許新鋒

Construction of the Network Security Level Protection of Industrial Control System

XU Xin-feng

（Zhengzhou University of Light Industry， Zhengzhou 450000， China）

【摘? 要】現(xiàn)代卷煙工業(yè)企業(yè)的兩化融合程度越來越高，網(wǎng)絡(luò)的觸角已經(jīng)延伸到各個(gè)業(yè)務(wù)角落，工控網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也越來越突出。因而，如何建立一個(gè)高質(zhì)量、穩(wěn)固牢靠的工控系統(tǒng)網(wǎng)絡(luò)成為現(xiàn)代卷煙工業(yè)企業(yè)工控系統(tǒng)建設(shè)的一個(gè)重要組成部分。論文剖析了現(xiàn)代卷煙工業(yè)企業(yè)工控系統(tǒng)安全等保2.0的情況，綜合工控系統(tǒng)實(shí)際需求，提出等保工作部署的基本策略。

【Abstract】 The integration degree of modernization and industrialization of modern cigarette industrial enterprises is getting higher and higher， the network's tentacles have been extended to various business corners， and industrial control network security risks have become increasingly prominent. Therefore， how to build a high-quality， stable and reliable industrial control system network has become an important part of the industrial control system construction of modern cigarette industry enterprises. This paper analyzes the safety and security guarantee 2.0 of the industrial control system of modern cigarette industrial enterprises， and combined with the actual needs of the industrial control system， it proposes the basic strategy of the level protection work deployment.

【關(guān)鍵詞】工業(yè)控制系統(tǒng);安全防護(hù)體系建設(shè);部署建議;邊界控制

【Keywords】 industrial control system; security protection system construction; deployment proposal; boundary control

【中圖分類號(hào)】TB4? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? 【文獻(xiàn)標(biāo)志碼】A? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?【文章編號(hào)】1673-1069（2020）03-0112-02

1 引言

保證各卷煙工業(yè)企業(yè)生產(chǎn)運(yùn)行控制系統(tǒng)網(wǎng)絡(luò)安全的一個(gè)有效方法就是工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，實(shí)行工控系統(tǒng)網(wǎng)絡(luò)安全分級(jí)防護(hù)，能極大地降低當(dāng)前卷煙工業(yè)企業(yè)遇到的工控系統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，依據(jù)“核心優(yōu)先”的思路，把相關(guān)資源優(yōu)先投入到工控系統(tǒng)的安全防護(hù)之中，可以有效促進(jìn)卷煙工業(yè)企業(yè)盡快打牢工控系統(tǒng)安全等保的根基。

2 網(wǎng)絡(luò)安全等級(jí)保護(hù)的意義

工控系統(tǒng)安全等保指對(duì)控制系統(tǒng)內(nèi)的隱秘信息和控制信息及公共信息實(shí)行分層分級(jí)防護(hù)，對(duì)工控系統(tǒng)中的防護(hù)設(shè)施實(shí)行分層分級(jí)管理，對(duì)面臨的工控系統(tǒng)安全問題構(gòu)建相應(yīng)的分級(jí)應(yīng)急預(yù)案。這種工控系統(tǒng)安全保護(hù)體系共包含五個(gè)級(jí)別：自主、指導(dǎo)、監(jiān)督、強(qiáng)制、專控。各層級(jí)信息的機(jī)密性各不一樣，相應(yīng)的層級(jí)就有對(duì)應(yīng)的保護(hù)策略。2019年，我國頒布了網(wǎng)絡(luò)安全等保2.0的國家標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)對(duì)提高工控系統(tǒng)等保工作具有很強(qiáng)的指導(dǎo)意義。

3 工控系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)的現(xiàn)狀

按照新的等保2.0國家標(biāo)準(zhǔn)要求，大多數(shù)卷煙工業(yè)企業(yè)工控系統(tǒng)在制度、基礎(chǔ)設(shè)施、技術(shù)方面存在漏洞和風(fēng)險(xiǎn)，工控系統(tǒng)安全保護(hù)體系有待提高。其中，下面幾個(gè)問題表現(xiàn)較為突出。

