卷烟分拣工控网络安全防御体系建设研究

卷烟分拣工控网络安全防御体系建设研究

田雨

（贵州省黔东南州烟草公司物流中心　）

[摘要]卷烟分拣工控网络包括可编程逻辑控制器（PLC）、触摸屏，以及与上位机一起组成的SCADA系统，将卷烟订单优化调度后的动作指令下达给各执行机构，是卷烟分拣活动的控制中心，其安全性尤为重要，一旦网络遭遇网络攻击，可造成分拣程序被篡改，设备瘫痪等严重事故，随着信息化、工业化融合不断加深，卷烟分拣工控系统的面临的安全形势日益严峻，在外部突出表现为面临互联网网络攻击，在内部，表现为通过U盘等介质传播病毒。建设一种内外兼顾的全方位的安全防护体系保护卷烟分拣工控网络的安全尤为必要。本文针对某烟草物流中心工控网络安全情况，提出卷烟分拣工控网络安全防御体系的建设思路。

[关键词]卷烟分拣；工控网络安全；PLC；数字化烟草；工业防火墙；

引言

在数字烟草建设的大背景下，烟草物流中心分拣业务的自动化程度越来越高，系统面临的网络安全风险也越来越大。物流中心的各个生产环节均广泛应用了工业控制系统，开放式的工业控制网络暴露出诸多安全隐患，一旦发生安全事件，将会给企业经营生产带来巨大的经济损失。

烟草行业在生产系统与物流分拣系统中大量使用了由工控设备和工控协议构成的工业控制网络系统，在两化融合的大趋势下，行业中的工控网络与办公网络互联互通是必然之势。两化融合在极大地提升了生产效率和管理便利性的同时，也带来了一系列安全问题。一方面，互联网上的各类型攻击可通过两网连接节点渗透入工控网络，这对自身安全防护能力较弱的工控网络系统来说几乎是灭顶之灾；另一方面，工业控制网络内部存在的上位机，如各类工程师站、操作员站还在使用老旧的Windows系统，且无法升级更新，安全建设严重滞后的工控网络内部存在大量漏洞，极易成为各类型病毒及恶意程序攻击的目标。

1 存在问题

结合某烟草物流中心工控网络现状，梳理工控网络安全风险如下: 卷烟分拣工控设备与管理网分隔不明显，管理网与互联网又随着信息化的不断发展而深度融合，导致卷烟分拣工控网络暴露在互联网上，容易成为网络攻击对象，对正常的卷烟分拣活动造成威胁。生产控制网与企业管理网互联互通，在实现物流分拣业务自动化的同时，也将企业管理网络中的安全风险(如扫描嗅探、入侵攻击、病毒等)带入生产控制网络。工控系统网络缺乏必要的安全监测与审计手段，安全风险和安全事件无法预警、定位及追溯。

2 安全防御体系建设

2.1建设思路

本文提出基于边界防护、终端防护、网络监测、态势感知四方面的建设思路，具体为：在分拣工控主机上部署具有白名单管理的主机卫士，在分拣网络边界部署工业防火墙，同时在工控网络核心交换机上部署监测审计，并通过部署采集探针实现态势感知。

2.2建设内容

上述安全防御体系的建设内容主要包括以下几方面：

1、增设工控审计系统；

2、增设工控防火墙；

3、增设工业互联防火墙；

4、增设统一安全管理平台；

5、安装工控主机卫士软件；

2.3具体实施步骤

1、在卷烟分拣工控主机上安装工控安全卫士，并设置安全基线和白名单策略，确保工控主机安全。

2、在分拣工控网络边界部署工业防火墙，使得分拣工控网络与互联网有效隔离。

3、在核心交换机上部署审计设备，对分拣工控网络中的流量进行审计。

4、部署统一管理平台，使用探针收集主机卫士、边界防火墙，审计设备数据，并形成态势感知，为分拣工控网络安全防护提供预警。

2.4 建设案例

该安全防御体系在某烟草物流卷烟分拣SCADA系统网络中进行了部署应用，并组织技术人员在实验室和卷烟分拣车间现场进行了多次渗透测试。渗透测试的内容包括：搭建虚拟机模拟测试环境，将带有WannaCry 蠕虫的虚拟机与安装有白名单管理软件的工控主机接入同一网段网络，不对虚拟机与工控主机之间的传输报文进行拦截过滤，尝试利用虚拟机中的蠕虫病毒感染工控主机；在生产管理主机上接入外网，尝试渗透攻入SCADA系统网络，获取操作员工作站或HMI的权限。模拟攻击和渗透测试均未取得成功，表明该安全防御体系能够有效防御来自工业系统内外的攻击。

3结束语

本文从终端防护、边界防护、网络监测、态势感知四方面对工业控制网络安全防御体系进行了研究，提出了安全防御体系建设思路及办法，解决了传统的安全防护策略难以为工业控制网络抵御内外攻击的问题，该防护体系在某烟草物流卷烟分拣SCADA系统上的成功应用，为该烟草物流卷烟分拣控制系统安全有效运行提供了保障，同时也为其他工业控制网络防护提供了参考。

1