今日頭條
官方微信
官方抖音
資訊頻道1 煙草行業(yè)數(shù)字化轉(zhuǎn)型的背景
工業(yè)是國民經(jīng)濟的主體,工業(yè)競爭力也體現(xiàn)一個國家的競爭力,隨著德國的工業(yè)4.0、美國的先進制造以及我們中國的智能制造等國家戰(zhàn)略政策的推出,以及云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興信息技術(shù)在工業(yè)領(lǐng)域的應(yīng)用,IT領(lǐng)域的一些安全問題逐漸進入工業(yè)系統(tǒng)。我們從廣義上來理解工業(yè)安全,是指整個工業(yè)生產(chǎn)過程中的信息安全,涉及到整個生產(chǎn)的各個領(lǐng)域,各個環(huán)節(jié),從保護對象上來看,它不僅僅保護計算機網(wǎng)絡(luò),保護信息系統(tǒng),還需要保護工業(yè)控制系統(tǒng),保護設(shè)備和網(wǎng)絡(luò)協(xié)議,這是相對來講對工業(yè)安全比較廣泛的一個定義。
2 煙草行業(yè)工業(yè)安全現(xiàn)狀
2.1 先進的工業(yè)自動化技術(shù)得到了廣泛的應(yīng)用
從事煙草行業(yè)工業(yè)自動化相關(guān)的工作之前,我個人理解煙草行業(yè)類似農(nóng)副產(chǎn)品加工,自動化程度應(yīng)該不是特別高。但是真正進入行業(yè)后,發(fā)現(xiàn)煙草企業(yè)不僅自動化程度水平相對較高,而且對新技術(shù)的接受程度也相當(dāng)高。很多國際領(lǐng)先的自動化技術(shù)和工控網(wǎng)絡(luò)技術(shù)已率先在煙草制造業(yè)中應(yīng)用,據(jù)了解,大多數(shù)的煙草企業(yè)希望將新技術(shù)融入新廠建設(shè)中,比如基于人工智能的排查仿真系統(tǒng),已經(jīng)在很多煙草企業(yè)落地使用。
2.2 工業(yè)安全面臨挑戰(zhàn),在矛盾中尋找方向
新技術(shù)在煙草企業(yè)應(yīng)用既是機遇也是挑戰(zhàn),先進技術(shù)的應(yīng)用在提升煙草企業(yè)生產(chǎn)力的同時也埋下了安全隱患,帶來了大量的工業(yè)安全風(fēng)險。在煙草企業(yè)做安全,如同在矛盾中尋找方向,我認(rèn)為矛盾主要體現(xiàn)在如下三個方面:
(1)應(yīng)用互通與安全隔離的矛盾;
(2)威脅來源多樣化與防護手段單一的矛盾;
(3)實時性、可靠性需求與安全部署的矛盾。
所以,一定要在可用性和安全之間找到一個平衡點,達到一個合適的度,從而降低安全風(fēng)險。
3 煙草行業(yè)工業(yè)網(wǎng)絡(luò)介紹
煙草行業(yè)的工業(yè)網(wǎng)絡(luò)一般由以下三個部分組成:
3.1 統(tǒng)一規(guī)劃的私有云信息中心
(1)采用虛擬化私有云架構(gòu),集中部署企業(yè)的OT和IT應(yīng)用;
(2)OT與IT各有獨立資源池,按需安全互通。
3.2 生產(chǎn)、辦公、安防并存的多網(wǎng)架構(gòu)
擁有生產(chǎn)、辦公、安防等多張網(wǎng)絡(luò),網(wǎng)絡(luò)間原則上需要進行訪問隔離。
3.3 工業(yè)系統(tǒng)分層架構(gòu)
(1)管理協(xié)同層:負(fù)責(zé)系統(tǒng)整體管理,任務(wù)制定;
(2)生產(chǎn)執(zhí)行層:負(fù)責(zé)生產(chǎn)任務(wù)的分解下達;
(3)過程控制層:負(fù)責(zé)接收下發(fā)任務(wù)并轉(zhuǎn)化為具體操作指令;
(4)現(xiàn)場控制層:負(fù)責(zé)根據(jù)操作指令指揮各個執(zhí)
行器件完成具體動作。煙草行業(yè)工業(yè)網(wǎng)絡(luò)如圖1所示。
圖1 煙草行業(yè)工業(yè)網(wǎng)絡(luò)
4 煙草行業(yè)工控系統(tǒng)面臨的安全問題
煙草行業(yè)工控系統(tǒng)面臨的安全問題一般可分為技術(shù)和管理兩類,在調(diào)研中發(fā)現(xiàn)很多問題是由技術(shù)和管理兩方面因素共同導(dǎo)致的。
4.1 技術(shù)問題