3.1 工控系統(tǒng)網(wǎng)絡(luò)安全管理工作尚需進(jìn)一步加強(qiáng)

工控系統(tǒng)網(wǎng)絡(luò)安全管理制度仍有待提高，對(duì)數(shù)據(jù)資產(chǎn)、外包服務(wù)、軟件更新迭代等方面的管理缺少相關(guān)規(guī)定。工控系統(tǒng)安全管理體系尚不完善，缺乏對(duì)專業(yè)系統(tǒng)管理人員和系統(tǒng)維修人員持續(xù)性的跨專業(yè)梯度式的技能培訓(xùn)。各個(gè)工控系統(tǒng)的運(yùn)行管理不規(guī)范，對(duì)工控系統(tǒng)日常運(yùn)維造成隱患。

3.2 工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)存在較為明顯的脆弱性和安全隱患

大多數(shù)的工業(yè)控制系統(tǒng)都為內(nèi)網(wǎng)連接，雖然安裝有防火墻，也對(duì)所有的連接行為進(jìn)行過濾，但是大多數(shù)的防火墻安全配置及操作流程都不夠嚴(yán)謹(jǐn)。雖然卷煙工業(yè)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)置了安全隔離和訪問鏈接名單過濾策略，但是隨著信息技術(shù)的發(fā)展，因安全補(bǔ)丁與工控程序不兼容或者沒有相應(yīng)的安全補(bǔ)丁等原因，造成各個(gè)工控系統(tǒng)無法及時(shí)更新各項(xiàng)安全補(bǔ)丁，導(dǎo)致工控系統(tǒng)存在較高的安全風(fēng)險(xiǎn)。

3.3 工控系統(tǒng)服務(wù)器環(huán)境抵御攻擊能力較低

工業(yè)控制系統(tǒng)的運(yùn)行服務(wù)器系統(tǒng)補(bǔ)丁沒有及時(shí)對(duì)照各大主要安全網(wǎng)站發(fā)布的漏洞進(jìn)行更新，存在如勒索病毒、簡(jiǎn)單密碼、全端口開放等高危漏洞;有的工控程序與防護(hù)軟件無法兼容，或者防護(hù)軟件無法及時(shí)更新自身病毒庫，缺乏對(duì)惡意代碼的防范手段，一旦有個(gè)別工控系統(tǒng)的電腦感染惡意代碼，稍不注意，就會(huì)致使系統(tǒng)內(nèi)部現(xiàn)場(chǎng)終端大面積感染病毒木馬。

3.4 工控系統(tǒng)安全防范措施缺失

大多數(shù)運(yùn)行在生產(chǎn)網(wǎng)的工控系統(tǒng)存在大量漏洞;工業(yè)控制系統(tǒng)的用戶識(shí)別、數(shù)據(jù)安全、加密傳輸?shù)确矫娴呐渲貌呗圆粔驀?yán)密，未嚴(yán)格按照最小原則進(jìn)行配置;再加上一些其他的系統(tǒng)安全隱患，就會(huì)對(duì)工控系統(tǒng)的運(yùn)行安全、信息安全、生產(chǎn)安全等造成重大影響。

3.5 信息資產(chǎn)安全保護(hù)能力較低

缺乏對(duì)專用網(wǎng)絡(luò)的數(shù)據(jù)信息實(shí)行分級(jí)分類管控，缺少信息資產(chǎn)防護(hù)手段，部分專用網(wǎng)絡(luò)中未對(duì)口令設(shè)定強(qiáng)制定期更換策略、禁用弱口令策略、禁止遠(yuǎn)程代碼執(zhí)行等配置策略，存在高風(fēng)險(xiǎn)漏洞，極易被惡意程序攻擊利用。

