制造业工控典型安全解决方案制造业工控典型安全解决方案 4.2.1 烟草行业 4.2.1.1 系统简介 4.2.1.1.1

制造业工控典型安全解决方案

4.2.1 烟草行业 4.2.1.1 系统简介 4.2.1.1.1 卷烟厂网络架构 卷烟厂的网络架构由生产网和管理网两部分构成。如图所示。管理协同层 MES WEB 报表 办公区 1号工程 ERP OA 服务器 数据库 服务器服务器生产执行层工程师数采 MES 工程师数采 MES WEB 工程师数采 MES WEB 工程师数采 MES 工作站服务器客户端工作站服务器客户端客户端工作站服务器客户端客户端工作站服务器客户端****制丝数采网卷包数采网物流数采网动力能源数采网 操作员 OPC 操作员 OPC 操作员 OPC 操作员 OPC 工作站服务器工作站服务器工作站服务器工作站服务器 工业控制层 PROF | NET 环网 PROF | NET 环网 图 4.7 卷烟厂网络架构图管理协同层信息系统处于最上层，负责企业内部运营与管控，实现工业企业与上下游企业业务协同。其关键应用系统是全面集成企业物流、信息流和资金流，为企业提供经营、计划、控制与业绩评估的企业资源计划系统（ERP）。该系统使各烟草生产管理部门和生产执行部门之间信息通畅，形成一个有机整体，实现生产管理信息和生产控制信息一体化管理，经营信息和生产信息一体化管理，设备资源和人力资源一体化管理，达到对企业生产，经营管理各环节的有效控制和管理。管理协同层其它应用系统包含了许多子系统，如：生产管理、财务管理、质量管理、车间管理、能源管理、销售管理、人事管理、设备管理、技术管理、综合管理等等，管理信息系统融合信息服务、决策支持于一体。生产执行层处于管理协同层和工业控制层之间，核心应用系统是生产执行系统（MES）。烟草工业企业生产过程中，MES 系统是生产自动化与管理信息化之间的重要桥梁，主要负责生产管理调度指挥和执行，烟草工业企业的 MES 系统对上层生产计划是管理执行，对下层生产控制系统是调度指挥，在管理协同层和工业控制层数据双向通道中起到核心作用。MES 的数据直接来源于生产过程控制系统（PCS），监控系统和数据采集系统采集的实时数据经过处理后，生成生产过程信息，供 MES 系统使用。MES系统负责生产作业计划制定、资源（人和设备等）优化调度、物料管理、生产质量、工艺控制、能源供应控制、生产过程监控以及必要的数据信息转换等数据集成和应用。工业控制层直接面向烟机设备，负责采集各类卷烟生产设备自动化控制系统生成的实时生产数据，接收生产执行系统下达的生产作业等控制指令。烟草工业生产控制系统是指生产车间的制丝生产线、卷包机组、动力能源中心、物流中心等生产系统。主要完成加工作业、检测和操控作业、作业管理等功能。 4.2.1.1.2 卷烟厂面临的安全问题 卷烟厂所面临的安全问题包括两个层面：网络与通信层面和控制器、主机及应用层面。以下进行分别介绍。

