溫運嶺 穆金麗

摘要：隨著工業(yè)互聯(lián)網時代的到來，現(xiàn)代卷煙工業(yè)企業(yè)兩化融合程度也越來越高，在卷煙生產過程中廣泛使用到各類工業(yè)控制系統(tǒng)，因此有強烈的工控網絡安全防護需求。目前，如何構建一個安全高效、穩(wěn)固可靠的工控網絡體系，成為現(xiàn)代卷煙工業(yè)企業(yè)安全防護的基礎和前提。本文結合制絲車間中控系統(tǒng)實際需求，提出了相關的安全防護措施，進一步為卷煙廠的安全生產運營保駕護航。

關鍵詞：工業(yè)控制網絡;網絡安全;制絲中控

制絲中控系統(tǒng)作為制絲生產過程的核心系統(tǒng)，主要負責制絲車間的生產控制任務，并對制絲過程中的設備運行、工藝質量進行監(jiān)控，是保證制絲工藝質量和正常生產的根基。一旦網絡被無意或惡意攻擊或病毒入侵將嚴重影響企業(yè)生產運營與管理效率，因此構建網絡安全體系，保障企業(yè)安全穩(wěn)健的發(fā)展顯得尤為重要。

1部署工業(yè)防火墻

依據“安全分區(qū)、縱深防護、統(tǒng)一監(jiān)控”的網絡安全防護原則。在廠級網絡及制絲中控室管理交換機之間部署工業(yè)防火墻，做到區(qū)域隔離，配置工業(yè)防火墻，防止未授權的網絡連接對制絲線局域網的侵害。

1）訪問控制

工業(yè)防火墻在工控協(xié)議方面做了深度的解析，可以對操作人員和外網非法訪問進行基于IP、MAC、工控協(xié)議或任意組合方式的訪問進行控制，另外，用戶可以根據具體需求設置更細粒度的策略，如對某個工控協(xié)議的只讀、讀寫或者禁用，防止數據被篡改或信息外泄。支持通用防火墻會話狀態(tài)檢測、包過濾機制及工控協(xié)議的深度訪問控制，阻止各類非授權訪問行為。

2）惡意攻擊

由于工控網絡的封閉性和工控網絡中運行的軟件和程序一般情況下都是很固定的，基于工控網絡的這一特點，在工業(yè)防火墻上啟用白名單功能，將工控網絡中可信的軟件或程序放入白名單，只有白名單中的軟件或程序才能被安裝和運行，可以有效阻止惡意病毒和木馬的入侵或非法程序的運行。工業(yè)防火墻可以進行正常通信行為建模，通過對正常通信行為學習后，對工控指令攻擊、控制參數修改、病毒和蠕蟲等惡意代碼等攻擊行為進行有效防護，減少惡意攻擊行為給工業(yè)控制系統(tǒng)帶來的安全風險。

3）DoS攻擊防護

工控系統(tǒng)對網絡的實時性和響應速度有很高的要求，為了保證工控系統(tǒng)的可用性和高效性，在工業(yè)防火墻上開啟異常報文檢測與異常流量檢測功能，防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊導致的網絡或工控系統(tǒng)的癱瘓。

4）重點設備的安全防護

通過在重點工控設備前加裝工業(yè)防火墻，通過工業(yè)防火墻的工控協(xié)議深度解析及“白名單”安全管理機制，充分保護重要工控設備的信息安全，提升整個工業(yè)控制系統(tǒng)的安全防護等級。

2部署安全防護軟件

在中控計算機、服務器、工程師站、現(xiàn)場工控機上部署主機安全防護軟件。通過設置實現(xiàn)以下功能。

1）阻止惡意代碼的執(zhí)行和擴散

可以有效阻止“白名單”外的程序及病毒、木馬、蠕蟲、等惡意代碼的執(zhí)行，進而有效避免系統(tǒng)感染震網病毒、Flame、Havex、BlackEnergy等工控惡意代碼。如果在工業(yè)控制系統(tǒng)中有一臺設備被惡意病毒感染并通過網絡擴散到其它主機后，在部署了工控主機衛(wèi)士的主機上通過白名單功能就可以阻止病毒的運行，進而保護主機的運行安全。

