前言：本站為你精心整理了煙草行業(yè)工控網(wǎng)絡安全風險威脅評估范文，希望能為你的創(chuàng)作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

【摘要】隨著工業(yè)化與信息化的深度融合，工業(yè)控制系統(tǒng)的信息化程度越來越高，伴隨而來的網(wǎng)絡安全風險也日益增長，再加之工業(yè)控制系統(tǒng)的網(wǎng)絡本身具有獨特性，網(wǎng)絡安全問題也更加特殊，為控制與減小煙草行業(yè)工業(yè)控制系統(tǒng)的網(wǎng)絡安全風險，文中開始先介紹了工業(yè)生產(chǎn)控制系統(tǒng)網(wǎng)絡安全與傳統(tǒng)信息網(wǎng)絡安全的區(qū)別，其次說明了工控系統(tǒng)中安全風險威脅評估核心內(nèi)容，最后介紹了常見的應對措施，為卷煙廠進一步的工控網(wǎng)絡安全防護構建安全防護的基本準則。

【關鍵詞】煙草行業(yè)工控系統(tǒng)；工控網(wǎng)絡安全；安全風險評估

隨著“兩化融合”、“智能制造”、“工業(yè)互聯(lián)網(wǎng)”的快速推進，工業(yè)控制系統(tǒng)越來越多地與廣域網(wǎng)連接，造成了病毒、木馬等威脅進入工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)面臨的網(wǎng)絡安全風險也越來越多，但是人們對工業(yè)控制系統(tǒng)的網(wǎng)絡安全方式還存在較大的認識誤區(qū)，為進一步的提高安全防護技術，深入研究工控系統(tǒng)網(wǎng)絡安全風險來源就顯得尤為重要。

1工控網(wǎng)絡安全和傳統(tǒng)網(wǎng)絡安全的區(qū)別

工控網(wǎng)絡安全現(xiàn)狀令人擔憂，與此同時，煙草行業(yè)工控網(wǎng)絡安全防護工作在國家煙草局有關部門的指導下正在摸索中也逐步開展。正是由于工控網(wǎng)絡安全是一個獨立的領域，對工控網(wǎng)絡安全的認識仍存在著誤區(qū)，很多業(yè)主甚至認為使用在信息系統(tǒng)中有良好效果的傳統(tǒng)信息安全防護手段即可防護工控網(wǎng)絡的安全，其顯然是沒有對工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別有深入的理解。其中，尤以以下五個方面對工控網(wǎng)絡安全防護手段的影響最大。

1.1工控網(wǎng)絡與信息網(wǎng)絡通信協(xié)議不同

信息網(wǎng)絡通信協(xié)議的目標是將信息傳遞到目的地，常見的有ftp，http，telnet等協(xié)議，但是，工業(yè)控制網(wǎng)絡使用的是工業(yè)控制系統(tǒng)特定的協(xié)議，例如S7協(xié)議、MODBUS、DNP3、OPC、IEC-104、PROFINET等公開的規(guī)范協(xié)議以及其他具有工控系統(tǒng)特色、關注控制特征的廠商私有網(wǎng)絡通信協(xié)議。工業(yè)控制協(xié)議設計的目標在于可靠和可控，其實時性和精度是重要衡量指標，如果工控網(wǎng)絡協(xié)議在實時、精度上失去可用性，其信息傳遞的保密性、安全性和完整性也會失去意義。

1.2工控網(wǎng)絡相對信息網(wǎng)絡有更高的穩(wěn)定性要求

大多數(shù)工控系統(tǒng)需要連續(xù)不間斷的工作，某些情況下正在生產(chǎn)的產(chǎn)品或正在使用的設備比信息更加重要，可用性的要求大于保密性要求。工控網(wǎng)絡結構和網(wǎng)絡行為對控制信號的傳輸時延性、可靠性、穩(wěn)定性等要求非常高，數(shù)據(jù)必須在規(guī)定的時間內(nèi)可靠到達目標系統(tǒng)，數(shù)據(jù)出現(xiàn)傳輸丟失、傳輸延遲、亂序傳輸?shù)榷紝⒔o工業(yè)控制系統(tǒng)帶來嚴重的、甚至是災難性的問題。

1.3系統(tǒng)運行軟硬件環(huán)境不同

工控系統(tǒng)在使用壽命的設計上比信息系統(tǒng)長得多，導致其運行環(huán)境相對落后于當前主流的信息技術。工控系統(tǒng)一般使用未更新的操作系統(tǒng)，其中以微軟已停止安全服務的Win-dowsXP操作系統(tǒng)為多數(shù)。

