基于“白名單”的卷煙工業控制系統終端安全防護

韋雄 李用清

摘要：隨著卷煙企業日常生產工業信息化應用的不斷發展，工業控制系統在各卷煙廠的卷煙制造過程中大量應用，很多制造過程中的重要環節都是由工業控制系統來輔助完成。這樣一來，關系著整個生產過程安全穩定性的工業控制系統的安全運行與否，就直接影響著卷煙企業的日常生產。由于工業控制系統是由多個不同的控制單元和設備等終端組成，各工業控制系統終端的安全穩定性可以說是至關重要，在日常應用中可以通過基于“白名單”的安全防護方式對這些終端進行安全防護。

關鍵詞：信息安全；工業控制系統；卷煙信息化

卷煙工業控制系統的特點

工業控制系統（Industrial Control Systems，英文縮寫為ICS，以下簡稱工控系統），在卷煙生產企業中，主要是指用于對卷煙生產制造、動力能源、物流分揀配送等環節的設備、設施進行自動控制的系統。

目前，在卷煙工業企業中廣泛應用的工控系統大多都使用西門子、羅克韋爾等國際較為知名的品牌廠商產品。與一般的計算機信息管理系統不同的是，工控系統的設計需要優先考慮系統的高可用性和業務連續性，在這樣的設計思想影響下，相比之下就會缺乏比較有效的數據傳輸安全及保密措施，這也是當前卷煙企業工控系統的一大特點，也是所面臨的一個問題。由于缺乏核心知識產權和相關行業管理標準，沒有安全保密措施的數據傳輸在愈發智能開放的工控系統架構和參差不齊的運維水平現實前，存儲于控制系統、數據采集與監控系統、現場總線以及相關聯的核心數據、控制指令等隨時可能被攻擊者竊取或篡改破壞，由于工控系統關系著卷煙工業企業生產安全，其影響范圍及后果一般比較嚴重，很可能造成整個工控系統產生故障，從而引發生產安全事故。

卷煙工控系統終端安全風險分析

卷煙企業在生產過程中主要應用的工控系統包括制絲集控系統、卷包數采系統、能源管理系統和自動化物流控制系統等，由于工控系統是由多個不同的控制單元和設備等終端組成，所以受工控系統的特點影響，工控系統的終端安全及保密性能都較差，同時存在著以下這些風險：

（1）設備漏洞和后門：大多數工控系統中在運行的控制器的設計都以優化實時的I/O功能為主，而并不提供加強的網絡連接安全防護功能，由于PLC等控制系統缺乏必要的安全性設計，所以PLC系統都是很容易受到攻擊的對象，一般的黑客入門者就很容易能獲取入侵這些系統的工具，并且當前工控系統設備基本上被國外品牌廠商壟斷，設備存在漏洞和后門，核心技術又受制于人，這就增加了諸多不可控的安全因素。

（2）協議漏洞：在卷煙生產企業工控系統中，OPC 協議被廣泛地應用，隨之而來的通信協議漏洞問題也日漸突出，由于 OPC 通訊過程采用不固定的端口號，導致目前幾乎無法使用傳統的普通防火墻來確保其安全性。因此確保使用 OPC 通訊協議的工控系統的安全可靠性是一個不小的挑戰。

（3）操作系統漏洞：目前很多工控系統中的工程師站、操作站等設備安裝的都是Windows 操作系統，為保證過程控制系統的相對獨立性，同時也考慮到系統的穩定運行，通常在系統實施后不會對Windows 平臺安裝任何補丁，這樣一來，存在的問題是，不安裝補丁系統就存在被攻擊的可能，從而埋下較大的安全隱患。

（4）殺毒軟件問題：為了保證工控系統應用軟件的可用性，許多工控系統操作站一般不會安裝殺毒軟件，即便安裝有了殺毒軟件，在實際使用過程中也會有很大的局限性，主要原因在于使用殺毒軟件很關鍵的一點是，其病毒庫需要不斷的升級更新，這一要求非常不適合于工控系統的使用環境。另外，殺毒軟件對新出病毒的處理相對來說總是滯后的。所以，工控系統的防病毒能力都比較差。

（5）應用軟件安全問題：由于同一企業中不同的工控系統一般是由不同廠商開發建設的，導致工控應用軟件各種各樣，在管理防護上很難形成統一的防護規范來主動應對安全問題，另外，當應用軟件面向網絡應用時，就必須開放其應用端口，因此，常規的傳統防火墻等安全防護設備很難保障其安全性。

工控系統終端安全防護對策

根據前文的敘述，工控系統終端目前存在著較大的安全風險，并且，由于各卷煙企業的工控系統安全建設工作起步較晚，系統更為脆弱，這些安全風險一旦發生，很容易導致整個生產工控系統及網絡的癱瘓，給企業生產管理工作造成嚴重危害。所以，工控系統終端的安全防護已經勢在必行。

傳統的安全防護設備及軟件無法很好的解決工控系統終端的安全防護問題，那么怎樣才能有效地進行終端安全防護呢？經過分析發現，不同的卷煙工控系統終端雖然應用不同的軟件，但都有著以下幾個共同點：均是系統內部應用；應用場景單一，少變化；不與系統以外的其他設備進行通訊；應用軟件不需要不斷升級更新。也就是說，只要我們能保障這些終端現有在用的軟件及應用安全，對其他外來的應用及通訊全部都不接受，就能很好的實現安全防護，這就是所謂的“白名單”防護技術。相對傳統防病毒軟件通過升級病毒庫特征碼不斷更新加入“黑名單”的方式，這種固定只允許某些應用的“白名單”防護技術，通過對數據采集和分析，其內置智能學習模塊會自動生成本工控系統軟件正常行為的“白名單”，應用中通過與系統內的實時傳輸數據進行比較、匹配、判斷。如果發現其用戶節點的行為不符合“白名單”中的行為特征，其主機安全防護系統將會對此行為進行阻斷或禁止，從而避免本終端主機受到未知攻擊和入侵威脅，同時還可以有效的阻止操作人員異常操作帶來的危害。

當然，基于“白名單”的工控系統終端防護方式是可以有效地對現有終端進行安全防范，但在實際部署中也存在一些難點，比如說需要對現有在用的各工控系統的應用軟件名稱、類型、進程等等信息都要了解準確，避免部署后由于出現錯漏造成終端工作的不正常，但很多企業中現用工控系統由于使用年限較長及設備、軟件較老等原因，想要準確建立整個系統的真正“白名單”并不容易，這就需要在部署前期進行充分溝通交流以及不斷進行數據采集分析和測試。

參考文獻：

[1]工控系統安全威脅及防護應用探討[J]. 白雪原. 中國信息化. 2018（05）

[2]工業領域基礎設施SCADA系統簡介——關于我國SCADA系統信息安全的研究與思考之一[J]. 徐金偉. 計算機安全. 2012（01）

[3]淺談如何防范勒索軟件對工控系統的威脅[J]. 張曄. 自動化博覽. 2017（08）

[4]工業控制系統安全管理體系研究——ICS工業控制系統安全風險分析之二[J]. 張帥. 計算機安全. 2012（01）

[5]能源行業工控系統信息安全分析與防護[J]. 張五一，李圣泉. 信息安全與通信保密. 2015（04）