1　烟草行业数字化转型的背景

工业是国民经济的主体，工业竞争力也体现一个国家的竞争力，随着德国的工业4.0、美国的先进制造以及我们中国的智能制造等国家战略政策的推出，以及云计算、大数据、物联网等新兴信息技术在工业领域的应用，IT领域的一些安全问题逐渐进入工业系统。我们从广义上来理解工业安全，是指整个工业生产过程中的信息安全，涉及到整个生产的各个领域，各个环节，从保护对象上来看，它不仅仅保护计算机网络，保护信息系统，还需要保护工业控制系统，保护设备和网络协议，这是相对来讲对工业安全比较广泛的一个定义。

2　烟草行业工业安全现状

2.1　先进的工业自动化技术得到了广泛的应用

从事烟草行业工业自动化相关的工作之前，我个人理解烟草行业类似农副产品加工，自动化程度应该不是特别高。但是真正进入行业后，发现烟草企业不仅自动化程度水平相对较高，而且对新技术的接受程度也相当高。很多国际领先的自动化技术和工控网络技术已率先在烟草制造业中应用，据了解，大多数的烟草企业希望将新技术融入新厂建设中，比如基于人工智能的排查仿真系统，已经在很多烟草企业落地使用。

2.2　工业安全面临挑战，在矛盾中寻找方向

新技术在烟草企业应用既是机遇也是挑战，先进技术的应用在提升烟草企业生产力的同时也埋下了安全隐患，带来了大量的工业安全风险。在烟草企业做安全，如同在矛盾中寻找方向，我认为矛盾主要体现在如下三个方面：

（1）应用互通与安全隔离的矛盾；

（2）威胁来源多样化与防护手段单一的矛盾；

（3）实时性、可靠性需求与安全部署的矛盾。

所以，一定要在可用性和安全之间找到一个平衡点，达到一个合适的度，从而降低安全风险。

3　烟草行业工业网络介绍

烟草行业的工业网络一般由以下三个部分组成：

3.1　统一规划的私有云信息中心

（1）采用虚拟化私有云架构，集中部署企业的OT和IT应用；

（2）OT与IT各有独立资源池，按需安全互通。

3.2　生产、办公、安防并存的多网架构

拥有生产、办公、安防等多张网络，网络间原则上需要进行访问隔离。

3.3　工业系统分层架构

（1）管理协同层：负责系统整体管理，任务制定；

（2）生产执行层：负责生产任务的分解下达；

（3）过程控制层：负责接收下发任务并转化为具体操作指令；

（4）现场控制层：负责根据操作指令指挥各个执

行器件完成具体动作。烟草行业工业网络如图1所示。

图1 烟草行业工业网络

4　烟草行业工控系统面临的安全问题

烟草行业工控系统面临的安全问题一般可分为技术和管理两类，在调研中发现很多问题是由技术和管理两方面因素共同导致的。

4.1　技术问题

从入侵威胁来看:通过震网病毒以及后续的变种病毒分析可知，工业控制领域中的恶意代码混合了大量0DAY，大部分为专业攻击破坏人员编写，传统的防病毒和入侵监测系统的能力有限，几乎无法有效地实现提前预警。

从安全防护手段来看:烟草行业大部分工业控制系统在防护、监测、运维审计等方面的严重不足（主机、服务器无防护，边界无防护等），极大地阻碍了整体安全防护能力的提升。尤其在烟草行业的网络结构中，工控网是可以通过管理网间接连接到互联网的。

从支撑软件来看:WINCC、PCS7、ITA以及OPC等编程和组态软件，其基于传统的WIN32位操作系统构建，自身程序代码和工作环境极易触发安全问题。同时在网络内部大多采用通用WINDOWS操作系统，其自身存在很多安全漏洞，极其容易被攻击者利用，造成安全事故。

从运维习惯来看:工业自动化专业技术人员往往缺少信息安全的技术支撑和职业敏感度，在日常维护过程中，缺乏足够的安全意识和安全操作规程，容易因人为操作原因导致安全问题。尤其是在运维的过程中移动存储介质滥用现象。

从底层设备看：PLC设备和工业交换机都存在安全漏洞，容易被利用，直接影响工业控制系统安全性。

从全局监控预警来看:缺乏能够对工业控制系统进行全面监控，及时预警，快速响应的监控管理系统。

4.2　管理问题

从组织结构上看:组织结构人员职责不完善，专业人员缺乏，工控系统信息安全是一个跨部门跨学科领域，在卷烟生产企业中工控系统有生产部门负责，信息安全一般由信息部门负责；生产部门对于信息安全知之甚少，而信息部门对于工控系统的理解也不够深。