1.4工控系統(tǒng)更新代價高

工控系統(tǒng)無法像辦公網(wǎng)或互聯(lián)網(wǎng)通過打補丁來封堵安全缺陷。工控系統(tǒng)軟件、固件的更新在通過完善的離線測試前，無法及時部署。任何形式的升級失敗導致的功能失效問題、網(wǎng)絡通信問題都會對系統(tǒng)的可用性產(chǎn)生影響，給工業(yè)生產(chǎn)帶來不可預計的損失。

1.5現(xiàn)場運行的自然環(huán)境不同

一些工業(yè)控制系統(tǒng)所處的工業(yè)現(xiàn)場環(huán)境惡劣，工業(yè)環(huán)境可能需要在野外零下幾十度的低溫、潮濕、高原、鹽霧等環(huán)境中正常運行，而IT信息系統(tǒng)通常在恒溫、恒濕的機房中。這就要求工業(yè)控制系統(tǒng)中的安全產(chǎn)品，在硬件上要按照不同行業(yè)的特殊現(xiàn)場環(huán)境要求專門進行設計，做到全密閉、無風扇、運行溫度支持-40℃～70℃寬溫以及防腐蝕、防潮、防磁、防震等特殊要求。由于上述工控系統(tǒng)與傳統(tǒng)信息系統(tǒng)的區(qū)別，在工控網(wǎng)絡安全防護工作中，簡單地將傳統(tǒng)信息安全產(chǎn)品在工控系統(tǒng)上堆砌以達到針對工控網(wǎng)絡的安全防護是難以起到預期的效果的。人們對工控網(wǎng)絡安全的認識誤區(qū)需要被正視，工控網(wǎng)絡安全的防護手段也隨著人們認識的提升而逐步演變。

2工控安全風險評估

分析卷煙企業(yè)工業(yè)控制系統(tǒng)的網(wǎng)絡安全隱患，威脅分析是一種普遍應用的非接觸式工控網(wǎng)絡信息安全風險評估方式。它是通過全面的、可反復操作的方法來評估工控網(wǎng)絡的安全框架，其依據(jù)來自于已經(jīng)頒布的國家及行業(yè)的多個工業(yè)標準。在威脅分析中，評估人員根據(jù)評估對象的不同選擇適用現(xiàn)場的評估標準，不同的評估標準將擁有不同的評估選項。評估人員通過對現(xiàn)場的勘察以及與現(xiàn)場人員的訪談結果完成評估選項。在完成所有評估選項后即可知道當前工控網(wǎng)絡所符合的安全等級。同時平臺會根據(jù)評估選項結果進行總結分析，指出工控網(wǎng)絡中的風險和問題區(qū)域，以及要達到更高安全等級需要整改的部分。工控系統(tǒng)網(wǎng)絡安全威脅分析主要包括如下幾個方面：

2.1網(wǎng)絡架構分析

網(wǎng)絡架構分析是通過對被查系統(tǒng)的網(wǎng)絡拓撲及網(wǎng)絡層面細節(jié)架構的評估，主要從網(wǎng)絡建設的規(guī)范性、網(wǎng)絡的可靠性、網(wǎng)絡邊界安全等幾個方面進行分析。工控系統(tǒng)一般分生產(chǎn)執(zhí)行層、過程監(jiān)控層、現(xiàn)場控制層、現(xiàn)場設備層。為確保工控系統(tǒng)的安全性，應對生產(chǎn)控制網(wǎng)進行安全域的劃分，包括網(wǎng)絡安全管理域、過程監(jiān)控域和工業(yè)控制域等不同安全域之間應采用技術隔離手段。

2.2安全配置檢查

通過人工查看或使用工具的方式對檢查范圍內(nèi)的系統(tǒng)、數(shù)據(jù)庫、設備（含主機、服務器、安全防護設備等）進行檢查，發(fā)現(xiàn)賬號、口令、授權、日志、服務、規(guī)則等功能和配置方面的缺陷和脆弱性等。

2.2.1工控系統(tǒng)用戶身份鑒別

（1）對操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)的登錄用戶做一般用戶和系統(tǒng)用戶標識和鑒別；（2）用戶標識：在用戶初次注冊到系統(tǒng)時，需對用戶名和用戶標識符進行標識，保護標識信息在工控系統(tǒng)整個生存周期的唯一性和完整性；（3）用戶鑒別：在系統(tǒng)登錄時，采用復雜的口令規(guī)則或具有相關安全強度的其他機制進行鑒別，并保護鑒別所用數(shù)據(jù)信息的保密性或完整性；應具有登錄失敗處理功能，才采取結束會話、限制非法登錄次數(shù)和登錄連接超時自動退出等措施；復雜口令規(guī)則的具體要求如下：口令采用數(shù)字、字母、符號的無規(guī)律混排方式；口令的長度至少為8位，并且每季度至少更換1次，更新的口令至少5次內(nèi)不能重復；如果系統(tǒng)長度不支持上述口令復雜度要求，應使用所支持的最長長度并適當縮小更換周期，也可以使用動態(tài)密碼卡等一次性口令認證方式；修改系統(tǒng)默認賬戶，以及這些賬戶的默認口令，系統(tǒng)無法實現(xiàn)的除外。