從入侵威脅來看:通過震網(wǎng)病毒以及后續(xù)的變種病毒分析可知,工業(yè)控制領(lǐng)域中的惡意代碼混合了大量0DAY,大部分為專業(yè)攻擊破壞人員編寫,傳統(tǒng)的防病毒和入侵監(jiān)測系統(tǒng)的能力有限,幾乎無法有效地實現(xiàn)提前預(yù)警。
從安全防護手段來看:煙草行業(yè)大部分工業(yè)控制系統(tǒng)在防護、監(jiān)測、運維審計等方面的嚴(yán)重不足(主機、服務(wù)器無防護,邊界無防護等),極大地阻礙了整體安全防護能力的提升。尤其在煙草行業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)中,工控網(wǎng)是可以通過管理網(wǎng)間接連接到互聯(lián)網(wǎng)的。
從支撐軟件來看:WINCC、PCS7、ITA以及OPC等編程和組態(tài)軟件,其基于傳統(tǒng)的WIN32位操作系統(tǒng)構(gòu)建,自身程序代碼和工作環(huán)境極易觸發(fā)安全問題。同時在網(wǎng)絡(luò)內(nèi)部大多采用通用WINDOWS操作系統(tǒng),其自身存在很多安全漏洞,極其容易被攻擊者利用,造成安全事故。
從運維習(xí)慣來看:工業(yè)自動化專業(yè)技術(shù)人員往往缺少信息安全的技術(shù)支撐和職業(yè)敏感度,在日常維護過程中,缺乏足夠的安全意識和安全操作規(guī)程,容易因人為操作原因?qū)е掳踩珕栴}。尤其是在運維的過程中移動存儲介質(zhì)濫用現(xiàn)象。
從底層設(shè)備看:PLC設(shè)備和工業(yè)交換機都存在安全漏洞,容易被利用,直接影響工業(yè)控制系統(tǒng)安全性。
從全局監(jiān)控預(yù)警來看:缺乏能夠?qū)I(yè)控制系統(tǒng)進行全面監(jiān)控,及時預(yù)警,快速響應(yīng)的監(jiān)控管理系統(tǒng)。
4.2 管理問題
從組織結(jié)構(gòu)上看:組織結(jié)構(gòu)人員職責(zé)不完善,專業(yè)人員缺乏,工控系統(tǒng)信息安全是一個跨部門跨學(xué)科領(lǐng)域,在卷煙生產(chǎn)企業(yè)中工控系統(tǒng)有生產(chǎn)部門負(fù)責(zé),信息安全一般由信息部門負(fù)責(zé);生產(chǎn)部門對于信息安全知之甚少,而信息部門對于工控系統(tǒng)的理解也不夠深。
從培訓(xùn)方面看:多數(shù)參與工控系統(tǒng)日常運維的車間系統(tǒng)管理員缺乏信息安全技術(shù)和管理培訓(xùn);關(guān)鍵崗位人員也很少去關(guān)注工業(yè)控制系統(tǒng)的安全性,日常工作僅僅是保障系統(tǒng)的可用性。
從應(yīng)急響應(yīng)機制上看:由于響應(yīng)機制不夠健全,缺乏應(yīng)急響應(yīng)組織和標(biāo)準(zhǔn)化的事件處理流程,發(fā)生信息安全事件后人員反應(yīng)不夠迅速,通常依靠經(jīng)驗判斷安全事件發(fā)生的設(shè)備和影響范圍,逐一進行排查,缺乏響應(yīng)能力。
5 煙草行業(yè)工業(yè)安全痛點
工業(yè)控制系統(tǒng)安全是傳統(tǒng)IT系統(tǒng)安全的延伸,同時又具有自身的特點。主要體現(xiàn)在以下三個方面:
(1)資產(chǎn)狀況不清楚
煙草企業(yè)普遍對自身的資產(chǎn)不清楚,包括資產(chǎn)數(shù)量、資產(chǎn)類型、資產(chǎn)分布等均不清楚。
(2)安全威脅不清楚
基于資產(chǎn)狀況不清楚,導(dǎo)致安全威脅不清楚。資產(chǎn)目前有無風(fēng)險,是否被攻擊過,一旦發(fā)生攻擊會產(chǎn)生什么樣的后果,均不清晰。
(3)生產(chǎn)故障難定位
當(dāng)設(shè)備斷線、停機時,我們很難定位故障原因,無法確定是應(yīng)急能力還是安全問題。
6 安全體系建設(shè)的基本思路
綜上所示,在煙草行業(yè)應(yīng)如何做安全?我認(rèn)為首先要合規(guī),從根本來講有三條特別重要:(1)網(wǎng)絡(luò)安全法,國家的法律一定要遵守。(2)在實施時,需要參照具體的技術(shù)要求。(3)一定要結(jié)合行業(yè),行業(yè)跟行業(yè)之間做安全有很大的差別,在煙草行業(yè)要遵照煙草行業(yè)的基本要求去做安全。
