摘要:随着烟草行业工业化和信息化水平的不断提高,烟草生产企业所面临的安全问题也较为严峻。工业控制系统的信息安全技术作为信息安全建设工作的重要一环,可及时对入侵行为或异常行为进行报警。本文首先介绍了烟草行业典型工业控制系统网络架构,并从多个角度对其脆弱性进行分析。然后对目前针对工业控制系统的几种主要安全检测方法进行介绍,对几种方法在烟草行业典型工业控制系统中的适用性进行分析,最后从不同方面分析烟草行业工业控制系统安全检测方法的发展方向。
关键词:工业控制系统;入侵检测;烟草工业;信息安全
引言
随着我国经济社会的快速发展和科技水平的不断提升,工业控制系统在我国工业企业中的应用范围进一步扩大,工业控制信息技术的发展不断加快,不仅为提升整个工业领域的生产效益和经济效益做出了重要贡献,更对提升工业运营管理的质量有着不容忽视的积极作用。而在我国工业企业所采用控制系统性能不断完善的同时,系统整体安全性标准也进一步提高。如何在工业控制系统设计与期间针对性地做出风险信息管理和防控,尽可能地提高整个工业控制信息系统的安全性和可靠性,使整个工业控制系统安全稳定运行并如期达到相关目标成为相关企业管理人员思考的重要问题。
1烟草工业控制系统网络
卷烟生产企业是烟草行业典型的工业企业,其中制丝车间是对烟叶原料进行加工的重要车间,具有烟草行业的明显行业特色,卷烟生产中的香烟卷包等工作均需要以制丝车间生产的烟丝为原料,制丝车间内工业控制系统的安全稳定运行是整个卷烟厂生产任务达成的重要保障。
过程监控层一般包含工程师站、操作员站、监控站等设备,由交换机组成过程监控层网络,网络结构多为星型,其中工程师站、操作员站、监控站、I/O服务器通常为基于通用操作系统(如Windows7、WindowsXP、WindowsServer2005等)装有专用工业组态软件(如:WinCC、InTouch、iFix等)的计算机或服务器;现场控制层主要包含现场控制设备,如PLC(ProgrammableLogicController),由工业专用交换机连接现场控制设备组成工业环网;现场设备层翻箱机、烘干机等机械设备由专用电缆或电线接入PLC。
2烟草行业工业安全现状
2.1先进的工业自动化技术得到了广泛的应用
从事烟草行业工业自动化相关的工作之前,我个人理解烟草行业类似农副产品加工,自动化程度应该不是特别高。但是真正进入行业后,发现烟草企业不仅自动化程度水平相对较高,而且对新技术的接收程度也相当高。很多国际领先的自动化技术和工控网络技术已率先在烟草制造业中应用,据了解,大多数的烟草企业希望将新技术融入新厂建设中,比如基于人工智能的排查仿真系统,已经在很多烟草企业落地使用了。
2.2工业控制系统漏洞数量逐年递增
众所周知,企业是工业控制系统的重要使用者,由于该系统的实际应用空间相对封闭和狭小,因此,在设计之初并没有考虑到工业控制系统的信息安全和防护管理的问题。随着现代社会工业控制系统开放性的不断增强,系统安全运行和信息安全漏洞问题等不断涌现,黑客在极大程度上能直接通过系统漏洞发起对某一企业工业控制系统的针对性攻击,进而导致企业工业生产过程和经济效益受到较大损失。
3烟草行业工业控制系统安全风险分析
3.1未进行安全域的划分与隔离
根据卷烟厂工控系统的特点,工控系统一般分生产执行层、过程监控层、现场控制层、现场设备层,而为了确保各个工控系统的安全性,应该在生产网中进行安全域的划分,包括网络安全管理域、过程监控域和工业控制域等,但是,卷烟厂并没有对各个安全域之间进行安全逻辑隔离。存在着现场工控设备(例如:PLC、交换机等)面临着来自生产网内部的一些非法访问控制。
3.2制度不完善、应急靠经验
现在大部分行业还未形成完整的工业控制系统信息安全保障体系,缺乏工业控制系统规划、建设、运维和废止全生命周期的信息安需求,欠缺配套的管理体系、处理流程、人员责任等规定。对于安全事件预防、响应、处置及应急不够健全,缺乏应急响应组织和标准化的事件处理流程,发生信息安全事件后通常依靠经验判断安全事件影响范围,严重性、逐一排查,响应能力不高。
3.3网络结构风险
在管理协同层和生产执行层设备往往可以访问互联网,因此管理网的安全性相对较低,管理网中设备直接面临来自互联网的种种安全威胁。随着工业控制系统的集成化越来越高,典型烟草生产系统各个子系统的互联程度大大提高,在生产网和管理网之间网络互通,由于日常运维工作的需求,往往在管理网中部分设备可访问生产网中的操作站、工程师站或现场控制层工业交换机等设备。
4工业控制系统安全检测技术分析
4.1工业控制系统威胁监测预警技术
工业控制系统威胁监测预警技术主要涉及威胁建模与等级划分、已知漏洞利用攻击检测、未知威胁检测和基于工控协议的业务攻击检测等内容。根据攻击的危害程度,对工业控制攻击实施威胁等级划分。针对已知漏洞利用攻击,通过漏洞攻击数据/代码特征匹配识别发现已知攻击。针对未知威胁,以行为监测为核心,采用沙箱动态执行技术,利用动态行为仿真分析、行为基线分析、数据建模分析相结合的手段,对工控特种木马、未公开漏洞、APT等未知威胁进行实时监测。结合工业控制系统工艺业务流程,对工控协议数据包进行关联分析,挖掘数据包逻辑关系,识别基于工业控制协议的特定攻击。
4.2基于协议解析的工业控制系统安全检测
由工业协议安全性分析过程中可见,在OPC、Modbus/TCP、Ethernet/IP等协议中所存在的安全隐患(包括数据明文传输、缺乏认证机制等),从入侵者对协议安全漏洞的利用角度,只需要对某些重要节点的传输数据进行窃听,在协议中获取重要的组态软件或工控网络设备的登录口令、密码等重要信息;进行最终的攻击也需要对工业通讯协议中所承载的工业控制指令所在字段根据入侵目的进行精确篡改,伪装成合法身份对工业控制设备下发错误指令,从而达到最终入侵目的。
4.3工业控制数据采集与融合分析技术
工业控制数据采集与融合分析技术是工业控制系统威胁监测预警、态势感知的基础,涉及工业控制网络信息采集、数据格式化、预处理、协议深度解析和业务数据关联等环节。通过对工业控制系统实时数据流量、网络协议、通信行为、操控指令、设备状态和行为的数据采集和处理,结合建立的已知工控协议和未知私有协议分析模型,实现工业控制协议的深度解析。以此为基础,结合工业控制工艺业务流程,分析数据报文的关联关系。
结语
综上所述,烟草行业工业控制系统中所存在的安全风险和威胁有其行业特点,随着工业控制系统中所暴露出来的安全性问题越来越多,影响越来越大,我们应该重视其安全危害可能造成的社会经济、政治等方面的影响。目前,我们在烟草行业工控系统中的安全防护水平还处于初级阶段水平,还需要在吸收和借鉴国外先进技术和理念的基础上探索出符合自身发展特点的工业控制系统安全防护措施和解决方案。
参考文献
[1]赖红娇.工业控制系统信息安全的探索与实践[J].石油化工自动化,2018,54(6):55-57
[2]魏祺.工业控制系统信息安全研究综述[J].通信电源技术,2019,36(5):225-226
[3]俞华军.工业控制系统信息安全浅谈[J].科学管理,2019(1):312