3.6 欠缺基礎(chǔ)的物理安全保障

部分工控系統(tǒng)機(jī)房與控制室連通，主觀上認(rèn)為出入機(jī)房的人員都是技術(shù)維修等內(nèi)部人員，未對(duì)進(jìn)出人員實(shí)行鑒別和登記制度，存在工控機(jī)房被惡意破壞的風(fēng)險(xiǎn)。部分機(jī)房未安裝門禁系統(tǒng)，未安裝防盜報(bào)警或監(jiān)控?zé)o防盜報(bào)警功能，未安裝防水防雷等物理安全基礎(chǔ)保障。

4 工控系統(tǒng)安全防護(hù)體系部署建議

4.1 工控系統(tǒng)安全防護(hù)體系構(gòu)建

根據(jù)國家等保2.0標(biāo)準(zhǔn)的基本思想，構(gòu)建網(wǎng)絡(luò)安全防護(hù)體系[1]。最高層負(fù)責(zé)制定“總體策略”，總體策略是工控系統(tǒng)安全防護(hù)體系的基本策略。工控系統(tǒng)安全防護(hù)體系的第二層是“組織架構(gòu)”，既要保證工控系統(tǒng)工作時(shí)系統(tǒng)保密性，也要保證工控系統(tǒng)的管理體系高效穩(wěn)定。工控系統(tǒng)安全防護(hù)體系的第三層是“制度架構(gòu)”，分別從管理及職責(zé)、硬件管控、建設(shè)管控、運(yùn)行管控、風(fēng)險(xiǎn)管控、應(yīng)急預(yù)案和隊(duì)伍建設(shè)等方面做出相應(yīng)的管控要求。工控系統(tǒng)安全防護(hù)體系的第四層是規(guī)定各項(xiàng)標(biāo)準(zhǔn)配置的方法和相應(yīng)的配置流程以及記錄活動(dòng)內(nèi)容，包括平常各項(xiàng)操作的實(shí)行，各項(xiàng)操作的詳細(xì)配置、實(shí)行流程、實(shí)行規(guī)范等，指導(dǎo)日常活動(dòng)的正常實(shí)行。

4.2 安全域劃分

根據(jù)工控系統(tǒng)安全防護(hù)體系，將工控系統(tǒng)各大安全域重新劃分。制定統(tǒng)一的工控系統(tǒng)安全管理規(guī)范，如保證工控系統(tǒng)設(shè)備的運(yùn)行能滿足最大生產(chǎn)需求，優(yōu)化系統(tǒng)拓?fù)浣Y(jié)構(gòu)，杜絕系統(tǒng)單點(diǎn)漏洞;調(diào)整安全網(wǎng)關(guān)策略，防范包括（分布式拒絕服務(wù)）在內(nèi)的各種安全風(fēng)險(xiǎn);在系統(tǒng)中部署入侵防御系統(tǒng)（IDS）、入侵檢測(cè)系統(tǒng)（IPS）、安全管理軟件等，監(jiān)測(cè)來自系統(tǒng)內(nèi)外部的入侵;部署工控系統(tǒng)審計(jì)系統(tǒng)，對(duì)系統(tǒng)的操作、修改、設(shè)置等實(shí)行審計(jì)并記錄[2];驗(yàn)證所有連接系統(tǒng)的用戶身份，杜絕無相應(yīng)權(quán)限的用戶進(jìn)行管理配置的操作;安裝系統(tǒng)數(shù)據(jù)檢查設(shè)施，依托數(shù)據(jù)采集技術(shù)，制定管理基線，依據(jù)系統(tǒng)實(shí)際情況管理和放行數(shù)據(jù);增加多種登錄方式，如聲紋識(shí)別、面部識(shí)別等生物信息技術(shù)，實(shí)行雙因子登錄;防止遠(yuǎn)程管理系統(tǒng)主機(jī)和防火墻，若有實(shí)際需求，應(yīng)當(dāng)使用密文，防止用戶身份信息在傳輸中被盜取;能防范無認(rèn)證設(shè)施接入系統(tǒng)，防止信息資產(chǎn)流失。

