安全防护思路
通过以上对工业控制系统现状和安全风险分析,可以看到工业控制系统自身存在的脆弱性风险,而“两化融合”“全 球能源互联网”“智慧油田”等全新的概念结合工控系统自身的脆弱性,进一步加剧了的工业控制系统的安全风险。工 业控制系统安全是传统 IT系统安全的延伸,在工控系统的安全方法论
上可参考信息安全的方法论,但同时工业控制系 统又具有自身的特点,在属性上优先考虑可用性然后再考虑完整性和保密性。根据以上的特点,石油石化行业工业控制系统安全防护思路,主要从四个方面考虑工业控制系统安全问题。首先 各个工业控制系统的环境是不尽相同的,即使是同为油气田行业的不同分公司,所使用的架构和具体的工业控制系统也 是有很大区别的,在进行安全建设的前提下参照国际、国内相关的工业信息安全
风险评估技术标准要求及能源行业内对 工控评估的行业规范需要对具体的工业控制系统安全现状进行评估,根据评估结论提出有针对性的抵御安全威胁的防护 对策和整改措施,以防范和缓解信息安全风险,将风险控制在可接受的水平,最大限度地为保障工业控制系统安全提供 科学依据。 其次需要构建工控系统安全体系架构,对工业控制系统
进行纵向分区、横向分层,根据不同作业区域的功能与作 用不同,进行不同等级的有针对性的防护,达成安全防护重点突出,使安全防护资源得到合理分配,从而构建工控系统 安全防护架构,从根本上建立工业控制系统的安全基础。再次需要根据前两部的结论有针对性的做具体的安全防护工作,比如:系统主机安全、工业控制系统网络安全、 工业控制系统应用层安全、移动介质安全、运维安全、容灾备份体系等。
最后是对工业控制系统进行全面监控和审计,构建安全管理平台来对生产网中的链路、网络设备、服务器、存储、 负载均衡设备、防火墙、数据库、中间件、业务应用服务等的运行状态和指标参数进行实现实时数据采集和运行状态监控, 利用科学、高效的技术手段和已有的成功经验实现对工业控制系统的精细化、及时化、准确化的运维保障和管理。
烟草行业安全解决思路
2011 年,国家烟草专卖局印发了《国家烟草专卖局办公室关于卷烟工业企业信息化建设的指导意见》(国烟办综 [2011] 212 号 ),明确了构建智能化工厂、建设信息化企业的主要任务。各烟草工业企业在进一步构建一体化“数字烟草”, 推进烟草行业的“两化融合”过程中,以太网技术与工业控制网络技术的融合程度逐渐加深,工业控制网络和企业管理 网业务信息数据交换的关联性也越来越紧密,工业控制信息系统的机密性、完整性,特别是可用性保障问题也成为目前 需要解决的问题。
由于工业控制系统安全与传统的信息系统安全不同,它通常关注更多的是物理安全及生产设备功能的高可用性, 随着信息化与工业化技术的深度融合以及潜在网络威胁的影响,工业控制系统也将从传统的仅关注物理安全、功能高可 用性转向更为关注生产网中信息系统的安全,特别是工业控制系统安全。这种转变将在推动传统的烟草工业企业信息化 进程中产生较大的影响。
卷烟生产应用系统架构
参考《国家烟草专卖局办公室关于卷烟工业企业信息化建设的指导意见》(国烟办综 [2011] 212 号 ),适用于卷烟工 业企业生产管控的应用系统层次从上到下主要分为三层:管理协同层、生产执行层及工业控制层。共同构成卷烟工业企 业应用系统层次结构。
image
工业控制层
图13 卷烟工业生产应用系统层次结构
- 管理协同层 核心系统:企业资源计划系统(ERP)
卷烟工业企业生产应用系统结构层次结构中,管理协同层信息系统处于最上层,负责企业内部运营与管控,实现 工业企业与上下游企业业务协同。其关键应用系统是全面集成企业物流、信息流和资金流,为企业提供经营、计划、控 制与业绩评估的企业资源计划系统(ERP)。该系统使各烟草生产管理部门和生产执行部门之间信息通畅,形成一个有 机整体。实现生产管理信息和生产控制信息一体化管理,经营信息和生产信息一体化管理,设备资源和人力资源一体化 管理,达到对企业生产,经营管理各环节的有效控制和管理。