网络与通信层面的安全问题：

生产网与管理网之间安全隔离机制不合理。目前生产网与管理网之间的安全隔离机制主要有以下几种。 MRP 核心交换 MRP OPC/数采 PCS 服务器 管理协同层生产执行层双网卡隔离工业控制层 图 4.8 数据采集服务器或 OPC 服务器双网卡隔离如图所示，该访问控制机制是通过在数据采集服务器或 OPC 服务器安装双网卡，一块网卡与管理网通讯，另一块网卡与生产网通讯，两块网卡不在同一网段，并在服务器（以及生产执行层前端交换设备）设置访问控制策略对管理网和生产网进行隔离。使用双网卡隔离的方式，由于数据采集服务器或 OPC 服务器同时存在于生产网和管理网，会存在未经授权的访问和数据从生产网和管理网相互传递的风险。另外，采用双网卡的数采服务器或 OPC 服务器本身已经暴露在管理网（可能连接互联网），存在被扫描和攻击的风险，而该服务器又与内部生产网是互通的，如果该服务器在管理网中被病毒感染，则会传播到生产网工业控制系统当中，直接影响到生产业务。 MRP 核心交换 MRP 交换设备隔离 PCS 管理协同层生产执行层工业控制层 图 4.9 交换设备隔离该访问控制机制仅通过连接管理网与生产网的交换设备，配置 ACL访问控制策略来规定需要限制哪些人员角色可以直接访问生产网设备。一般来说，只有指定的网络管理员应该能够直接访问这些设备。尽管一些交换设备也支持类似防火墙 ACL访问控制列表这样的控制过滤功能，但它并不具备专业防火墙针对网络攻击进行防御的功能，而且还不具备动态的包过滤，因此如果采用交换设备来替代防火墙等专业安全隔离设备，存在被攻击和入侵的风险依然很高。 MRP 核心交换 MRP 防火墙 PCS 隔离 管理协同层生产执行层工业控制层 图 4.10 防火墙隔离目前一些网络结构规划较为完善的卷烟生产企业已经建设了管理网与生产网之间的安全隔离机制，多数都是采用专业防火墙进行访问控制与攻击防御。但对于防火墙安全策略的配置没有依据统一的规范和标准进行，有些传统防火墙仅支持访问控制及包过滤功能，并不能实现安全审计、恶意行为识别等功能，甚至不能支持基于工业以太网控制协议（如 OPC、ProfiNet/ProfiBus、ModBus 等）的数据包识别。因此，这种方式的隔离是不够全面的。
控制指令数据通信明文传输主要传输的数据包括管理网内部数据通讯和工业控制指令（如 ProfiNet/ProfiBus、ModBus、DNP3 等）。
生产网无线网络管控机制缺失或不完善如 AGV无线引导小车。AGV无线引导小车通讯系统由无线 AP、上位机组态软件、车载 PLC 三部分组成。控制端与车载 PLC之间通讯网络采用无线通信（WiFi）。
网络设备安全性配置不完善生产网的网络设备大多是由车间系统管理员管理（非安全管理员），网络设备配置基本都是保持出厂默认。存在很高的网络设备被未授权访问或被攻击的风险。
工业控制安全审计机制缺失没有对工业控制网日常运行维护人员的操作行为进行统一运维审计管理，对于人为原因造成的卷烟生产业务异常事件无法溯源，也无法找到事件发生的根本原因，最终无法对事件进行定性分析。

