摘要：本文提出一種適用于煙草行業(yè)的工控系統(tǒng)安全監(jiān)測(cè)與管控方案，通過(guò)將安全監(jiān)測(cè)系統(tǒng)和安全防護(hù)網(wǎng)關(guān)進(jìn)行有機(jī)聯(lián)動(dòng)，識(shí)別并預(yù)測(cè)工控系統(tǒng)攻擊異常事件，并自動(dòng)生成針對(duì)該攻擊異常事件的處理規(guī)則。同時(shí)，防護(hù)網(wǎng)關(guān)運(yùn)用該規(guī)則實(shí)現(xiàn)異常攻擊行為的阻斷，大大增強(qiáng)了工控系統(tǒng)安全防護(hù)的可操作性，使異常攻擊事件得到及時(shí)的響應(yīng)與處理，提升煙草行業(yè)工控系統(tǒng)安全防護(hù)與預(yù)警能力，保障安全穩(wěn)定運(yùn)行。

關(guān)鍵詞：煙草行業(yè)；監(jiān)控系統(tǒng)；工控協(xié)議；安全旁路采集；實(shí)時(shí)監(jiān)測(cè)；管控

Abstract: This paper proposes a solution of security monitoring and control for the industrial control system in tobacco industry. By organically linking the security monitoring system with the security protection gateway, the abnormal attack events of industrial control system can be identified and predicted, and the processing rules for the abnormal attack events can be automatically generated. At the same time, the protection gateway uses this rule to block the abnormal attack, which greatly enhances the operability of the security protection of industrial control system, and makes the abnormal attack events  be timely responded to and handled. The ability of the security protection and early warning of the industrial control system in tobacco industry is improved, and the safe and stable operation is guaranteed.

Key words: Tobacco Industry; Monitoring system; Control protocol; Security by-pass grafting; Real time Monitoring; Management and control

1 引言

隨著網(wǎng)絡(luò)和信息技術(shù)的迅猛發(fā)展，網(wǎng)絡(luò)已經(jīng)覆蓋能源、電力、交通、金融、電信和煙草等重要行業(yè)和核心領(lǐng)域，在促進(jìn)技術(shù)創(chuàng)新、經(jīng)濟(jì)發(fā)展的同時(shí)，網(wǎng)絡(luò)安全問(wèn)題日益凸顯，已經(jīng)成為關(guān)系國(guó)家安全和社會(huì)安全的重大問(wèn)題。在煙草行業(yè)，尤其是煙草打葉復(fù)烤生產(chǎn)線，由預(yù)處理、葉梗分離、葉烤、烤梗、除塵段等共同組成煙葉生產(chǎn)流水線，整條生產(chǎn)線設(shè)備繁多，分散，分布時(shí)變參數(shù)多，信息交互量大，根據(jù)打葉復(fù)烤生產(chǎn)線特點(diǎn)及控制要求，國(guó)內(nèi)普遍采用PC+Ethernet+PLC+FCS模式構(gòu)建SCADA系統(tǒng)，實(shí)現(xiàn)復(fù)烤生產(chǎn)線的實(shí)時(shí)監(jiān)控。大部分煙草企業(yè)的工業(yè)控制系統(tǒng)安全防護(hù)建設(shè)已按照行業(yè)標(biāo)準(zhǔn)進(jìn)行搭建，但在實(shí)際運(yùn)行中仍存在跨網(wǎng)運(yùn)維、違規(guī)外聯(lián)互聯(lián)網(wǎng)、工控交換機(jī)拒絕服務(wù)、關(guān)鍵設(shè)備脆弱口令、病毒攻擊、異常報(bào)文等非常典型的安全問(wèn)題。

針對(duì)工業(yè)控制系統(tǒng)安全，目前存在安全監(jiān)測(cè)和安全防護(hù)兩種解決方案。

（1）安全監(jiān)測(cè)。基于流量旁路采集，使用協(xié)議深度解析技術(shù)（DPI），結(jié)合工控病毒庫(kù)、攻擊特征庫(kù)以及工控基線規(guī)則等配置，通過(guò)關(guān)聯(lián)分析實(shí)時(shí)發(fā)現(xiàn)針對(duì)PLC、DCS等重要工業(yè)控制系統(tǒng)的攻擊和破壞行為，以及病毒、木馬等惡意軟件的擴(kuò)散和傳播行為，為工業(yè)控制網(wǎng)絡(luò)安全事件調(diào)查提供依據(jù)。由于采用旁路方式部署，對(duì)生產(chǎn)過(guò)程“零影響”。