从培训方面看：多数参与工控系统日常运维的车间系统管理员缺乏信息安全技术和管理培训；关键岗位人员也很少去关注工业控制系统的安全性，日常工作仅仅是保障系统的可用性。

从应急响应机制上看:由于响应机制不够健全，缺乏应急响应组织和标准化的事件处理流程，发生信息安全事件后人员反应不够迅速，通常依靠经验判断安全事件发生的设备和影响范围，逐一进行排查，缺乏响应能力。

5　烟草行业工业安全痛点

工业控制系统安全是传统IT系统安全的延伸，同时又具有自身的特点。主要体现在以下三个方面：

（1）资产状况不清楚

烟草企业普遍对自身的资产不清楚，包括资产数量、资产类型、资产分布等均不清楚。

（2）安全威胁不清楚

基于资产状况不清楚，导致安全威胁不清楚。资产目前有无风险，是否被攻击过，一旦发生攻击会产生什么样的后果，均不清晰。

（3）生产故障难定位

当设备断线、停机时，我们很难定位故障原因，无法确定是应急能力还是安全问题。

6　安全体系建设的基本思路

综上所示，在烟草行业应如何做安全？我认为首先要合规，从根本来讲有三条特别重要：（1）网络安全法，国家的法律一定要遵守。（2）在实施时，需要参照具体的技术要求。（3）一定要结合行业，行业跟行业之间做安全有很大的差别，在烟草行业要遵照烟草行业的基本要求去做安全。

安全是一个动态安全，外界环境在不断变化，所以，整个安全体系的建设也是一个动态建设过程。安全体系建设一般遵循安全规划—安全建设—建后评估—安全运营的基本思路。

（1）安全规划（PLAN）

安全规划是针对发现的现有体系的安全问题，设定安全建设目标并制定针对性的改进方案，此过程中可以通过购买“风险评估”、“安全咨询”等服务。

（2）安全建设（DO）

安全建设是根据安全规划所制定的改进方案，有步骤地进行安全改造。

（3）建后评估（CHECK）

建后评估是在安全建设完成后，评估已建成的安全体系进行是否达到安全规划中所设定的安全目标（比如通过相应的等保测评）。

（4）安全运营（ACTION）

安全运营是在安全体系投入使用后，不间断地运营整个安全体系并发现新问题。

7　建设从“终端”到“云端”的分层纵深安全防护体系

风险评估是安全建设的切入点，是安全规划的先决条件，其目的在于识别和评估系统中各类资产所面临的危害和风险。风险分析优先做资产识别，对自身的资料有清晰的了解之后，再根据资产的脆弱性分析可能面临的威胁，从而按照风险的级别排序，成为后期做安全建设的依据。风险评估的典型内容一般包括：识别可能受到威胁的目标、分析价值和潜在损失、威胁和弱点分析、识别已有的安全防护措施等。

在做安全规划时，主要基于PPDR模型对安全技术体系和安全管理体系做统筹规划，在规划的过程中始终坚持一条，“零信任的安全策略”。“零信任”是指什么？即：不可管即不可控、不可控即不安全，值得信任的不是人，而是让人不会犯错误的技术&管理体系，没有技术手段支撑的安全管理是低效的，并且常常失效。在烟草行业建立完整的安全技术管理体系十分必要，具体如图2所示。

图2 安全技术管理体系

图2安全技术体系中基于“应用级白名单”的零信任安全防护，主要分为两方面：

（1）接入认证：实现接入可信

·只允许授信的人或设备接入网络，对于未通过认证的设备进行实时阻断，不允许其接入网络，并进行实时告警。

·对必要的设备进行安全基线检查，只有符合安全策略的设备才能接入网络。

（2）应用控制：实现行为可控

·识别合法设备的网络访问行为，只允许其传输与预先确定的应用相关的数据，其他数据一概阻断。

总的来看，烟草行业要建设从“终端”到“云端”的分层纵深安全防护体系需要做好以下三点：

（1）分层纵深安全防护结构

由于工业系统采用分层架构，每一层的接入都是下层的汇聚节点，不能采用扁平化安全分区方法，而应采用分层式的纵深安全防护结构。

（2）应用级白名单访问控制

对网络访问采用应用级白名单访问控制，做到接入可信、行为可控。

（3）应用级威胁抵御

除了应用级白名单访问控制能力外，还应包括有应用级的威胁抵御能力，可以阻断已知的漏洞攻击行为、病毒木马的传播与网络访问行为等。

网络安全体系整体架构模型如图3所示。

图3 网络安全体系整体架构模型

工控信息安全与生产紧密相关，要解决安全问题，一定要根据自身网络状况的问题，分别去做不同的规划，从而达到不同的目标。

本文内容根据作者在“2019工业网络专家计划论坛”中所做报告整理，未经作者本人确认。

摘自《工业控制系统信息安全专刊（第六辑）》