工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全等級保護的建設(shè)

摘要：【文獻標志碼，【文章編號，制定統(tǒng)一的工控系統(tǒng)安全管理規(guī)范，如保證工控系統(tǒng)設(shè)備的運行能滿足最大生產(chǎn)需求，優(yōu)化系統(tǒng)拓撲結(jié)構(gòu)，杜絕系統(tǒng)單點漏調(diào)整安全網(wǎng)關(guān)策略，防范包括（分布式拒絕服務(wù)）在內(nèi)的各種安全風險在系統(tǒng)中部署入侵防御系統(tǒng)IDS）.入侵檢測系統(tǒng)QPS）、安全管理軟件等，監(jiān)測來自系統(tǒng)內(nèi)外部的入侵署工控系統(tǒng)審計系統(tǒng)，對系統(tǒng)的操作、修改、設(shè)置等實行審計并記翻僉證所有連接系統(tǒng)的用戶身份，杜絕無相應(yīng)權(quán)限的用戶進行管理配置的操作安裝系統(tǒng)數(shù)據(jù)檢查設(shè)施，依托數(shù)據(jù)采集技術(shù)，制定管理基線，依據(jù)系統(tǒng)實際情況管理和放行數(shù)據(jù)多種登錄方式，如聲紋識別、面部識別等生物信息技術(shù)，實行雙因子登止遠程管理系統(tǒng)主機和防火墻，若有實際需求，應(yīng)當使用密文，防止用戶身份信息在傳輸中被盜能防范無認證設(shè)施接入系統(tǒng)，防止信息資產(chǎn)流失許新鋒ConstructionoftheNetworkSecurityLevelProtectionofIndustrialControlSystemXUXin-feng(ZhengzhouUniversityofLightIndustry，Zhengzhou450000，China)【摘要】現(xiàn)代卷煙工業(yè)企業(yè)的兩化融合程度越來越高，網(wǎng)絡(luò)的觸角已經(jīng)延伸到各個業(yè)務(wù)角落，工控網(wǎng)絡(luò)安全風險也越來越突出。因而，如何建立一個高質(zhì)量、穩(wěn)固牢靠的工控系統(tǒng)網(wǎng)絡(luò)成為現(xiàn)代卷煙工業(yè)企業(yè)工控系統(tǒng)建設(shè)的一個重要組成部分。論文剖析了現(xiàn)代卷煙工業(yè)企業(yè)工控系統(tǒng)安全等保2.0的情況，綜合工控系統(tǒng)實際需求，提出等保工作部署的基本策略。[Abstract]Theintegrationdegreeofmodernizationandindustrializationofmoderncigaretteindustrialenterprisesisgettinghigherandhigher，thenetwork"stentacleshavebeenextendedtovariousbusinesscorners，andindustrialcontrolnetworksecurityriskshavebecomeincreasinglyprominent.Therefore，howtobuildahigh-quality，stableandreliableindustrialcontrolsystemnetworkhasbecomeanimportantpartoftheindustrialcontrolsystemconstructionofmoderncigaretteindustryenterprises.Thispaperanalyzesthesafetyandsecurityguarantee2.0oftheindustrialcontrolsystemofmoderncigaretteindustrialenterprises,andcombinedwiththeactualneedsoftheindustrialcontrolsystem，itproposesthebasicstrategyofthelevelprotectionworkdeployment.【關(guān)鍵詞】工業(yè)控制系統(tǒng);安全防護體系建設(shè);部署建議;邊界控制[Keywords]industrialcontrolsystem;securityprotectionsystemconstruction;deploymentproposal;boundarycontrol【中HI分類號】TB4【文獻標志碼】A【文章編號】1673-1069(2020)03-0112-021【中HI分類號】TB4【文獻標志碼】A【文章編2網(wǎng)絡(luò)安全等級保護的意義工控系統(tǒng)安全等保指對控制系統(tǒng)內(nèi)的隱秘信息和控制信息及公共信息實行分層分級防護，對工控系統(tǒng)中的防護設(shè)施實行分層分級管理，對面臨的工控系統(tǒng)安全問題構(gòu)建相應(yīng)的分級應(yīng)急預(yù)案。