（2）安全防護(hù)。基于協(xié)議深度解析技術(shù)和工控連接黑白名單規(guī)則，阻斷一切非法訪問(wèn)，僅允許可信的流量在網(wǎng)絡(luò)上傳輸。為工控網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)、工控網(wǎng)絡(luò)內(nèi)部區(qū)域之間的連接提供安全保障。

安全監(jiān)測(cè)用于識(shí)別并檢測(cè)工控系統(tǒng)異常攻擊行為，而安全防護(hù)用于對(duì)發(fā)現(xiàn)的異常攻擊行為進(jìn)行阻斷，實(shí)時(shí)性要求更高，然而分析的范圍相對(duì)監(jiān)測(cè)系統(tǒng)要窄，而且其工控訪問(wèn)規(guī)則配置專(zhuān)業(yè)性要求很高，實(shí)施操作困難，如果規(guī)則配置簡(jiǎn)單，達(dá)不到安全防護(hù)的目的，而規(guī)則配置復(fù)雜，對(duì)正常管理與產(chǎn)生業(yè)務(wù)又會(huì)造成影響。針對(duì)以上情形，本文提出一種煙草行業(yè)工控系統(tǒng)安全監(jiān)測(cè)與管控方案，通過(guò)將安全監(jiān)測(cè)系統(tǒng)與安全防護(hù)網(wǎng)關(guān)等進(jìn)行有機(jī)結(jié)合并聯(lián)動(dòng)，通過(guò)安全監(jiān)測(cè)系統(tǒng)進(jìn)行多層次異常攻擊分析，運(yùn)用回歸預(yù)測(cè)算法，識(shí)別并預(yù)測(cè)工控系統(tǒng)攻擊異常事件，并自動(dòng)生成針對(duì)該攻擊異常事件的處理規(guī)則，發(fā)送給安全防護(hù)網(wǎng)關(guān)，網(wǎng)關(guān)防護(hù)網(wǎng)關(guān)運(yùn)用該規(guī)則實(shí)現(xiàn)異常攻擊行為的阻斷，提升煙草行業(yè)工業(yè)控制系統(tǒng)安全防護(hù)與預(yù)警能力，保障其安全穩(wěn)定運(yùn)行。

2 方案設(shè)計(jì)

為保障煙草行業(yè)工控生產(chǎn)系統(tǒng)穩(wěn)定安全運(yùn)行，其控制設(shè)備網(wǎng)絡(luò)通常采用冗余環(huán)網(wǎng)技術(shù)和冗余供電系統(tǒng)，如圖1所示。

圖1  打葉復(fù)烤廠網(wǎng)絡(luò)拓?fù)涫疽鈭D

為實(shí)現(xiàn)對(duì)圖1所示煙草工控系統(tǒng)的全面安全監(jiān)測(cè)與管控，本系統(tǒng)需在預(yù)處理、葉梗分離、葉烤、烤梗、除塵等各個(gè)生產(chǎn)線均部署工控安全采集探針和工控安全網(wǎng)關(guān)，在管理端部署工控安全監(jiān)測(cè)平臺(tái)。工控安全采集探針包含兩路網(wǎng)口，一路用于旁路采集工控監(jiān)控系統(tǒng)網(wǎng)絡(luò)通信流量，一路用于工控安全監(jiān)測(cè)平臺(tái)的通信，并可以根據(jù)工控安全監(jiān)測(cè)平臺(tái)的指令，將工控安全訪問(wèn)控制列表下發(fā)給工控安全網(wǎng)關(guān)，實(shí)現(xiàn)工控安全監(jiān)測(cè)和工控安全防護(hù)的聯(lián)動(dòng)，部署架構(gòu)如圖2所示。

圖2  煙草行業(yè)工控系統(tǒng)安全監(jiān)測(cè)與管控系統(tǒng)部署圖

煙草行業(yè)工控系統(tǒng)安全監(jiān)測(cè)與管控系統(tǒng)包括數(shù)據(jù)采集、安全監(jiān)測(cè)與預(yù)警，以及安全管控三個(gè)部分的功能，數(shù)據(jù)采集功能由工控?cái)?shù)據(jù)采集探針完成；安全監(jiān)測(cè)與預(yù)警功能由工控安全監(jiān)測(cè)平臺(tái)完成；安全管控功能由工控安全網(wǎng)關(guān)完成。

圖3  煙草行業(yè)工控系統(tǒng)安全監(jiān)測(cè)與管控系統(tǒng)功能架構(gòu)