2.2.2工控系統(tǒng)自主訪問控制

①用戶自主訪問控制主機操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)；②用戶通過對自主訪問控制策略的修改，實現(xiàn)對其所創(chuàng)建的客體權限自主控制；③訪問控制主體的粒度應為用戶級，客體的粒度應為文件級和數(shù)據(jù)庫表級；④用戶可以根據(jù)授權規(guī)則和授權轉(zhuǎn)移規(guī)則，確定所屬客體的訪問權限和權限轉(zhuǎn)移；⑤限制默認賬戶的訪問權限，系統(tǒng)無法實現(xiàn)的除外。

2.2.3工控系統(tǒng)安全審計

（1）設置主機操作系統(tǒng)安全審計和數(shù)據(jù)庫管理系統(tǒng)安全審計；（2）審計內(nèi)容應包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系的重要安全相關事件。用戶的添加和刪除，啟動和關閉審計功能，調(diào)整審計策略，變更權限，以及重要的操作（登陸、退出）等；（3）審計日志應包括審計事件的日期和時間、用戶名、事件類型、事件成功與否等；（4）審計功能可分為按照安全審計分類、安全審計事件，可進行安全審計查閱并可生成安全審計報表；（5）具有安全審計事件報警、安全審計事件記錄存儲等功能；審計事件記錄保存應至少6個月；（6）安全審計磁盤剩余空間，提醒剩余空間不足并要求采取相應的防止數(shù)據(jù)丟失的措施；（7）為第三方軟件、設備連接安全審計設備數(shù)據(jù)提供接口。

2.2.4工控系統(tǒng)入侵防范

（1）遵循最小安裝的原則，對操作系統(tǒng)僅安裝需要的組件和實用程序；（2）通過設置升級服務器等方式，持續(xù)跟蹤廠商提供的系統(tǒng)升級更新補丁，在經(jīng)過充分測試評估后，按正式的補丁，及時進行系統(tǒng)修補。

2.2.5防病毒軟件

（1）選配滿足本安全及要求的主機防病毒軟件；原則上鎖有主機均應安裝防病毒軟件，對由于系統(tǒng)不支持而未安裝防病毒軟件的主機，用采取其他措施進行病毒防范。（2）及時更新防病毒軟件版本和病毒庫。（3）支持防病毒軟件服務器對客戶端統(tǒng)一管理。

2.2.6工控系統(tǒng)資源控制

（1）通過設定終端接入方式、網(wǎng)絡地址范圍等限制終端登錄；（2）根據(jù)安全策略設置登錄終端的操作超時鎖定；（3）限制單個用戶對系統(tǒng)資源的最大或最小使用限度。

2.2.7工控系統(tǒng)備份與恢復

（1）對重要設備和軟件應及時備份；當相關設備或軟件發(fā)生故障時，用備份設備或軟件替換故障設備或更換軟件；（2）定期（每月至少一次）進行軟件數(shù)據(jù)備份；當相關軟件發(fā)生故障時，進行系統(tǒng)恢復。

2.3系統(tǒng)漏洞情況研究

結合安全檢查實施工作對被檢查單位的工控系統(tǒng)漏洞現(xiàn)狀，統(tǒng)計分析該行業(yè)工業(yè)控制系統(tǒng)漏洞分布情況研究。以在報告中圖表匯總統(tǒng)計的方式進行漏洞現(xiàn)狀安全的分析，并針對重要的高危、危急漏洞進行重點分析，如圖2所示。

2.4系統(tǒng)網(wǎng)絡數(shù)據(jù)流量安全研究

流量分析是對工控網(wǎng)絡中各類設備間信息交互時的通信數(shù)據(jù)流進行風險評估的方式。將平臺接入工控網(wǎng)絡主交換機的鏡像端口，實時深度解析工控協(xié)議流量包，并把數(shù)據(jù)與病毒特征庫進行對比，及時發(fā)現(xiàn)網(wǎng)絡中的異常流量并對異常流量進行分析。使用專業(yè)的工業(yè)控制系統(tǒng)智能防護設備在安全檢查測試過程中捕獲工業(yè)網(wǎng)絡的全網(wǎng)數(shù)據(jù)流量，通過網(wǎng)絡數(shù)據(jù)流量智能分析引擎，對網(wǎng)絡數(shù)據(jù)進行細顆粒度的安全性分析，發(fā)現(xiàn)網(wǎng)絡中存在的隱患，甚至是病毒木馬等惡意數(shù)據(jù)流量。