主机及应用层面的安全问题：

工业控制系统自身存在大量漏洞目前烟草行业工业控制系统使用的比较主流的品牌是 Siemens S7 系列 PLC、Rockwell AB PLC 以及 GE PLC。这些设备中普遍存在着安全漏洞。这些漏洞包括拒绝服务漏洞，缓冲区溢出漏洞，可能造成信息泄露、远程控制及权限提升类的漏洞等。这些漏洞一旦被利用可以造成卷烟厂的业务中断，卷烟生产企业的生产计划、工艺流程等敏感信息被窃取，甚至可以获得工控系统的控制权，干扰、破坏卷烟厂的正常生产或运营活动。
关键生产设备 HMI身份认证机制不完善部分卷烟生产企业生产车间工业控制系统 PLC 的前端现场操控触摸屏 HMI的登陆身份认证机制不完善，弱口令现象普遍存在，甚至还有无认证机制完全开放的运行状态，同时缺失监管及监控机制，导致相关联的生产设备有可能被越权操作。
工程师站、操作员站和监控终端缺乏安全加固机制一般在卷烟生产企业，工程师站、操作员站以及监控终端均为 Windows 系统，运行多年没有系统打补丁机制。由于操作员站计算机可以直接向工业控制系统下达生产指令、监控生产设备状态，系统存在的大量安全漏洞有可能导致被攻击的风险大大增加（如获取权限后，可以任意下达控制指令）。
关键生产设备组件、工程师站、操作员站及监控终端远程运维操作对于关键工业控制系统 PLC的运维、检修工作，一般都是本地化操作。但是部分生产企业安全隔离机制不完善，导致存在被远程访问操作的可能性。比如使维护工程师和厂商获得远程访问系统的能力，应该加以安全控制，以防止未经授权的个人通过远程访问接入到生产网。另外，对于工程师站、操作员站及监控终端，原则上都应在中控室本地访问操作，应禁止远程操作运维管理。但多数企业终端远程桌面端口 3389 并没有被关闭，也存在为了日常运维的便利性采用远程登录操作的情况。该运维方式容易被攻击者获取系统最高权限，对控制器（PLC）下发任意指令，会对生产设备发起恶意攻击。
工程师站、操作员站及生产网业务系统服务器缺乏恶意代码的检测机制在部分卷烟生产企业，由于工程师站、操作员站和监控终端计算机工业控制应用软件与防病毒软件存在兼容性问题，因此不安装防病毒软件，这就给病毒与恶意代码的感染与扩散留下了空间。而对于数采服务器和 Web 服务器，由于担心影响到生产可用性，也存在未安装防病毒软件的现象。即便部署了防病毒软件，病毒库也常年未更新。
工程师站、操作员站和监控终端系统身份认证机制不完善部分卷烟生产企业为了日常运维的便利性，中控室操作员站及监控终端都采用公用账号（甚至是系统默认账号），且系统操作界面长期处于开放状态，没有配置登陆超时锁定功能。这导致进出中控室的所有人员都可以对其进行操作，可能存在被无关人员访问操作员站进行未授权操作的安全风险。这相当于对车间 PLC控制器可以随意操作，且发生安全事件无法追溯责任人。
生产网 IP 地址网段划分不合理部分卷烟生产企业生产网办公计算机与生产业务服务器规划在同一 IP 网段，导致有可能出现生产网第三方计算机 IP 地址与生产业务服务器 IP 地址冲突，导致系统中断的安全风险。
生产网移动设备管控措施不完善部分卷烟生产企业针对工业控制网络生产设备，没有采用物理封闭 USB接口的机制，且生产网员工 USB移动存储介质管控机制不完善，导致生产网存在被病毒感染的安全风险。另外，不安全的移动维护设备（比如笔记本等）的未授权接入，也会造成木马、病毒等恶意代码在生产中的传播。
业务系统、数据库账户权限设置不合理生产执行系统（MES）作为卷烟生产企业核心业务系统，系统登陆账户都是根据员工岗位区分角色及系统权限。但是多数卷烟生产企业员工权限申请流程执行不好，比如车间员工电话向信息管理部门系统管理员申请，系统管理员联系厂家现场运维人员更改账号权限，缺失申请审批记录。也有车间员工直接向业务系统原厂运维人员电话申请，无需任何流程确认审批，权限即刻开通。这样对于卷烟生产业务会造成极大的安全隐患。另外对于生产车间数采服务器，部分企业未区分登陆账号权限，或者登录账号和初始密码都是默认的，并且没有设置密码保护策略。攻击者可获得数据库权限，并任意破坏、篡改生产数据库。
关键设备的配置文件没有存储备份措施对于生产网中关键设备配置文件没有存储与备份机制，无法应对偶然事故的发生，比如防止员工误操作，或者攻击者对配置文件进行更改，造成生产业务中断或生产数据的丢失。 4.2.1.2 系统安全防护方案 4.2.1.2.1 边界安全防护方案 生产网是卷烟生产企业的核心安全域，其主要包括为卷烟生产提供服务的业务系统及设备。可根据生产车间网络规模继续划分为动能接入域、卷包接入域、物流接入域、动力能源接入域四个子域。生产网依据分级分域的建设方式来构架，各安全域之间的安全隔离机制如下图所示：管理协同层工控安全办公区 1号工程 ERP OA 数据库管控系统 MES MES WEB 报表应用数据库数据库服务器数据库服务器工控入侵检测服务器服务器服务器服务器 生产执行层 ||工程师数采工作站服务器****MES 客户端|工程师数采工作站服务器****MES MES 客户端客户端||工程师工作站|数采服务器****MES MES 客户端客户端||工程师数采工作站服务器****MES 客户端| ||制丝数采网|||卷包数采网||||物流数采网||||动力能源数采网| |制层|MES 客户端|||操作员工作站|OPC 服务器|MES 客户端|| |制丝接入区域||卷包接入区域|物流接入区域||动力能源接入区域| 工业控传统防火墙工控入侵工控安全工控安全工控安全检测系统审计系统防火墙综合管控系统图 4.11 卷烟厂安全防护图在生产网外部的管理协同层，生产执行层之间的访问控制要通过传统防火墙来提供包括访问控制、地址转换、应用代理、事件审核和报警等功能。而各个卷烟生产企业工业控制层内部，在环网及总线网络各个烟机设备节点，由于需要识别工业控制协议数据包，以及对于工业网络协议和应用数据的内容进行解析和检查，就需要针对工业控制网络环境的专业工控安全防火墙。除了传统防火墙的基础访问控制功能之外，更重要的是要针对工业网络中常见工业协议（如 Modbus、OPC 等）的数据包进行细粒度检查和深度过滤，以阻断来自管理网络的病毒传播、黑客攻击等行为，避免其对生产网络和生产业务的影响。 4.2.1.2.2 综合安全防护方案