（1）數(shù)據(jù)采集

工控系統(tǒng)數(shù)據(jù)采集可以根據(jù)現(xiàn)場(chǎng)工控網(wǎng)絡(luò)實(shí)際環(huán)境的不同，采用較為成熟的交換機(jī)端口鏡像、分流和分光等多種旁路采集技術(shù)實(shí)現(xiàn)。

· 交換機(jī)端口鏡像。如果被采集點(diǎn)的核心交換機(jī)可提供端口鏡像功能，可把要監(jiān)控的端口流量都匯聚鏡像到一個(gè)空閑口，再將匯聚口接入到流量采集分析探針，該種方式可以操作好，對(duì)生產(chǎn)過(guò)程“零影響”。

· 分流。對(duì)于基于網(wǎng)線傳輸?shù)牧髁浚梢允褂肨AP分流設(shè)備對(duì)通過(guò)網(wǎng)線傳輸?shù)牧髁窟M(jìn)行分流處理，將原有的電信號(hào)流量分成完全相同的若干份，不影響原有業(yè)務(wù)。高端TAP設(shè)備還具備把若干根網(wǎng)線的流量匯聚成一個(gè)口輸出的能力，并保證不丟包。

· 分光。對(duì)于基于光纖傳輸?shù)牧髁浚珉娦藕诵木W(wǎng)、工業(yè)控制環(huán)網(wǎng)，可以通過(guò)分光器進(jìn)行流量分流，這種技術(shù)可以保證將原有的光信號(hào)流量分成完全相同的若干份，不影響原有業(yè)務(wù)，同時(shí)流量分析系統(tǒng)可以同時(shí)接收到完全相同的流量進(jìn)行同步分析。

通過(guò)以上方式，數(shù)據(jù)采集可獲到各種關(guān)鍵監(jiān)控點(diǎn)的原始流量，并不會(huì)影響原有業(yè)務(wù)。

（2）安全監(jiān)測(cè)與預(yù)警

安全監(jiān)測(cè)與預(yù)警包括協(xié)議深度解析、異常攻擊識(shí)別與預(yù)警和安全訪問(wèn)規(guī)則生成與下發(fā)等功能。

· 協(xié)議深度解析。對(duì)于采集的工控網(wǎng)絡(luò)通信數(shù)據(jù)，使用傳輸端口、協(xié)議特征等多種方式進(jìn)行快速協(xié)議識(shí)別并高速實(shí)時(shí)解析。協(xié)議深度解析支持高速識(shí)別與解析OPC-DA、OPC-UA、Modbus-TCP、Siemens-S7、Profinet和Ethernet/IP等煙草行業(yè)典型應(yīng)用工控協(xié)議，并支持到報(bào)文類(lèi)型、子類(lèi)型、指令、變量和值級(jí)別，便于進(jìn)行變量閾值的檢查和正常行為的建模。

·  異常攻擊識(shí)別與預(yù)警。基于對(duì)工控協(xié)議的通信報(bào)文進(jìn)行采集與深度解析，利用基于攻擊特征與基于行為異常的檢測(cè)方式，對(duì)當(dāng)前工控系統(tǒng)通信中含有明顯惡意特征或偏離正常行為基線較遠(yuǎn)的流量進(jìn)行監(jiān)測(cè)并告警。可識(shí)別病毒攻擊、拒絕服務(wù)攻擊、旁路控制、異常指令操作、跨網(wǎng)運(yùn)維、違規(guī)外聯(lián)互聯(lián)網(wǎng)、異常工控協(xié)議報(bào)文、敏感信息明文傳輸、脆弱口令、未知設(shè)備接入和異常連接等異常攻擊行為。使用回歸預(yù)測(cè)算法，對(duì)工控操作數(shù)據(jù)和工控流量運(yùn)行預(yù)測(cè)分析，可描繪工控安全生產(chǎn)態(tài)勢(shì)，實(shí)現(xiàn)安全生產(chǎn)故障預(yù)警功能。

· 安全訪問(wèn)規(guī)則生成與下發(fā)。基于異常攻擊識(shí)別與預(yù)警分析的結(jié)果，對(duì)于異常攻擊行為，綜合分析其攻擊路徑選擇與攻擊手段，自動(dòng)生成抑制并阻斷該種異常攻擊行為的訪問(wèn)控制列表，該列表包含三層IP訪問(wèn)控制列表，工控控制指令訪問(wèn)規(guī)則列表和工控操作數(shù)據(jù)閾值列表等。