安全是一個動態(tài)安全,外界環(huán)境在不斷變化,所以,整個安全體系的建設(shè)也是一個動態(tài)建設(shè)過程。安全體系建設(shè)一般遵循安全規(guī)劃—安全建設(shè)—建后評估—安全運營的基本思路。
(1)安全規(guī)劃(PLAN)
安全規(guī)劃是針對發(fā)現(xiàn)的現(xiàn)有體系的安全問題,設(shè)定安全建設(shè)目標(biāo)并制定針對性的改進方案,此過程中可以通過購買“風(fēng)險評估”、“安全咨詢”等服務(wù)。
(2)安全建設(shè)(DO)
安全建設(shè)是根據(jù)安全規(guī)劃所制定的改進方案,有步驟地進行安全改造。
(3)建后評估(CHECK)
建后評估是在安全建設(shè)完成后,評估已建成的安全體系進行是否達到安全規(guī)劃中所設(shè)定的安全目標(biāo)(比如通過相應(yīng)的等保測評)。
(4)安全運營(ACTION)
安全運營是在安全體系投入使用后,不間斷地運營整個安全體系并發(fā)現(xiàn)新問題。
7 建設(shè)從“終端”到“云端”的分層縱深安全防護體系
風(fēng)險評估是安全建設(shè)的切入點,是安全規(guī)劃的先決條件,其目的在于識別和評估系統(tǒng)中各類資產(chǎn)所面臨的危害和風(fēng)險。風(fēng)險分析優(yōu)先做資產(chǎn)識別,對自身的資料有清晰的了解之后,再根據(jù)資產(chǎn)的脆弱性分析可能面臨的威脅,從而按照風(fēng)險的級別排序,成為后期做安全建設(shè)的依據(jù)。風(fēng)險評估的典型內(nèi)容一般包括:識別可能受到威脅的目標(biāo)、分析價值和潛在損失、威脅和弱點分析、識別已有的安全防護措施等。
在做安全規(guī)劃時,主要基于PPDR模型對安全技術(shù)體系和安全管理體系做統(tǒng)籌規(guī)劃,在規(guī)劃的過程中始終堅持一條,“零信任的安全策略”。“零信任”是指什么?即:不可管即不可控、不可控即不安全,值得信任的不是人,而是讓人不會犯錯誤的技術(shù)&管理體系,沒有技術(shù)手段支撐的安全管理是低效的,并且常常失效。在煙草行業(yè)建立完整的安全技術(shù)管理體系十分必要,具體如圖2所示。
圖2 安全技術(shù)管理體系
圖2安全技術(shù)體系中基于“應(yīng)用級白名單”的零信任安全防護,主要分為兩方面:
(1)接入認(rèn)證:實現(xiàn)接入可信
·只允許授信的人或設(shè)備接入網(wǎng)絡(luò),對于未通過認(rèn)證的設(shè)備進行實時阻斷,不允許其接入網(wǎng)絡(luò),并進行實時告警。
·對必要的設(shè)備進行安全基線檢查,只有符合安全策略的設(shè)備才能接入網(wǎng)絡(luò)。
(2)應(yīng)用控制:實現(xiàn)行為可控
·識別合法設(shè)備的網(wǎng)絡(luò)訪問行為,只允許其傳輸與預(yù)先確定的應(yīng)用相關(guān)的數(shù)據(jù),其他數(shù)據(jù)一概阻斷。
總的來看,煙草行業(yè)要建設(shè)從“終端”到“云端”的分層縱深安全防護體系需要做好以下三點:
(1)分層縱深安全防護結(jié)構(gòu)
由于工業(yè)系統(tǒng)采用分層架構(gòu),每一層的接入都是下層的匯聚節(jié)點,不能采用扁平化安全分區(qū)方法,而應(yīng)采用分層式的縱深安全防護結(jié)構(gòu)。
(2)應(yīng)用級白名單訪問控制
對網(wǎng)絡(luò)訪問采用應(yīng)用級白名單訪問控制,做到接入可信、行為可控。
(3)應(yīng)用級威脅抵御
除了應(yīng)用級白名單訪問控制能力外,還應(yīng)包括有應(yīng)用級的威脅抵御能力,可以阻斷已知的漏洞攻擊行為、病毒木馬的傳播與網(wǎng)絡(luò)訪問行為等。
網(wǎng)絡(luò)安全體系整體架構(gòu)模型如圖3所示。
圖3 網(wǎng)絡(luò)安全體系整體架構(gòu)模型
工控信息安全與生產(chǎn)緊密相關(guān),要解決安全問題,一定要根據(jù)自身網(wǎng)絡(luò)狀況的問題,分別去做不同的規(guī)劃,從而達到不同的目標(biāo)。
本文內(nèi)容根據(jù)作者在“2019工業(yè)網(wǎng)絡(luò)專家計劃論壇”中所做報告整理,未經(jīng)作者本人確認(rèn)。
摘自《工業(yè)控制系統(tǒng)信息安全專刊(第六輯)》
北京市公安局海淀分局備案號:11010802023656號