2.5滲透測試

滲透測試是指滲透工作人員在外網(wǎng)等利用不同的滲透手段對卷煙企業(yè)工控系統(tǒng)網(wǎng)絡進行滲透測試，用于發(fā)現(xiàn)和挖掘工控系統(tǒng)中存在的漏洞以及風險。滲透測試通常使用的方法是模擬黑客使用的攻擊手段對目標卷煙企業(yè)的工控網(wǎng)絡進行入侵，暴露此系統(tǒng)的弱點，可以讓管理人員以及工作人員了解系統(tǒng)所面臨的威脅，并作出相應的應急方案。滲透測試具有一定的風險，可能影響卷煙企業(yè)生產(chǎn)系統(tǒng)正常運行。

2.6系統(tǒng)安全威脅評估

使用自動化的威脅評估工具，對卷煙企業(yè)工控系統(tǒng)現(xiàn)狀進行整體性安全威脅評估，從資產(chǎn)、漏洞、威脅等多個角度綜合評判，并根據(jù)指定的算法開展適用于卷煙行業(yè)工控系統(tǒng)安全檢查的對標打分研究、實驗，并輸出一份威脅評估檢查報告。

3常見的工控網(wǎng)絡安全應對措施

3.1分區(qū)分域、邊界防護

為了避免病毒、惡意代碼的入侵蔓延，所以邊界防護及邊界隔離宜采用縱向分層、橫向分區(qū)的防護原則，一般采用工業(yè)防火墻、工業(yè)網(wǎng)閘、光閘等進行策略防護，工控協(xié)議深度監(jiān)測、威脅檢測等。

3.2網(wǎng)絡監(jiān)測及審計

在工業(yè)控制系統(tǒng)網(wǎng)絡中部署監(jiān)測審計設備，滿足對工業(yè)協(xié)議深度監(jiān)測及流還原，對事故及異常操作行為進行分析及事故追溯、網(wǎng)絡實時監(jiān)測告警等。

3.3終端安全防護

工業(yè)終端包含：現(xiàn)場觸摸式工控機、操作員站、工程師站、上位機、服務器等，工業(yè)終端一般宜采用“白名單”防護原則，真正實現(xiàn)終端的自主防御功能，顛覆傳統(tǒng)殺毒軟件被動防御、且不兼容、升級困難、占用資源過多、新病毒防御不及時等問題。

3.4工控安全運維

采用集中的安全運維可以極大地減少工控系統(tǒng)維護的工作量和維護成本，并且可以制定策略，保障工控系統(tǒng)運行的安全性。

3.5統(tǒng)一安全管理平臺

工控統(tǒng)一安全管理平臺可以對工業(yè)控制系統(tǒng)軟、硬件，以及工控網(wǎng)絡安全產(chǎn)品進行統(tǒng)一的監(jiān)控、管理和分析的管理平臺，集中部署安全規(guī)則，綜合分析流量及安全事件，協(xié)同處理，極大地提高了安全響應速率和安全事件追蹤溯源的時效性。

3.6工控安全態(tài)勢感知平臺

工控安全態(tài)勢感知平臺是以工業(yè)網(wǎng)絡安全數(shù)據(jù)、各個卷煙企業(yè)行業(yè)數(shù)據(jù)為基礎，包含設備資產(chǎn)指紋庫、漏洞信息、設備信息、傳感數(shù)據(jù)等海量數(shù)據(jù)為資源支撐，運用云計算、人工智能等安全感知技術，通過AI分析精準感知網(wǎng)絡安全威脅，全面提升系統(tǒng)的監(jiān)測預警能力和管理層對網(wǎng)絡安全事件的應急處置能力。

4總結

基于工業(yè)控制系統(tǒng)的特點，并結合國際上普遍針對工控網(wǎng)絡安全威脅評估方法的研究，工控網(wǎng)絡安全防護建設是維護各廠生產(chǎn)安全的最重要手段。但我國的工控網(wǎng)絡安全尚處于初級階段，因此在后續(xù)的工作中我們還要不斷地探索學習更好的解決措施。

作者:趙全洲 司成偉 單位:安徽中煙工業(yè)有限責任公司滁州卷煙廠