淺談卷煙廠制絲中控網絡安全體系構建

溫運嶺 穆金麗

摘要：隨著工業互聯網時代的到來，現代卷煙工業企業兩化融合程度也越來越高，在卷煙生產過程中廣泛使用到各類工業控制系統，因此有強烈的工控網絡安全防護需求。目前，如何構建一個安全高效、穩固可靠的工控網絡體系，成為現代卷煙工業企業安全防護的基礎和前提。本文結合制絲車間中控系統實際需求，提出了相關的安全防護措施，進一步為卷煙廠的安全生產運營保駕護航。

關鍵詞：工業控制網絡;網絡安全;制絲中控

制絲中控系統作為制絲生產過程的核心系統，主要負責制絲車間的生產控制任務，并對制絲過程中的設備運行、工藝質量進行監控，是保證制絲工藝質量和正常生產的根基。一旦網絡被無意或惡意攻擊或病毒入侵將嚴重影響企業生產運營與管理效率，因此構建網絡安全體系，保障企業安全穩健的發展顯得尤為重要。

1部署工業防火墻

依據“安全分區、縱深防護、統一監控”的網絡安全防護原則。在廠級網絡及制絲中控室管理交換機之間部署工業防火墻，做到區域隔離，配置工業防火墻，防止未授權的網絡連接對制絲線局域網的侵害。

1）訪問控制

工業防火墻在工控協議方面做了深度的解析，可以對操作人員和外網非法訪問進行基于IP、MAC、工控協議或任意組合方式的訪問進行控制，另外，用戶可以根據具體需求設置更細粒度的策略，如對某個工控協議的只讀、讀寫或者禁用，防止數據被篡改或信息外泄。支持通用防火墻會話狀態檢測、包過濾機制及工控協議的深度訪問控制，阻止各類非授權訪問行為。

2）惡意攻擊

由于工控網絡的封閉性和工控網絡中運行的軟件和程序一般情況下都是很固定的，基于工控網絡的這一特點，在工業防火墻上啟用白名單功能，將工控網絡中可信的軟件或程序放入白名單，只有白名單中的軟件或程序才能被安裝和運行，可以有效阻止惡意病毒和木馬的入侵或非法程序的運行。工業防火墻可以進行正常通信行為建模，通過對正常通信行為學習后，對工控指令攻擊、控制參數修改、病毒和蠕蟲等惡意代碼等攻擊行為進行有效防護，減少惡意攻擊行為給工業控制系統帶來的安全風險。

3）DoS攻擊防護

工控系統對網絡的實時性和響應速度有很高的要求，為了保證工控系統的可用性和高效性，在工業防火墻上開啟異常報文檢測與異常流量檢測功能，防止land攻擊、Teardrop攻擊、Ping of death以及各種Flood攻擊導致的網絡或工控系統的癱瘓。

4）重點設備的安全防護

通過在重點工控設備前加裝工業防火墻，通過工業防火墻的工控協議深度解析及“白名單”安全管理機制，充分保護重要工控設備的信息安全，提升整個工業控制系統的安全防護等級。

2部署安全防護軟件

在中控計算機、服務器、工程師站、現場工控機上部署主機安全防護軟件。通過設置實現以下功能。

1）阻止惡意代碼的執行和擴散

可以有效阻止“白名單”外的程序及病毒、木馬、蠕蟲、等惡意代碼的執行，進而有效避免系統感染震網病毒、Flame、Havex、BlackEnergy等工控惡意代碼。如果在工業控制系統中有一臺設備被惡意病毒感染并通過網絡擴散到其它主機后，在部署了工控主機衛士的主機上通過白名單功能就可以阻止病毒的運行，進而保護主機的運行安全。

2）網絡白名單

針對工作站、服務器等設備進行網絡白名單配置管理，包括開啟SYN攻擊防護（Windows系統專有）和配置防火墻、添加配置控制程序連接（Windows系統專有）以及TCP或UDP端口連接的規則，最大限度保護工作站、服務器等設備的安全。

3）主機監控管理

開啟主機白名單安全防護，使工控網絡中的上位機、服務器等抵御木馬、工控病毒等惡意程序的攻擊。對白名單外的惡意代碼、違規操作進行告警及記錄;對人員未授權安裝軟件進行告警;對普通U盤以及安全U盤的違規使用告警;支持注冊表、配置文件和操作系統文件破壞告警。

4）安全基線管理

對工作站、服務器等設備進行基線配置管理，包括賬戶策略、審核策略、安全選項、IP安全、進程審計、系統日志等。通過開啟密碼復雜度、強制密碼歷史、關閉guest賬戶（Windows系統專有）、開啟系統和賬戶審核、關閉默認共享（Windows系統專有）、進行進程審計等措施最大限度保護工作站、服務器等設備的安全。

3部署統一安全管理平臺

建設統一安全管理平臺對工業防火墻、工業主機安全防護軟件等產品進行統一管理。實現對工控系統中的網絡設備、主機設備、應用系統、安全設備進行集中運維管理，實現安全策略的統一配置及下發、設備運行狀況的全面監控、安全事件的實時告警，日志的收集、處理及分析，有助于降低運維成本、提高事件響應效率。

1）安全產品集中管理

對工控網絡中的工業防火墻、工控安全監測與審計系統、工控主機衛士、主機安全加固系統等安全產品進行集中管理，包括安全策略配置、設備狀態監控、網絡拓撲管理等。

2）高速率加密傳輸通道

采用私有加密方式進行通信，防止數據包遭到惡意截取或篡改，有效保障數據的有效性和安全性。

3）全面的安全日志審計

全面記錄工業網絡中的主機安全日志、網絡異常攻擊監測日志、網絡攻擊防護日志、工業網絡會話信息，同時保留攻擊發生時的原始報文信息，便于安全事件的追溯和調查取證。

4）安全日志關聯分析

對工控網絡中的安全日志（如：攻擊日志、流量日志、訪問日志、主機日志、系統日志）進行匯總、關聯分析并形成報告，為工控網絡安全事件分析和調查取證提供依據。

結束語

本文針對制絲中控網絡安全問題提出了相應的防護措施，即采取部署工業防火墻、部署安全防護軟件、部署統一安全管理平臺等，為進一步提高制絲中控系統網絡安全水平，促進卷煙工業安全防控體系構建，保障企業安全生產運營提供了堅實根基。

參考文獻

[1]趙全洲，司成偉.淺談煙草行業工控網絡安全風險的威脅評估[J].通訊世界，2019，26（8）：63-65.

[2]吳莉.淺談煙草行業網絡安全及其防范策略[J].計算機光盤軟件與應用，2012（5）：116-117.

[3]許新鋒.工業控制系統網絡安全等級保護的建設[J].中小企業管理與科技，2020（7）：112-113