管理协同层其它应用系统可包含了许多子系统,如:生产管理、财务管理、质量管理、车间管理、能源管理、销售管理、 人事管理、设备管理、技术管理、综合管理等等,管理信息系统融信息服务、决策支持于一体。 - 生产执行层 核心系统:生产执行系统(MES)
生产执行层处于管理协同层和工业控制层之间,核心应用系统是生产执行系统(MES)。烟草工业企业生产过程中, MES 系统是生产自动化与管理信息化之间的重要桥梁,主要负责生产管理调度指挥和执行,烟草工业企业的 MES 系统 对上层生产计划管理是执行,对下层生产控制系统是调度指挥。它起到管理协同层和工业控制层数据双向通道的核心作 用。MES 的数据直接来源于生产过程控制系统(PCS),监控系统和数据采集系统采集的实时数据经过处理后,生成 生产过程信息,供 MES 系统使用。
MES系统负责生产作业计划制定、资源(人和设备等)优化调度、物料管理、生产质量、工艺控制、能源供应控制、 生产过程监控以及必要的数据信息转换等数据集成和应用。 - 工业控制层 核心系统:生产过程控制系统(PCS)
工业控制层处于最下层,直接面向烟机设备,负责采集各类卷烟生产设备自动化控制系统生成的实时生产数据, 接收生产执行系统下达的生产作业等控制指令。烟草工业生产控制系统是指生产车间的制丝生产线、卷接包机组、动力 能源中心、物流中心等生产系统,用来承载 MES(生产执行系统)。主要完成加工作业、检测和操控作业、作业管理 等功能。
卷烟生产过程控制系统主要有制丝集控系统、卷包数采系统、物流自动化系统、动力能源自动化系统。
- 烟草工业企业生产网架构 根据卷烟工业企业生产管控的应用系统层次,目前典型的卷烟工业企业生产网网络架构也是依据这三个层级来设
计和构架。
注:由于国内各卷烟生产企业之间的生产规模和信息化建设程度还存在一定的差距,部分卷烟生产企业已经实现了基于 ERP、MES 及 PCS 三层应用架构的生产管控一体化信息模型,基本实现了“两化融合”。而有部分卷烟生产企业管理协同层和生产执行层大部分功 能模块都集中在省级中烟工业公司,生产厂仅保有基本的工业控制层生产能力。
图14 典型烟草工业企业生产网网络架构示例
因此,根据前面卷烟生产应用系统三层架构及网络架构的描述,我们可以看出,要实现卷烟生产管理、执行与控 制的一体化,传统卷烟企业工业控制网络和企业管理网络的分离建设或者物理隔离的方式,已无法满足当前“两化融合” 的业务发展需求,为了提高卷烟生产企业高效的信息自动化水平,企业管理网络与生产控制网络之间的数据交换已经是 发展趋势,各生产车间卷烟生产线设备的生产数据信息需要实时传输到生产执行层和管理协同层,为管理者提供准确统 一的生产数据;同样,管理者可以通过对实时生产数据的分析,下发产生调度指令,实时调整生产计划,有效指导卷烟 生产线的生产活动。
烟草行业工业控制安全风险描述
2.6.3.1 网络与通信层面
- 安全域架构设计缺失
目前部分卷烟生产企业由于建厂时间较早,最初生产网网络规划设计的时候没有考虑网络互联互通产生的通信安 全问题,也没有考虑安全域的设计思路,或者安全域设计不合理,导致企业管理网与生产网之间,生产网内部各生产车 间中控之间,都缺失明确的安全边界的界定,内部数据的传输没有得到合理的访问控制,这可能会导致生产网及管理网 的业务系统、生产系统、工业控制系统和生产数据未经授权的访问、病毒感染,生产业务拒绝式服务攻击等安全风险。
而近几年,随着部分卷烟生产企业技改项目,生产网网络架构重新规划设计,安全域的理念已经被广泛应用,但 仅限于考虑到生产网与管理网的安全隔离要求,而对于生产网内部生产执行层安全域的划分仍然不全面。生产网内部不 同生产区域之间的安全防御机制没有建立起来,容易造成某一生产系统遭受到攻击很快就会扩散到整个生产网内部当 中。 - 生产网与管理网之间安全隔离机制不合理