4.3 安全邊界控制

根據(jù)以上安裝的系統(tǒng)安全管理軟件和硬件設(shè)定相適應(yīng)的管理策略，進(jìn)而完成對(duì)系統(tǒng)的邊界管控[3]。基本策略包含：管理網(wǎng)運(yùn)行安全，必需通過邊界防護(hù)規(guī)則的過濾和訪問審查;專用網(wǎng)運(yùn)行安全，最小原則規(guī)定用戶身份和瀏覽權(quán)限，必需通過邊界防護(hù)規(guī)則的過濾和訪問審查，其他安全域及用戶均不能直連;管理網(wǎng)信息安全，只開放其他域的服務(wù)器連通權(quán)限，其他安全域用戶無法直連，如訪問數(shù)據(jù)域，需有相應(yīng)的授權(quán)信息，必需通過邊界防護(hù)規(guī)則的過濾和訪問審查;專用網(wǎng)信息安全，僅開放本地安全域的服務(wù)器連通權(quán)限，其他安全域及用戶均不能直連，如需連接應(yīng)有相應(yīng)的授權(quán)信息;域間交互安全，不同安全域間的數(shù)據(jù)交互，實(shí)行擺渡機(jī)與特定協(xié)議相結(jié)合的形式;更新安全，更新域列為灰色域，僅有部分開放的系統(tǒng)連通權(quán)限，訪問行為必需通過邊界防護(hù)規(guī)則的過濾和訪問審查;密碼管理，一切使用密碼的系統(tǒng)防護(hù)設(shè)施，使用的算法為國產(chǎn)密碼算法;日志管理，入侵檢測(cè)系統(tǒng)、入侵防護(hù)系統(tǒng)、防火墻、安全網(wǎng)關(guān)、審計(jì)記錄的日志一律傳送至安全區(qū)的內(nèi)網(wǎng)管理系統(tǒng)存檔和剖析;分布式主機(jī)管理，現(xiàn)場(chǎng)主機(jī)一律安裝網(wǎng)御之類的客戶端，且能管控現(xiàn)場(chǎng)主機(jī)的各項(xiàng)設(shè)置，連接監(jiān)控、病毒防護(hù)，打安全補(bǔ)丁等;設(shè)備自主知識(shí)產(chǎn)權(quán)，工控系統(tǒng)安全防護(hù)體系所涉及的安全防護(hù)設(shè)施，都應(yīng)具有完全的中國自主知識(shí)產(chǎn)權(quán)，防止出現(xiàn)類似于手機(jī)行業(yè)的針對(duì)性事件發(fā)生。

5 結(jié)語

工控系統(tǒng)等保工作關(guān)系到卷煙工業(yè)企業(yè)的生產(chǎn)安全，作為一項(xiàng)防護(hù)工程，需要全體人員的密切合作，應(yīng)盡快夯實(shí)安全保護(hù)的基礎(chǔ)，在保證工控系統(tǒng)運(yùn)行的高效性、可靠性的同時(shí)，充分提高卷煙工業(yè)企業(yè)工控系統(tǒng)工控系統(tǒng)安全防護(hù)能力，為卷煙工業(yè)企業(yè)生產(chǎn)運(yùn)營保駕護(hù)航，從而有效提升企業(yè)的發(fā)展水平。

【參考文獻(xiàn)】

【1】李鴻培，忽朝儉，王曉鵬.工業(yè)控制系統(tǒng)的安全研究與實(shí)踐[J].保密科學(xué)技術(shù)，2014（04）：18-24.

【2】胡晨，陳凱.工業(yè)控制系統(tǒng)行為審計(jì)方案設(shè)計(jì)與部署[J].軟件導(dǎo)刊， 2017（1）：116.

【3】黃兆軍.智能工廠的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防御體系的構(gòu)建[J].工業(yè)技術(shù)與職業(yè)教育， 2019（2）：55-56.