基于AP2DR2模型的烟草商业企业物流工业控制系统防护分析

洪海舟

[摘 要]随着工控安全事件的频发，国家信息安全战略把工控安全纳入了相关战略规划，工控安全建设也在各个行业全面铺开。国家烟草专卖局高度重视行业工控安全，不断进行行业网络信息安全自查和巡检，大力推进行业工控安全建设。工控安全作为烟草商业企业网络信息安全的薄弱地带，工控安全建设一直处于探索中。为了弥补行业网络信息安全短板，提出以AP2DR2网络安全模型构建的全方位、多层次的工控系统信息安全防护体系，为维护烟草商业企业物流工控系统的信息安全提出相关建议，以有效保障烟草商业企业工控系统信息安全。

[关键词]烟草商业企业;AP2DR2;工业控制系统;信息安全

doi：10.3969/j.issn.1673 - 0194.2020.18.041

[中图分类号]F270.7;TP315[文献标识码]A[文章编号]1673-0194（2020）18-00-02

0     引 言

随着信息技术的不断发展，工业化进程逐渐加快，不断推动工业产业发展。随着“中国制造2025”战略的提出，工控系统信息安全已经成为两化融合的重要组成部分。国家烟草专卖局根据国内外工控系统的安全形势和工信部的要求，结合烟草行业内工控系统的基本情况做出了积极响应，以全面推进烟草行业工控安全建设。

1     烟草商业企业工控系统特征及现存问题

烟草行业卷烟生产工控系统主要有SCADA和PLC两大类。由于各企所涉及的几类工控系统在组网方式、系统构成等方面存在差别，可归纳为：物流控制类、丝叶生产类、独立控制类、动力控制类4类。烟草商业企业引进的工控系统，主要用来进行卷烟分拣和仓储，具有以下几种特征：一是烟草商业企业采用的工控系统核心设备均由国外引进，国产化率低;二是以满足业务功能为第一要务，工控系统依赖设备，独立于信息系统外;三是各商业企业的工控设备建设时期不同，工控设备技术差异性大。目前，工控系统开始大量采用数字信息技术，使用普遍的通信协议，企业的工控系统已经逐步演变为由生产调度层、现场控制层、企业管理层组成的自动化信息系统。通过生产网与管理网互联互通，整合进入相关IT系统，成为企业信息系统的一部分。工控系统在面对病毒、APT攻击等网络安全威胁时毫无还手之力。本文以烟草商业企业典型的物流控制工控系统为例，进一步分析企业面对的威胁与风险，并利用相关模型进行整体防护设计，以维护商业企业物流工控系统

信息安全。

2     基于AP2DR2模型的物流分拣仓储工控系统防护设计

AP2DR2模型由以下6个部分构成，包括：风险分析（Assessment）、安全策略（Policy）、系统防护（Protection）、实时检测（Detection）、實时响应（Reaction）和灾难恢复（Restoration）。在AP2DR2模型中，风险评估是网络安全的首个重要环节，利用风险评估可以了解网络安全面临的风险。没有绝对的静态网络安全系统，通过6个环节的不断循环，网络安全系统逐渐完善，进而切实保障网络安全。

2.1   风险分析

典型的物流工控系统网络可以分为监督控制层、现场控制层、现场设备层。根据现场情况看，生产网和管理网相连，通过VLAN进行隔离。业务上各车间工控系统与管理网相连缺少必要防护措施，导致管理网风险引入工控系统。控制系统中的主机、操作站使用的操作系统均为微软的Windows系统，而微软已停止支持Windows XP服务，使系统工作的主机、操作站面对更多漏洞。另外，所有主机、操作站和服务器的安全配置均为自动化集成商在建设系统时采用的默认配置，在投产后长时间运行过程中不会变更配置，且日常运维人员对配置信息掌握不充分。目前，物流工控系统采用的工业控制设备以西门子PLC为主，广泛应用的S7-300、S7-400等型号均有大量高危漏洞被曝出，利用这些漏洞进行攻击将导致控制设备宕机，使现场发生生产事故。

2.2   安全策略

按照《工业控制系统信息安全防护指南》中的要求，在物流分拣仓储工控系统信息安全策略大致可以分为物理安全、网络安全、主机安全、工业控制设备安全、数据安全等。

2.2.1   物理安全策略

在现场各个系统操作站等主机设备部署操作站安全管理系统，形成对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域的访问控制，对操作站、工程师站以及服务器等主机设备的USB、光驱、无线等接口进行严格外设控制，避免外设端口成为攻击入口，形成第一道物理安全防护屏障。

2.2.2   网络安全策略

一是在网络边界部署工业防火墙，同时在主要工控网络设备开启日志记录并定期进行审计，阻断来自管理网的非法行为。二是对工业网络设备进行安全配置核查审计，对于安全配置较差的设备，在保证生产的前提下变更安全配置。三是强化工业控制网络设备身份认证。四是在工业控制网络中部署工控异常监测系统，监控工控系统入侵行为及异常访问。五是在资产安全方面，对现场控制系统中的关键网络设备（如工业环网上联交换机）进行冗余配置，增强工业网络可靠性。