管理网办公人员需要了解底层生产设备的运行状态信息,及时掌握生产工艺各流程的运行状况、工艺参数的变化、 实现工艺的过程监与控制;所以需要通过 MES 系统对生产控制系统进行管理。在这个过程中,多数卷烟生产企业都 没有严格且有效的安全管理机制,以防止管理网对生产控制系统的非授权访问和滥用(如业务操作人员越权操作其他业 务系统)、失误操作、篡改指令、违规操作等行为。
目前,在网络建设中已经考虑到生产网与管理网之间需要安全隔离机制的卷烟生产企业,隔离或访问控制机制一 般有以下三种方式:
\1) 服务器双网卡访问控制
管理网 生产网
图15 服务器双网卡访问控制示意图
该访问控制机制是通过在数据采集服务器或 OPC 服务器安装双网卡,一块网卡与管理网通讯,另一块网卡与生产网通讯, 两块网卡不在同一网段,并在服务器(以及生产执行层前端交换设备)设置访问控制策略对管理网和生产网进行隔离。
使用双网卡隔离的方式,由于数据采集服务器或 OPC 服务器同时存在于生产网和管理网,会存在未经授权的访问和数据从 生产网和管理网相互传递的风险。
另外,采用双网卡的数采服务器或 OPC 服务器本身已经暴露在管理网(可能连接互联网),存在被扫描和攻击的风险,而 该服务器又与内部生产网是互通的,如果该服务器在管理网中病毒,则会传播到生产网工业控制系统当中,直接影响到生产业务。
- 交换设备访问控制
管理网 生产网
图16 交换设备访问控制示意图
该访问控制机制仅通过连接管理网与生产网的交换设备,配置 ACL访问控制策略来规定需要限制哪些人员角色可以直接访 问生产网设备。一般来说,只有指定的网络管理员应该能够直接访问这些设备。
尽管一些交换设备也支持类似防火墙 ACL访问控制列表这样的控制过滤功能,但它并不具备专业防火墙针对网络攻击进行 防御的功能,而且还不具备动态的包过滤,因此如果采用交换设备来替代防火墙等专业安全隔离设备,存在被攻击和入侵的风险 依然很高。 - 防火墙访问控制
管理网 生产网
图17 防火墙访问控制示意图
目前一些网络结构规划较为完善的卷烟生产企业已经建设了管理网与生产网之间的安全隔离机制,多数都是采用专业防火墙 进行访问控制与攻击防御。但对于防火墙安全策略的配置没有依据统一的规范和标准进行,有些传统防火墙仅支持访问控制及包 过滤功能,并不能实现安全审计、恶意行为识别等功能,甚至不能支持基于工业以太网控制协议(如 OPC、ProfiNet/ProfiBus、 ModBus 等)的数据包识别。因此,这种方式的隔离是不够全面的。
- 控制指令数据通信明文传输
目前多数卷烟生产企业均没有针对数据传输的加密机制。不管是管理网内部数据通讯,还是生产网内部通讯,以 及管理网 PC 与生产网数采服务器之间通讯、上位机与 PLC控制器的通讯之间都是明文数据传输。特别是目前常见的 工业控制协议来控制生产设备时传输的各种指令信息都是采用明文方式(如 ProfiNet/ProfiBus、ModBus、DNP3 等), 易被攻击者窃听和解析。 - 生产网无线网络管控机制缺失或不完善
由于多数卷烟生产企业在设计网络架构的初期,并没有考虑到无线网络将在卷烟生产过程中的广泛应用,因此也 没有针对于无线网络的统一部署和管控。而在车间内部通常由于生产业务需要,会采用无线网络接入技术作为现有生产 网络的延伸。然而在搭建无线网络的时候,往往仅考虑生产业务的可用性,而针对无线客户端和接入点的安全认证措施 往往都被忽略(甚至存在免密码直接接入生产网),这样生产网无形当中多了一条对外的不安全网络出口,安全隐患极大。
另外很多卷烟生产企业都已经广泛应用了 AGV无线引导小车,特别是在卷包车间及物流车间。AGV无线引导小车 通讯系统由无线 AP、上位机组态软件、车载 PLC三部分组成。控制端与车载 PLC之间通讯网络采用无线通信,通过 无线 AP 与小车车载的 PLC进行连接。而该无线通讯协议通常是已被泛应用的 802.11 b/g/n 协议,该无线网络也就是 我们常见的 WiFi网络。
如果生产网无线客户端和接入点之间无任何身份认证机制,使得该无线接入点很容易被恶意接入,攻击者将通过 无线网络毫无阻拦的直接连接到生产网络,甚至可以直接对控制器(PLC)下达运行指令,将严重影响到安全生产。 - 网络设备安全性配置不完善