安全审计通过对基于 IEC 60870-5-101、102 和 104 协议、IEC 61850、MODBUSRTU和 PROFINET 等工控协议的操作指令进行有效的识别，工控安全审计系统可以对从卷烟生产企业各生产车间中控室到调度中心之间传输的指令信息进行有效审计，检测其中的操作指令是否符合预制的审计规则。如果发现其中存在恶意的操作行为或者一些误操作指令的下发，审计设备可以进行及时的告警。并且在对异常操作的追诉过程中，审计设备可以实现对恶意事件和行为的事后追查稽核，重建事件和系统条件，生成问题报告，为事后的分析提供有效的依据。
工控安全综合管控平台安全的统一集中管控，是“CT-155”行业信息化架构蓝图中对十三五信息安全建设过程的建设方向。基于工业控制系统安全的统一管控平台建设也将是个趋势。生产网中集中管控措施的目的主要是监控工业设备的日志信息，并采集相关数据至工控安全综合管控平台。通过对系统安全风险情况的综合评价，完成对生产网中的工业控制系统设备上所有不同类型的日志告警信息的监控并生成告警信息。各车间系统运维人员可以通过对监控告警的设置、筛选、分析完成对威胁的监、分析、诊断的工作。同时，平台可以对告警事件按照各车间系统运维人员指定的要求进行统计、分析、评估，并对各类事件的统计结果和发展态势进行呈现。
系统上线前安全评估目前在卷烟生产企业中，工业控制设备（PLC）的入网与上线管理机制比较欠缺。该阶段是整个工业控制系统安全生命周期的重要阶段，也是系统所有者和操作者掌握其安全风险水平的最佳时机。因此，立足于系统上线过程，基于验收规范的整体规程要求，通过对工控系统的安全性进行分析，发现系统中潜在的安全漏洞是上线前安全评估的首要任务。之后，再基于发现的安全漏洞和相应的工控设备与系统提供商进行联系，获取相关的漏洞解决方案。漏洞的检测主要包括对已知漏洞的漏洞扫描技术和主动漏洞挖掘技术（FUZZ 技术）等。

参考资料

绿盟 2019工业控制系统信息安全保障框架

友情链接

GB-T 31167-2014 信息安全技术云计算服务安全指南