工業(yè)控制防火墻在煙草生產(chǎn)中的應(yīng)用

劉軍鋒

摘 要：本文介紹煙草企業(yè)的生產(chǎn)系統(tǒng)普遍存在系統(tǒng)性的信息安全問題，結(jié)合蚌埠卷煙廠易地搬遷技術(shù)改造項目中的應(yīng)用情況，以制絲中控的工業(yè)防火墻為例，實現(xiàn)工業(yè)網(wǎng)同管理網(wǎng)之間的工業(yè)網(wǎng)絡(luò)邊界全防護(hù)，提出“實現(xiàn)縱深防御能力，從管理網(wǎng)到生產(chǎn)網(wǎng)，空間安全防護(hù)”理念。實施證明，該防火墻適應(yīng)于嚴(yán)苛復(fù)雜的工業(yè)生產(chǎn)環(huán)境。

關(guān)鍵詞：工業(yè)環(huán)網(wǎng)；管理網(wǎng)；控制網(wǎng)；MES系統(tǒng)；操作站

中圖分類號：TN915 文獻(xiàn)標(biāo)識碼：A 文章編號：1671-2064（2018）14-0048-02

1 引言

煙草行業(yè)兩化融合和工業(yè)網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的互聯(lián)互通是一個必然的趨勢，工業(yè)控制網(wǎng)絡(luò)自身的安全缺陷使其對傳統(tǒng)網(wǎng)絡(luò)的安全威脅不具有抵抗力。從煙草行業(yè)普遍性角度來看，工業(yè)控制網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)的連接基本上沒有進(jìn)行任何邏輯隔離和檢測防護(hù)，外部威脅源一旦進(jìn)入蚌埠煙廠的辦公網(wǎng)絡(luò)，則可以一通到底的連接到工業(yè)網(wǎng)絡(luò)的工業(yè)執(zhí)行層。另外工業(yè)控制網(wǎng)絡(luò)中的工控機(jī)系統(tǒng)采用Windows系統(tǒng)，為保證工業(yè)軟件的穩(wěn)定運(yùn)行，無法進(jìn)行補(bǔ)丁升級甚至不能安裝殺毒軟件，導(dǎo)致的工業(yè)網(wǎng)絡(luò)的安全風(fēng)險不言而喻。

2 煙草管控系統(tǒng)特點(diǎn)

煙草行業(yè)工控系統(tǒng)主要有SCADA和PLC兩大類。由于各企業(yè)所涉及的工控系統(tǒng)在組網(wǎng)方式、系統(tǒng)構(gòu)成等方面存在差別，可歸納為如下幾類具有典型特征的工控系統(tǒng)，包括物流控制類、絲葉生產(chǎn)類、獨(dú)立控制類、動力控制類。系統(tǒng)特點(diǎn)為嚴(yán)格安全預(yù)先設(shè)計的流程順序操作，現(xiàn)場控制設(shè)備分段完成各個工藝現(xiàn)場機(jī)械設(shè)備的控制。該控制信息傳遞涉及到網(wǎng)絡(luò)信息互連安全。蚌埠煙廠制絲生產(chǎn)線采用啟明星辰生產(chǎn)的IFW-3000-201D工業(yè)防火墻，在蚌埠煙廠制絲中控同廠級生產(chǎn)調(diào)度中心邊界部署工業(yè)防火墻進(jìn)行管理網(wǎng)和生產(chǎn)網(wǎng)的邏輯隔離，對兩網(wǎng)間數(shù)據(jù)交換進(jìn)行安全防護(hù)。

3 整個網(wǎng)絡(luò)信息安全系統(tǒng)架構(gòu)

為了保障生產(chǎn)與管理的信息安全可靠搭建制絲車間的現(xiàn)場控制網(wǎng)絡(luò)與管理網(wǎng)絡(luò)，如圖1所示。

在集中監(jiān)控層中控室，配置2臺互為冗余的三層工業(yè)控制匯聚交換機(jī)；配置2臺互為冗余的三層管理網(wǎng)匯聚交換機(jī)；在集中監(jiān)控層中控室，還配置1臺商用交換機(jī)，作為制絲中控監(jiān)控計算機(jī)、管理計算機(jī)、網(wǎng)絡(luò)打印機(jī)等設(shè)備的接入。