生产网的网络设备大多是由车间系统管理员管理(非安全管理员),网络设备配置基本都是保持出厂默认。存在 很高的网络设备被未授权访问或被攻击的风险。甚至造成生产网络的瘫痪。 - 工业控制安全审计机制缺失
没有对工业控制网日常运行维护人员的操作行为进行统一运维审计管理,对于人为原因造成的卷烟生产业务异常 事件无法溯源,也无法找到事件发生根本原因,最终无法对事件进行定性分析。
2.6.3.2 控制器、主机及应用层面 - 工业控制系统(PLC、RTU )自身存在大量漏洞
目前烟草行业工业控制系统使用比较主流的品牌是 Siemens S7 系列 PLC、Rockwell AB PLC 以及 GE PLC,依据 绿盟科技去年发布的《2014 年工业控制系统安全研究与实践报告》的描述,工业控制系统公开漏洞所涉及的工业控制 系统厂商占比中,Siemens(28%)、通用电气 GE(7%)与 Rockwell(5%)三者漏洞数总共超过 40%。
2014 年度新增漏洞按照可能引起的攻击威胁分类的统计及占比分析结果中可以看出,可引起业务中断的拒绝服务 类漏洞占比最高 (约 33%),这对强调业务连续性的卷烟生产业务来说不是一个好消息。而位居其次的是缓冲区溢出类 漏洞,其占比也高达 20%;从侧面说明工控软件企业在软件开发的编码阶段缺乏严格的编程规范要求,从而造成这类 漏洞占比较高的原因。当然占比较高的可造成信息泄露、远程控制及权限提升类的漏洞也必将是攻击者最为关注的,利 用他们可以窃取卷烟生产企业的生产计划、工艺流程等敏感信息,甚至获得工控系统的控制权,干扰、破坏卷烟生产业 务的正常生产或运营活动。
公开漏洞涉及工业控制系统厂商(Top 10) 漏洞的威胁分类及占比
图18 绿盟科技2014年工业控制系统安全研究与实践报告 - 关键生产设备 HMI 身份认证机制不完善
部分卷烟生产企业生产车间工业控制系统 PLC前端现场操控触摸屏 HMI是登陆身份认证机制不完善,弱口令情况 普遍存在,甚至还有无认证机制完全开放的运行状态,同时缺失监管及监控机制,导致相关联的生产设备有可能被越权 操作。 - 工程师站、操作员站和监控终端缺乏安全加固机制
一般在卷烟生产企业,工程师站、操作员站以及监控终端均为 Windows 系统,运行多年没有系统打补丁机制。由 于操作员站计算机可以直接向工业控制系统下达生产指令、监控生产设备状态,系统存在大量安全漏洞有可能导致被攻 击的风险大大增加(如获取权限后,可以任意下达控制指令)。 - 关键生产设备组件、工程师站、操作员站及监控终端远程运维操作
对于关键工业控制系统 PLC的运维、检修工作,一般都是本地化操作,但是部分生产企业安全隔离机制不完善, 导致具备被远程访问操作的可能性。比如使维护工程师和厂商获得远程访问系统的能力,应该加以安全控制,以防止未 经授权的个人,通过远程访问接入到生产网。
(在某卷烟厂,车间系统管理员为了 PLC设备检修的便利性,通过生产网操作员站计算机违规连接互联网,并通 过 QQ 远程支持功能,允许 PLC原厂工程人员远程接入生产网操作员站,对 PLC直接进行设备维修操作。)
另外,对于工程师站、操作员站及监控终端,原则上都应在中控室本地访问操作,应禁止远程操作运维管理。但 多数企业终端远程桌面端口 3389 并没有被关闭,也存在为了日常运维的便利性采用远程登录操作的情况。该运维方式 容易被攻击者获取系统最高权限,对控制器(PLC)下发任意指令,会对生产设备发起恶意攻击。 - 工程师站、操作员站及生产网业务系统服务器缺乏恶意代码的检测机制
在部分卷烟生产企业,由于工程师站、操作员站和监控终端计算机工业控制应用软件与防病毒软件存在兼容性问题, 因此不安装,给病毒与恶意代码传染与扩散留下了空间。
而对于数采服务器和 Web 发布服务器,由于担心影响到生产可用性,也存在未安装防病毒软件的现象。即便部署 了防病毒软件,病毒库也常年未更新。