（3）安全管控

在病毒攻擊檢測(cè)、網(wǎng)絡(luò)攻擊檢測(cè)的基礎(chǔ)上，對(duì)工控網(wǎng)絡(luò)流量進(jìn)行實(shí)時(shí)解析，加載工控安全監(jiān)測(cè)平臺(tái)的安全訪問(wèn)規(guī)則，實(shí)時(shí)阻斷異常攻擊行為，實(shí)現(xiàn)煙草工控生產(chǎn)系統(tǒng)的操作指令和操作數(shù)據(jù)的協(xié)議級(jí)實(shí)時(shí)管控。對(duì)于工控生成影響比較大的訪問(wèn)控制規(guī)則，可按配置，要求管理員或安全專(zhuān)家確認(rèn)后，才能生效，在降低安全訪問(wèn)網(wǎng)關(guān)實(shí)施操作難度的同時(shí)，可大大減少因?yàn)槿斯ふ`操作的策略配置而導(dǎo)致的工控生產(chǎn)事故的發(fā)生。

3 結(jié)語(yǔ)

目前傳統(tǒng)的防火墻、網(wǎng)閘等安全防護(hù)產(chǎn)品的安全策略需手動(dòng)配置與更新，且專(zhuān)業(yè)性強(qiáng)，難度高，更新慢，難以達(dá)到安全管控且不影響工控生成的效果。本文針對(duì)煙草行業(yè)工控系統(tǒng)安全監(jiān)測(cè)與防護(hù)技術(shù)的研究，提出旁路安全監(jiān)測(cè)預(yù)警與串行安全防護(hù)兩種機(jī)制進(jìn)行有機(jī)結(jié)合并實(shí)現(xiàn)聯(lián)動(dòng)的安全監(jiān)測(cè)管控方案，使工業(yè)控制系統(tǒng)異常攻擊行為得到快速的抑制進(jìn)而達(dá)到阻斷的效果，通過(guò)安全監(jiān)測(cè)平臺(tái)自動(dòng)生成安全訪問(wèn)規(guī)則策略，大大增強(qiáng)了工控系統(tǒng)安全防護(hù)的可操作性和時(shí)效性，使異常攻擊事件得到及時(shí)的響應(yīng)與處理，提高了煙草行業(yè)工控系統(tǒng)安全防護(hù)與預(yù)警能力，保障工控生產(chǎn)安全穩(wěn)定運(yùn)行。

本方案基于工控協(xié)議深度解析實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)環(huán)境的安全監(jiān)測(cè)與管控，部署方便靈活，可操作性良好，擴(kuò)展性強(qiáng)，適用于打葉復(fù)烤、制絲、卷接包和煙草薄片等煙草領(lǐng)域各個(gè)工控生產(chǎn)環(huán)節(jié)，其中關(guān)鍵技術(shù)也可逐步拓展應(yīng)用到石油、化工、交通等其他關(guān)鍵信息基礎(chǔ)實(shí)施保護(hù)領(lǐng)域，具有廣闊應(yīng)用前景。

作者簡(jiǎn)介：

文雅玫（1984-）女，湖南長(zhǎng)沙人，博士，現(xiàn)任湖南省煙草專(zhuān)賣(mài)局（公司）工程師，在湖南煙葉復(fù)烤有限公司從事煙草行業(yè)網(wǎng)絡(luò)安全和項(xiàng)目管理工作。

李建強(qiáng)（1983-），男，陜西寶雞人，碩士，國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心工程師，在工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全應(yīng)急技術(shù)工信部重點(diǎn)實(shí)驗(yàn)室主要從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護(hù)研究工作。

謝博文（1989-）男，瑤族，湖南永州人，本科，湖南煙葉復(fù)烤有限公司郴州復(fù)烤廠助理工程師，主要研究方向?yàn)楣I(yè)控制系統(tǒng)網(wǎng)絡(luò)安全。

資　捷（1979-）男，湖南耒陽(yáng)人，本科，工程師，現(xiàn)任湖南煙葉復(fù)烤有限公司網(wǎng)絡(luò)安全與信息技術(shù)員，主要研究方向?yàn)橛?jì)算機(jī)應(yīng)用和網(wǎng)絡(luò)安全。

吳秋果（1983-）男，湖南汨羅人，碩士，工程師，現(xiàn)任湖南煙葉復(fù)烤有限公司網(wǎng)絡(luò)安全與信息技術(shù)員，主要研究方向?yàn)檐浖こ獭?br/>

摘自《自動(dòng)化博覽》2018年11月刊