2.2.3   主机安全策略

首先，建立完全仿真的测试系统用于防病毒软件或应用软件更新测试，确保所有杀毒软件病毒库更新不会对现场控制系统产生影响，然后对相关设备进行安全配置核查审计，同时部署工控漏洞扫描系统，避免因主机设备安全配置不足导致主机设备遭受攻击。其次，使用口令密码、USB-Key、智能卡等多种认证手段。对工业主机设置访问密码，并规范密码标准，确保工业主机设备不会被非授权人员轻易访问。最后，对现场控制系统I/O服务器进行冗余配置，避免因I/O服务器宕机带来的影响。

2.2.4   工业控制设备安全策略

一要核查各类设备安全配置情况并进行审计，及时发现重大工控漏洞。二要提高工业控制设备的身份认证强度。三要对工控异常访问行为及违法操作进行安全防护，防止工业控制设备遭受入侵攻击。四要统计现场控制系统系统资产清单，确保相关人员全面掌握现场控制系统内工控设备的具体信息。

2.2.5   数据安全策略

部署容灾备份系统，提供文件备份、数据库备份、操作系统、虚拟机等几大备份功能，保证工业生产数据可用性，在发生数据丢失、篡改等未知数据损害事件后能够及时恢复生产数据。

2.3   系统防护

通过在两个网络边界设置强度不同的安全设备，实现两个网络之间的数据交互或安全隔离。例如，工控防火墙与防病毒网关，可以设置一个访问控制策略，使在数据交换过程中仅能进行数据交换。对于特殊的应用，可以部署工控设备单向导入、工控网闸进行隔离等，也可以采取某些技术实现工控网络和管理网络之间的数据交换，如信息摆渡技术。在系统运行过程中，可能因为安全设备单点出现故障导致系统不能正常运行，因此，工业防火墙要有Bypass功能。另外，为了有效避免恶意攻击、DDoS攻击，设备联网干扰，企业应在各种安全分区之间部署检测入侵的系统。同时，还要检测工控系统边界接入的外部设备，并制定相应的防范措施。

2.4   实时监测

通过部署工控异常检测系统实现对工控系统网络内实时异常监测。异常监测的第一个环节是梳理工控网内上位机、I/O服务器、PLC（DCS控制器）等设备间网络流秩序的连接关系。同时，由于大多工控系统的服务器到控制器之间采用TCP/IP协议，那么对其协议攻击的检测也必不可少。第二个环节是对工控系统中存在的已知木马后门、蠕虫病毒的入侵行为以及网络扫描探测行为的检测，通过白名单的自学习功能，及时实现从操作站到PLC的异常操作。第三个环节是工控系统操作员站、工程师站、服务器、组态软件及PLC的漏洞發现以及上述设备的统一性能监测和日志采集及集中管理，以便在发现网络安全威胁时集中应对。第四个环节是对操作站的U盘及外设管理，以减少病毒感染。

2.5   实时响应

如果出现了入侵，那么入侵检测系统就要及时检查到，然后向相关人员发出警报，与此同时，还要协助联动设备阻止入侵，例如，工业防火墙。工控系统应该设置关键参数的阀值，如果超过阀值则要发出警报，在边界中，关键的网络设备应该采用双机热备部署，以避免因为单点故障造成网络瘫痪。

2.6   灾难恢复

工控系统应该定期备份网络边界中的审计记录以及配置文件，备份方式要采用在线、离线结合的方式，保证出现故障就可以立即恢复，还可以追踪问题。同时，建立一个完善的安全应急响应机制，并定期进行应急演练。

3     结 语

工控信息安全是一个持久的工作，基于AP2DR2模型建立起来的工业控制系统防护体系有利于保障系统信息安全：一是可以切实让生产运维人员和管理人员清晰获悉自身工控网络中的风险，以提前做好防护工作，为管理人员进行安全规划提供有力支撑;二是执行安全防护措施后，有效保障工控网中网络、主机应用等各层面的安全问题，降低信息系统故障的发生率，进一步减少潜在的风险隐患;三是通过配套运维手册建立长效机制，提升企业自身应急响应能力;四是将工控信息安全工作形成一种长效机制，避免以前“救火”的被动局面，真正实现工控信息安全主动管理。

主要参考文献

[1]耿欣.烟草企业工业控制系统安全保障体系研究[J].信息网络安全，2017（9）：34-37.

[2]薛训明，杨波，汪菲，等.烟草行业制丝生产线工业控制系统安全防护体系设计[J].科技展望，2016（14）：264-265.

[3]刘磊，陆渝，张志伟，等.工业控制系统信息安全多层防御体系模型探析[J].信息网络安全，2016（1）：141-145.

[4]聂培颖.石景山区教育城域网信息安全体系的设计与实现[D].北京：北京邮电大学出版社，2010.