(在某卷烟厂,已经发生过制丝和卷包车间发生过因病毒导致生产业务服务器、数采服务器等全部中断服务,所 有服务器只能重装系统的事件。) - 工程师站、操作员站和监控终端系统身份认证机制不完善
部分卷烟生产企业为了日常运维的便利性,中控室操作员站及监控终端都采用公用账号(甚至是系统默认账号), 且系统操作界面长期处于开放状态,没有配置登陆超时锁定功能。导致进出中控室的所有人员都可以对其进行操作,可 能存在被无关人员访问操作员站进行未授权操作的安全风险。相当于对车间 PLC控制器可随意操作,且发生安全事件 无法追溯责任人。 - 生产网 IP 地址网段划分不合理
部分卷烟生产企业生产网办公计算机与生产业务服务器规划在同一 IP地址与生产业务服务器 IP地址冲突,导致系统中断的安全风险。
(在某卷烟厂,由于外来人员因为私设 IP地址,造成与某生产设备的 - 生产网移动设备管控措施不完善
部分卷烟生产企业针对工业控制网络生产设备,没有采用物理封闭 介质管控机制不完善,导致生产网存在被病毒感染的安全风险。
�IP网段,导致有可能出现生产网第三方计算机 IP地址冲突,导致该生产线发生中断故障。)
USB接口的机制,且生产网员工 USB移动存储
另外,不安全的移动维护设备(比如笔记本等)的未授权接入,也会造成木马、病毒等恶意代码在生产中的传播。 - 业务系统(如 MES)、数据库账户权限设置不合理
生产执行系统(MES)作为卷烟生产企业核心业务系统,系统登陆账户都是根据员工岗位区分角色及系统权限。 但是多数卷烟生产企业员工权限申请流程执行不好,比如车间员工电话向信息管理部门系统管理员申请,系统管理员联 系厂家现场运维人员更改账号权限。缺失申请审批记录。也有车间员工直接向业务系统原厂运维人员电话申请,无需任 何流程确认审批,权限即刻开通。这样对于卷烟生产业务会造成极大的安全隐患。
另外对于生产车间数采服务器,部分企业未区分登陆账号划和权限,或者登录账号和初始密码都是默认账号,并 且没有设置密码保护策略。攻击者可获得数据库权限,可任意破坏、篡改生产数据库。 - 关键设备的配置文件没有存储备份措施
对于生产网中关键设备配置文件没有进行存储与备份机制,无法防偶然事故的发生,比如防止员工误操作,或者 攻击者对配置文件进行更改,造成生产业务中断或生产数据的丢失。
2.6.3.3 管理制度及组织层面 - 工业控制系统专职 / 兼职信息安全人员缺乏 一般在卷烟生产企业车间中都有系统管理员,兼职信息安全管理员。
由于工业控制系统运维与传统信息系统运维在各卷烟生产企业往往不属于同一个责任部门,他们所面对的岗位职 责也不相同。工业控制系统的安全运行由相关的生产部门负责,信息部门仅处于从属的地位。随着信息化与工业化技术 的深度融合以及潜在网络威胁的影响,工业控制系统也需要从传统的仅关注物理安全、生产业务安全转向更为关注信息 系统安全。 - 关键生产岗位人员工控安全知识培训不足
多数参与工业控制系统日常运维的车间系统管理员,一般只进行全员安全意识培训,缺乏针对生产网相关人员工 业控制系统安全风险的培训,这些关键岗位人员也很少去关注工业控制系统的安全性,日常工作仅仅是保障系统的可用 性。 - 工业控制系统的应急保障机制缺失
一般卷烟生产企业只有针对预知的事件发布预案(如车间停电、停气等预案)。缺失针对突发安全事件而导致生 产业务受到影响的应急预案。比如生产网基础设施关键软硬件故障发生,生产业务可能会造成业务中断和生产数据丢失。 - 工业控制系统配套操作指南、故障快速恢复指南未合理保存
工业控制系统设备操作指南、故障快速恢复指南等重要文档应当及时更新并保持随时可用,这些操作指南都是卷 烟生产业务发生故障时完成恢复所必须的组成部分。
但是多数卷烟生产企业工业控制系统及相应生产线已经运行很多年,最初的原厂的操作指南、故障快速恢复指南 早已丢失;有的企业没有完善的关键文档保存机制,导致遇到突发事件也无法快速找到相应的指导手册。
