打葉復烤企業工控安全現狀及防控措施探討

◆羅曉峰

打葉復烤企業工控安全現狀及防控措施探討

◆羅曉峰

（云南煙葉復烤有限責任公司保山復烤廠 云南 678000）

作為連接煙草工商企業的橋梁，打葉復烤企業在為卷煙工業企業提供優質卷煙原料加工服務保障方面發揮著不可替代的作用。工業控制系統作為打葉復烤企業生產加工過程中重要的信息基礎設施，運行的可靠性直接影響產品質量的好壞。隨著智能制造等新技術的應用，工控安全引起了打葉復烤企業越來越高的重視。文章以云南某打葉復烤廠為例，對打葉復烤企業工控網絡架構、可能面臨的網絡安全風險及相關安全防控措施等進行了分析和探討。

工控安全；信息安全；打葉復烤；風險防控

1 引言

近年來，針對工業控制系統的網絡入侵和攻擊事件時有發生，2006年至2010年間針對伊朗核工廠長達五年之久“震網”病毒入侵事件， 2017年“Wanna Cry”勒索病毒事件，2018年臺積電病毒襲擊事件，給相關企業造成了重大的經濟損失，也為打葉復烤甚至整個煙草行業工業控制系統的網絡安全問題敲響了警鐘。我國工業和信息化部曾于2016年12月發布了《工業控制系統信息安全防護指南》，提出工業控制系統應用企業應從管理和技術等方面加強工業控制系統的安全防護工作，為相關企業工業控制系統的安全防護建設指明了方向。

本文以云南某打葉復烤廠工業控制系統為例，對打葉復烤企業工業控制系統網絡架構、可能面臨的網絡安全風險及相關防控措施進行了分析與探討。

2 打葉復烤企業工業控制系統網絡架構及其特點

2.1 打葉復烤企業網絡概述

根據煙草行業的改革要求，打葉復烤企業實行一個法人，多點生產加工的模式，主要承擔煙草工商客戶的煙葉收儲及加工業務。按照業務需求及使用功能劃分，打葉復烤廠網絡一般由辦公網、設備網、工控網三個業務應用專網組成，其中：辦公網主要承載辦公數據網絡、有線電視、信息發布及會議系統等信息設施類應用，設備網主要承載視頻監控、門禁、考勤、車輛出入管理系統等安全監管類應用，工控網主要承載工藝設備控制、物流設備控制、能源計量管理等生產加工類應用。網絡結構一般為三層架構星型以太網，分為核心層、匯聚層和接入層，最后通過企業出口層網絡設備連接到互聯網。三層網絡架構可以保證根據業務需求，對不同層次進行擴容。

2.2 打葉復烤企業工控網絡架構

根據打葉復烤企業業務特點，工業控制系統按照系統的業務流程和具體組成架構特點劃分，主要由煙葉物流控制類、復烤加工生產控制類、動力能管控制類和其他獨立控制等四類系統組成。煙葉物流控制類系統主要應用于原煙收儲、煙葉分選、成品儲運等業務環節，一般由制造執行系統（MES）將生產計劃下發到物流管理系統（WCS），再由WCS下發給PLC執行任務；復烤加工生產控制類系統主要應用于煙葉復烤加工環節，系統一般由工業交換機組成環網，根據生產工藝段劃分，采用PLC、分布式IO、現場設備分離控制的模式；動力能管控制類系統主要包括鍋爐、供配電、空壓設備等控制系統，為生產線提供水、電、汽、氣等能源保障；其他獨立控制類主要包括污水處理控制系統等，此類系統因控制設備單1 I/O點數較少，控制器、現場設備及HMI多整合為一體。

2.3 打葉復烤企業工控網絡特點

（2）各類工業控制系統工作基本相互獨立，未形成統一信息交互整體，僅預留與其他系統信息傳遞相關接口；

（3）復烤加工生產類控制系統主干網絡多采用Profinet、EtherNet/IP等工業以太網技術，電源和光纖多采用冗余設計，整個系統對網絡通訊實時性、穩定性、可靠性有較高要求；

（4）控制類及網絡傳輸類設備主要集中于西門子，羅克韋爾、施耐德、GE等國外廠家，設備性能優越；

（5）現場儀器儀表多具有網絡通訊接口，智能化程度較高。

3 打葉復烤企業工業控制系統網絡安全現狀

（1）打葉復烤企業工業控制系統網絡設備（如工業交換機、現場操作站等）一般就近放置于生產現場，因現場工況較差，設備運行穩定性難以保障；

（2）工控系統網絡安全類設備配置單一，僅有防火墻等基礎硬件配置，防火墻攔截策略不夠完善；

（3）各類工控系統一般情況下不連接互聯網，但為滿足遠程監打等業務需求，或為實現工控系統遠程維護等功能，系統中一般配備了雙網卡工程師站，僅在需要實現相關功能時，通過人工方式接入互聯網，存在入侵隱患；