現(xiàn)場管理星型網(wǎng)絡(luò)，配套8臺工業(yè)交換機(jī)，在制絲車間區(qū)域組成一個光纖管理網(wǎng)，每臺現(xiàn)場管理網(wǎng)交換機(jī)通過星型雙鏈路接入集中監(jiān)控層中控室管理匯聚交換機(jī)，經(jīng)啟明星辰IFW-3000-201D工業(yè)防火墻接入廠級生產(chǎn)調(diào)度中心，現(xiàn)場控制星型網(wǎng)配置相似于現(xiàn)場管理星型網(wǎng)絡(luò)。

3.1 MES系統(tǒng)與制絲集控系統(tǒng)的網(wǎng)絡(luò)隔離

生產(chǎn)執(zhí)行層作為管理網(wǎng)與生產(chǎn)工控系統(tǒng)直接相連的部分，MES服務(wù)器下發(fā)生產(chǎn)工單。一旦MES系統(tǒng)出現(xiàn)病毒、蠕蟲可能會影響到直接與其相連的制絲集控系統(tǒng)，而制絲集控系統(tǒng)的工控機(jī)又直接與I/O服務(wù)器及PLC通訊，進(jìn)而可能會影響生產(chǎn)設(shè)備狀態(tài)監(jiān)測，參數(shù)的采集以及指令的下發(fā)。

3.2 安全域劃分

存在IP地址沖突、網(wǎng)絡(luò)故障、蠕蟲等嚴(yán)重影響生產(chǎn)的問題。目前，I/O服務(wù)器基本采用雙網(wǎng)卡及多網(wǎng)卡機(jī)制實現(xiàn)生產(chǎn)管理和工控網(wǎng)的通訊，使I/O服務(wù)器可能成為打通不同網(wǎng)絡(luò)的點(diǎn)，需要通過劃分網(wǎng)絡(luò)安全域減少風(fēng)險影響的范圍。

3.3 網(wǎng)絡(luò)實時監(jiān)測

制絲系統(tǒng)存在較多的工藝段，發(fā)生故障或安全問題后需要運(yùn)維人員知道各段操作站與PLC之間的訪問關(guān)系及相關(guān)信息，因此需要有效的技術(shù)手段對制絲集控或打葉復(fù)烤的工控網(wǎng)絡(luò)進(jìn)行實時監(jiān)測，以輔助故障定位和解決。

4 部署防護(hù)功能

在蚌埠煙廠網(wǎng)絡(luò)中部署的工業(yè)防火墻內(nèi)置上百種專有工業(yè)通信協(xié)議，基于內(nèi)置工業(yè)通訊協(xié)議的防護(hù)模式，工業(yè)通訊協(xié)議通常是基于常規(guī)TCP/IP在應(yīng)用層的高級開發(fā)，所以該產(chǎn)品不僅是在端口上的防護(hù)，而且還基于應(yīng)用層上進(jìn)行數(shù)據(jù)包深度檢查，為工業(yè)通訊提供獨(dú)特的、工業(yè)級的專業(yè)隔離防護(hù)解決方案；解決網(wǎng)絡(luò)適應(yīng)性、工業(yè)網(wǎng)絡(luò)可視化、訪問控制、工業(yè)VPN和工業(yè)安全防護(hù)等方面需求。

4.1 對MES系統(tǒng)到控制系統(tǒng)的訪問控制

在防火墻內(nèi)部通過安全策略方式實現(xiàn)來自管理網(wǎng)的SYN Flood、抗UDP Flood、抗ICMP Flood、抗Ping of Death等攻擊的防護(hù)，并且在修改OPC維護(hù)策略實現(xiàn)對MES系統(tǒng)與工控系統(tǒng)的OPC協(xié)議的動態(tài)端口防護(hù)及完整性、碎片等細(xì)粒度防護(hù)。

4.2 可實現(xiàn)對操作站到PLC的訪問控制

西門子PLC到操作站的網(wǎng)絡(luò)類型一般是profinet，需要在防火墻上設(shè)置允許S7協(xié)議通過，如有其它必要服務(wù)，也需要設(shè)置允許相應(yīng)的協(xié)議通過，且可以對協(xié)議傳輸?shù)闹噶钸M(jìn)行控制，防止黑客利用不必要的服務(wù)和端口攻擊系統(tǒng)。

