场控制层等各区域之间也缺少有效的安全隔离措施；可能导致生产网工控系统受到来自厂级网络的安全攻击，以及生产网内部监控管理层对现场工控设备的非法访问从而影响工控系统的正常工作。同样，在一些大型卷烟厂中有多条制丝生产线，产线与产线之间的控制系统也缺少有效的安全隔离措施，一旦一条生产线遭受到病毒、恶意代码的攻击，病毒、恶意代码也会很快蔓延到其它的生产线中，从而影响各个生产线的正常生产工作。根据纵向分层、横向分区的原则，通过对生产网与厂级网络之间，生产网内部各区域之间之间以及生产线与生产线控制系统之家采取有效的安全隔离防护措施，在网络边界上加强防护，在各个区域及各生产线之间进行有效的安全隔离，防止来自生产网外部及生产网内部不同安全域间的未授权的非法访问、攻击等行为^[4]。

3.2　工控网络审计

在生产网中的各安全区域的关键节点上对网络流量、通信等行为进行审计，以保证被触发审计的事件存储在审计系统内，并且能够根据存储的记录和操作者的权限进行查询、统计、管理、维护等操作，在必要时从记录中提取所需要的资料。

在工控网络中对网络流量、通信等行为的审计就是收集并分析审计系统中的日志等数据，从而发现违反安全策略的行为，当发生安全事故或者发生违反安全策略的行为之后，通过检查、分析、比较审计系统中收集的数据，从中发现违反安全策略的行为。
在生产网中的各安全区域的关键节点上对网络流量、通信等行为进行审计，主要实现对攻击、无流量的异常检测，工控协议规约的检测，重要操作行为、网络会话的审计，原始告警报文的记录，告警日志的审计等^[5]。

3.3　工控主机安全防护

通过对生产网工控系统的现场触摸式工控机、工程师站、监控计算机、服务器及虚拟服务器等主机系统进行安全防护，实现对工控主机恶意代码防护、外设端口的管理和操作系统的安全加固，全面提升工控主机安全防护能力^[6]。

针对生产网工控系统的现场触摸式工控机、工程师站、监控计算机、服务器及虚拟服务器等工业物理主机与虚拟主机采用“白名单”机制对主机操作系统进行安全防护。“白名单”机制即是为主机的操作系统建立一个轻量级的“白环境”，真正颠覆了传统防病毒的“黑名单”思想，可以有效阻止包括震网病毒、Flame、Havex、BlackEnergy等在内的工控恶意程序或代码在工控主机上的感染、执行和扩散；同时，采用“白名单”机制还可以通过对底层驱动的接管，对工控主机外设端口进行管控，避免控制系统因移动存储介质的随意使用感染恶意代码，或引起关键信息的扩散。通过对用户口令、进程、端口等进行统一管理，提升操作系统的安全防护能力。

3.4　工控入侵检测
为及时的检测和发现工控系统中的入侵行为，需要对生产网与厂级网络边界处交换机上的所有实时传输数据进行监视，通过对网络中的协议状态检查和智能关联分析，为控制系统提供全面的信息展现和安全预警，为改善用户网络的风险控制环境提供决策依据，入侵检测是网络边界隔离防护的合理补充，主要是对网络中协议的识别、入侵行为的检测、安全策略的管理、日志及告警的管理、系统及系统数据的管理等，进一步完善了对卷烟厂工控系统的安全管理能力^[7]。

3.5　工控安全运维管理

工控安全运维管理即：实现对工业现场主机等设备的运维操作行为的管控和审计，在工业控制系统的安全运维管理是集用户（Account）管理、授权（Authorization）管理、认证（Authentication）管理和综合审计（Audit）于一体的集中安全运维及管理。

在卷烟厂通过对工控系统的集中安全运维管理，可以减少工控系统维护工作量；同时能够为卷烟厂提供全面的用户和资源管理，减少卷烟厂的维护成本；能够帮助卷烟厂制定严格的资源访问策略，并且采用强身份认证手段，全面保障系统资源的安全；能够详细记录用户对资源的访问及操作，满足对用户行为审计的需求。

通过对工控系统的主机等设备进行安全运维管理实现对集中的账号管理、访问控制、安全审计、违规操作的告警与阻断以及实时操作的全过程监控等^[8]。

3.6　统一安全管理

统一的安全管理即实现生产网工控系统的安全策略统一配置及下发、日志收集等。通过对卷烟厂工控网络中的边界隔离、网络监测审计、工控主机安全防护等安全防护措施进行集中配置管理，实现对工控网络中各安全防护策略、系统及主机的统一配置、全面监控、实时告警、流量分析等，降低运维成本、提高事件响应效率，通过统一的安全管理，可真正实现安全技术和安全管理的结合，全面提升控制系统的信息安全保障能力。

4　总结

综上所述，烟草行业工业控制系统中所存在的安全风险和威胁有其行业特点，随着工业控制系统中所暴露出来的安全性问题越来越多，影响越来越大，我们应该重视其安全危害可能造成的社会经济、政治等方面的影响。目前，我们在烟草行业工控系统中的安全防护水平还处于初级阶段水平，还需要在吸收和借鉴国外先进技术和理念的基础上探索出符合自身发展特点的工业控制系统安全防护措施和解决方案。

参考文献：

[1] 田芳, 赵光辉. 中国智能制造实证研究：以烟草产业为例[J]. 中国市场, 2018 ( 19 ).

[2] 李光朋. 工业控制系统信息安全建设思路[J]. 自动化博览, 2015 ( 10 ) : 62 - 66.

[3] 耿欣. 烟草企业工业控制系统安全保障体系研究[J]. 信息网络安全, 2017 ( 9 ) : 34 - 37.

[4] 顾硕. 加强工业控制系统信息安全管理[J]. 自动化博览, 2013 ( 11 ).

[5] 高倩. 基于ZigBee的油气生产物联网安全通信系统关键技术研究[D]. 兰州理工大学, 2014.

[6] 张坤. 可信计算技术下的工控安全防护思路[J]. 电子技术与软件工程, 2017 ( 21 ) : 196 - 196.

[7] 王中杰. 工业控制系统入侵检测关键技术研究与实现[D]. 中国科学院大学, 2016.

[8] 魏钦志.“PDCA”在工控安全运维管理中的应用(上)[J]. 自动化博览, 2017 ( 9 ) : 66 - 70.

作者简介

王德吉，男，博士后，博士生导师，现任中国烟草总公司职工进修学院首席培训师。第六届全国烟草行业劳动模范，全国烟草行业“十一五”教育培训工作优秀教师，河南烟草系统第二届感动人物提名奖，国家职业技能鉴定高级考评员，国家局教材委员会委员，兼任工业物流自动化河南省工程实验室主任，中科院博导，清华大学、湖南农业大学兼职硕导，IFAC委员、国际工程师协会委员，中科院高级访问学者，自动化学会委员，中科协创新专家，西门子专家，郑州大学兼职教授，管道安全国家工程实验室特聘专家，TC124国家标准化委员会委员。主持国家级项目3项目和省部级科研项目19项。获得省部级奖项10项（一等奖1项，二等奖2项，三等奖7项），省部级教学奖50项。正式发表论文52篇，其中SCI、EI检索23篇。申报发明专利19项，获7项发明专利，19项实用新型专利，出版著作7本，获软件著作权12项。编写国家标准16项、行业标准3项。

摘自《工业控制系统信息安全专刊（第五辑）》