（4）系統內工控機、人機界面等終端未安裝有終端安全管理系統，USB等接口裸露在外，基本無防御木馬、病毒攻擊及漏洞修復的能力；

PPR蛋白普遍具有與單鏈RNA結合的能力，隨著研究的深入，PPR基序識別特定核苷酸的規律也逐漸清晰，目前認為，一個PPR基序可以特異性的識別一個核苷酸。

（5）工控網絡管理人員技術技能相對薄弱，網絡安全管理措施較為單薄，缺乏相關網絡安全應急預案；

（6）系統對設備操作安全控制有較高要求，系統發生故障時，要及時、準確地停止相關設備，根據故障原因發出聲、光報警，并顯示故障原因提示信息，故障排除后，需要人工對故障進行復位才允許重新啟動設備進行生產。

4 工控安全建設相關標準規范

關于工控系統信息安全標準，國際上已有幾個重要的標準，IEC62443/ISA99，NIST SP800-82等，我國2014年底發布了GB30976.1-2014《工業控制系統信息安全評估規范和驗收規范》。煙草行業2014實施關于工控系統信息安全的規范《煙草工業企業生產網與管理網網絡互聯安全規范》（YCT 494-2014），提出煙草企業的生產網和管理網的網絡連接架構與要求，給出了煙草工業企業生產網與管理網互聯接口安全模型及其安全功能、性能要求，明確兩網之間的安全功能包括身份鑒別、訪問控制、網絡互聯控制、惡意行為防范、安全審計、支撐操作系統安全。上述標準規范也為打葉復烤企業工業控制系統網絡安全建設指明了方向。

5 云南某打葉復烤廠工控網絡安全建設

云南某打葉復烤廠在工控網絡安全建設方面遵循預防為主，技術為先的思路，從“人防+技防”為切入點實施網絡安全建設。依據煙草行業網絡安全 “分級分域、整體保護、積極預防、動態管理” 總體策略及《煙草工業企業生產網與管理網網絡互聯安全規范》進行建設，將生產網和管理隔離，通過身份鑒別、訪問控制、網絡互聯控制、惡意行為防范、安全審計，支撐操作系統安全，加強接口數量控制和安全管理。

5.1 充分應用網絡隔離技術

應用網絡隔離技術，在系統中運用如防火墻等隔離措施，對病毒和外部攻擊進行防御，運用及部署過濾或封鎖網絡流量的手段，來保證系統的安全。

5.2 入侵檢測和入侵預防系統

通過預裝入侵檢測和入侵預防系統（如安全監測軟件、防火墻軟件），通過軟件技術檢測和防御網絡流量中的網絡物理攻擊，降低目標環境中的潛在威脅，以此來保證系統的安全

5.3 及時更新及安裝應用安全補丁

通過管理手段及軟件技術，對系統使用的操作系統、應用軟件及各工業專用軟件，及時更新并安裝應用安全補丁。通過安全補丁的安裝來減小系統所存在的漏洞和后門，并及時應用到中控系統的應用層。以此來降低和彌補程序錯誤、設計缺陷的可能性，以保證系統的安全。

5.4 軟件及接口安全技術

在系統軟件開發設計過程中，通過軟件及接口安全技術，對外部接口軟件的連接請求進行身份認證，客戶端經過認證后才能與服務器建立連接，同時服務器也需要經過認證才能與客戶端通信，以此來保護網絡服務的安全。同時采用TLS等措施對信息交換進行加密，保證通信安全。

5.5 遠程訪問VPN網關的應用

為更好保障系統的生產運行安全，以及對網絡和技術的未來發展進行充分的預案，系統建設時引入了遠程訪問VPN網關設備和系統，實現對網絡信息的安全接入和管理，有效保障業務數據安全和應對不斷變化的業務需求。

5.6 制定網絡安全應急預案

為確保工控系統的運行安全和數據安全，提升應急處理能力，最大限度預防和減少網絡安全突發事件造成的損害，保障信息資產安全，系統建設完成后制定了工控網絡與信息安全應急預案，為工控網絡的安全可靠運行提供制度上的保障。

6 結語

隨著物聯網、智能制造等新技術在打葉復烤的應用，加工現場設備數字化、網絡化、智能化的加快發展，工控安全將面臨越來越多的挑戰。打葉復烤工控網絡安全與企業安全生產息息相關，加強相關網絡安全設施建設，提升工控安全信息系統的防護能力，對解決自動化、信息化、智能化融合中互聯網帶來的威脅具有重要意義，有利于助推企業高質量發展。

[1]張勇.卷煙生產企業網絡安全技術體系探究[J].科技創新與應用，2015（27）：94.

[2]梁琦.工業控制系統安全防護方案[J].電信科學，2018（04）：144-150.

[3]李偉.煙草商業物流工控安全體系研究[J].計算機產品與流通，2018（07）：274-275.

[4]周民軍.工控網絡現狀與安全分析[J].現代工業經濟和信息化，2017（15）：61-62.

[5]趙全洲，司成偉.淺談煙草行業工控網絡安全風險的威脅評估[J].通訊世界，2019（08）：63-65.

[6]GB 30976.1-2014《工業控制系統信息安全評估規范和驗收規范》[S].

[7]YC/T494-2014《煙草工業企業生產網與管理網網絡互聯安全規范》[S].