4.3 立體的縱深防御能力

該防火墻具備以太網(wǎng)口和串行鏈路通信接口，用以滿足不同的生產(chǎn)環(huán)境。也支持三層工業(yè)網(wǎng)絡(luò)邊界和關(guān)鍵節(jié)點(diǎn)防護(hù)；可部署在管理網(wǎng)、監(jiān)控網(wǎng)和生產(chǎn)網(wǎng)的邊界；可部署在關(guān)鍵的工程師站的前面；可部署在PLC的前面。利用網(wǎng)御工業(yè)防火墻，對工業(yè)網(wǎng)絡(luò)進(jìn)行分區(qū)、分域隔離，層層防護(hù)直達(dá)工業(yè)網(wǎng)絡(luò)的核心生產(chǎn)線。

4.4 安全功能靈活組合定制

該防火墻預(yù)置了基本的防火墻系統(tǒng)，支持基于IP、端口、時間和工業(yè)協(xié)議進(jìn)行安全過濾，實現(xiàn)工業(yè)網(wǎng)絡(luò)邊界安全防護(hù)的需求；同時針對不同自動化行業(yè)預(yù)置了相應(yīng)的高級安全防護(hù)模塊，如工業(yè)協(xié)議應(yīng)用層深度解析控制模塊、工業(yè)VPN模塊等，這樣可以減少用戶的投資，提高利用價值。

5 網(wǎng)絡(luò)攻擊

工業(yè)以太網(wǎng)在提高信息互連的同時也通過基于OPC數(shù)據(jù)交換、基于FTP協(xié)議的DNC網(wǎng)絡(luò)的指令傳遞等，使傳統(tǒng)安全威脅可以很快滲透到工業(yè)網(wǎng)絡(luò)中，而早期工控網(wǎng)絡(luò)并沒有考慮相應(yīng)的安全防護(hù)措施，包括缺失的數(shù)據(jù)加密、數(shù)據(jù)流及控制流的訪問控制、用戶認(rèn)證機(jī)制、無線安全連接和安全審計等等。同時大量的廠家或協(xié)會公布了工控協(xié)議的實現(xiàn)細(xì)節(jié)和標(biāo)準(zhǔn)，使得攻擊者可以深入的挖掘其中的漏洞，并借此展開攻擊。正是由于工業(yè)網(wǎng)絡(luò)的互聯(lián)互通，并缺乏邊界防護(hù)措施，導(dǎo)致生產(chǎn)線直接暴露在攻擊者面前。

綜上所述，目前的工業(yè)網(wǎng)絡(luò)存在很大的安全隱患，需要提供縱深防御的安全策略。其中邊界安全防護(hù)是整個防護(hù)環(huán)節(jié)最重要的一環(huán)。如果網(wǎng)絡(luò)中的部分設(shè)備因配置錯誤，硬件故障，或病毒等原因發(fā)生問題，幾秒鐘內(nèi)便可傳播到整個網(wǎng)絡(luò)。通過部署適用于工業(yè)環(huán)境的專用防火墻，可以提供安全區(qū)域劃分，從邊界、區(qū)域到終端的完整防護(hù)，可有效的降低網(wǎng)絡(luò)被入侵及安全威脅遷移擴(kuò)散的風(fēng)險。

6 結(jié)語

在蚌埠煙廠廠級生產(chǎn)調(diào)度中心邊界部署IFW-3000-201D工業(yè)防火墻進(jìn)行管理網(wǎng)和生產(chǎn)網(wǎng)的邏輯隔離。實現(xiàn)工業(yè)網(wǎng)絡(luò)邊界的安全防護(hù)，數(shù)據(jù)信息的縱深防御，從管理網(wǎng)到生產(chǎn)網(wǎng)的數(shù)據(jù)空間安全防護(hù)，該產(chǎn)品適應(yīng)于嚴(yán)苛復(fù)雜的工業(yè)生產(chǎn)環(huán)境。

參考文獻(xiàn)

[1]呂昆.計算機(jī)網(wǎng)絡(luò)安全中防火墻技術(shù)運(yùn)用探析[J].無線互聯(lián)科技，2017，（16）：37-38.

[2]謝燕梅.防火墻技術(shù)在計算機(jī)網(wǎng)絡(luò)信息安全中的應(yīng)用探析[J].科研，2017，（2）：213-213.

[3]駱兵.計算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用分析[J].信息與電腦（理論版），2016，（9）：193-194.

[4]謝平.計算機(jī)網(wǎng)絡(luò)信息安全中防火墻技術(shù)的有效運(yùn)用研究[J].通訊世界，2016，（19）：97-98.

[5]黃仁書.計算機(jī)網(wǎng)絡(luò)安全中的防火墻技術(shù)及應(yīng)用實踐分析[J].信息與電腦（理論版），2017，（15）219-220.