2）網絡白名單

針對工作站、服務器等設備進行網絡白名單配置管理，包括開啟SYN攻擊防護（Windows系統(tǒng)專有）和配置防火墻、添加配置控制程序連接（Windows系統(tǒng)專有）以及TCP或UDP端口連接的規(guī)則，最大限度保護工作站、服務器等設備的安全。

3）主機監(jiān)控管理

開啟主機白名單安全防護，使工控網絡中的上位機、服務器等抵御木馬、工控病毒等惡意程序的攻擊。對白名單外的惡意代碼、違規(guī)操作進行告警及記錄;對人員未授權安裝軟件進行告警;對普通U盤以及安全U盤的違規(guī)使用告警;支持注冊表、配置文件和操作系統(tǒng)文件破壞告警。

4）安全基線管理

對工作站、服務器等設備進行基線配置管理，包括賬戶策略、審核策略、安全選項、IP安全、進程審計、系統(tǒng)日志等。通過開啟密碼復雜度、強制密碼歷史、關閉guest賬戶（Windows系統(tǒng)專有）、開啟系統(tǒng)和賬戶審核、關閉默認共享（Windows系統(tǒng)專有）、進行進程審計等措施最大限度保護工作站、服務器等設備的安全。

3部署統(tǒng)一安全管理平臺

建設統(tǒng)一安全管理平臺對工業(yè)防火墻、工業(yè)主機安全防護軟件等產品進行統(tǒng)一管理。實現(xiàn)對工控系統(tǒng)中的網絡設備、主機設備、應用系統(tǒng)、安全設備進行集中運維管理，實現(xiàn)安全策略的統(tǒng)一配置及下發(fā)、設備運行狀況的全面監(jiān)控、安全事件的實時告警，日志的收集、處理及分析，有助于降低運維成本、提高事件響應效率。

1）安全產品集中管理

對工控網絡中的工業(yè)防火墻、工控安全監(jiān)測與審計系統(tǒng)、工控主機衛(wèi)士、主機安全加固系統(tǒng)等安全產品進行集中管理，包括安全策略配置、設備狀態(tài)監(jiān)控、網絡拓撲管理等。

2）高速率加密傳輸通道

采用私有加密方式進行通信，防止數據包遭到惡意截取或篡改，有效保障數據的有效性和安全性。

3）全面的安全日志審計

全面記錄工業(yè)網絡中的主機安全日志、網絡異常攻擊監(jiān)測日志、網絡攻擊防護日志、工業(yè)網絡會話信息，同時保留攻擊發(fā)生時的原始報文信息，便于安全事件的追溯和調查取證。

4）安全日志關聯(lián)分析

對工控網絡中的安全日志（如：攻擊日志、流量日志、訪問日志、主機日志、系統(tǒng)日志）進行匯總、關聯(lián)分析并形成報告，為工控網絡安全事件分析和調查取證提供依據。

結束語

本文針對制絲中控網絡安全問題提出了相應的防護措施，即采取部署工業(yè)防火墻、部署安全防護軟件、部署統(tǒng)一安全管理平臺等，為進一步提高制絲中控系統(tǒng)網絡安全水平，促進卷煙工業(yè)安全防控體系構建，保障企業(yè)安全生產運營提供了堅實根基。

參考文獻

[1]趙全洲，司成偉.淺談煙草行業(yè)工控網絡安全風險的威脅評估[J].通訊世界，2019，26（8）：63-65.

[2]吳莉.淺談煙草行業(yè)網絡安全及其防范策略[J].計算機光盤軟件與應用，2012（5）：116-117.

[3]許新鋒.工業(yè)控制系統(tǒng)網絡安全等級保護的建設[J].中小企業(yè)管理與科技，2020（7）：112-113