這種工控系統(tǒng)安全保護體系共包含五個級別：自主、指導、監(jiān)督、強制、?？?。各層級信息的機密性各不一樣，相應(yīng)的層級就有對應(yīng)的保護策略o2019年，我國頒布了網(wǎng)絡(luò)安全等保2.0的國家標準，本標準對提高工控系統(tǒng)等保工作具有很強的指導意義。3工控系統(tǒng)網(wǎng)絡(luò)安全等級保護的現(xiàn)狀按照新的等保2.0國家標準要求，大多數(shù)卷煙工業(yè)企業(yè)工控系統(tǒng)在制度、基礎(chǔ)設(shè)施、技術(shù)方面存在漏洞和風險，工控系統(tǒng)安全保護體系有待提高。其中，下面幾個問題表現(xiàn)較為突出。3.1工控系統(tǒng)網(wǎng)絡(luò)安全管理工作尚需進一步加強工控系統(tǒng)網(wǎng)絡(luò)安全管理制度仍有待提高，對數(shù)據(jù)資產(chǎn)、外包服務(wù)、軟件更新迭代等方面的管理缺少相關(guān)規(guī)定。工控系統(tǒng)安全管理體系尚不完善，缺乏對專業(yè)系統(tǒng)管理人員和系統(tǒng)維修人員持續(xù)性的跨專業(yè)梯度式的技能培訓。各個工控系統(tǒng)的運行管理不規(guī)范，對工控系統(tǒng)日常運維造成隱患。3.2工控系統(tǒng)網(wǎng)絡(luò)架構(gòu)存在較為明顯的脆弱性和安全隱患大多數(shù)的工業(yè)控制系統(tǒng)都為內(nèi)網(wǎng)連接，雖然安裝有防火墻，也對所有的連接行為進行過濾，但是大多數(shù)的防火墻安全配置及操作流程都不夠嚴謹。雖然卷煙工業(yè)企業(yè)內(nèi)部網(wǎng)絡(luò)設(shè)置了安全隔離和訪問鏈接名單過濾策略，但是隨著信息技術(shù)的發(fā)展，因安全補丁與工控程序不兼容或者沒有相應(yīng)的安全補丁等原因，造成各個工控系統(tǒng)無法及時更新各項安全補丁，導致工控系統(tǒng)存在較高的安全風險。3.3工控系統(tǒng)服務(wù)器環(huán)境抵御攻擊能力較低工業(yè)控制系統(tǒng)的運行服務(wù)器系統(tǒng)補丁沒有及時對照各大主要安全網(wǎng)站發(fā)布的漏洞進行更新，存在如勒索病毒、簡單密碼、全端口開放等高危漏洞;有的工控程序與防護軟件無法兼容，或者防護軟件無法及時更新自身病毒庫，缺乏對惡意代碼的防范手段，一旦有個別工控系統(tǒng)的電腦感染惡意代碼，稍不注意，就會致使系統(tǒng)內(nèi)部現(xiàn)場終端大面積感染病毒木馬。3.4工控系統(tǒng)安全防范措施缺失大多數(shù)運行在生產(chǎn)網(wǎng)的工控系統(tǒng)存在大量漏洞；工業(yè)控制系統(tǒng)的用戶識別、數(shù)據(jù)安全、加密傳輸?shù)确矫娴呐渲貌呗圆粔驀烂?，未嚴格按照最小原則進行配置再加上一些其他的系統(tǒng)安全隱患，就會對工控系統(tǒng)的運行安全、信息安全、生產(chǎn)安全等造成重大影警。3.5信息資產(chǎn)安全保護能力較低缺乏對專用網(wǎng)絡(luò)的數(shù)據(jù)信息實行分級分類管控，缺少信息資產(chǎn)防護手段，部分專用網(wǎng)絡(luò)中未對口令設(shè)定強制定期更換策略、禁用弱口令策略、禁止遠程代碼執(zhí)行等配置策略，存在高風險漏洞，極易被惡意程序攻擊利用。3.6欠缺基礎(chǔ)的物理安全保障部分工控系統(tǒng)機房與控制室連通，主觀上認為出入機房的人員都是技術(shù)維修等內(nèi)部人員，未對進出人員實行鑒別和登記制度，存在工控機房被惡意破壞的風險。部分機房未安裝門禁系統(tǒng)，未安裝防盜報警或監(jiān)控無防盜報警功能，未安裝防水防雷等物理安全基礎(chǔ)保障。4工控系統(tǒng)安全防護體系部署建議4.1工控系統(tǒng)安全防護體系構(gòu)建根據(jù)國家等保2.0標準的基本思想，構(gòu)建網(wǎng)絡(luò)安全防護體系［1］。最高層負責制定"總體策略"，總體策略是工控系統(tǒng)安全防護體系的基本策略。工控系統(tǒng)安全防護體系的第二層是"組織架構(gòu)"，既要保證工控系統(tǒng)工作時系統(tǒng)保密性，也要保證工控系統(tǒng)的管理體系高效穩(wěn)定。工控系統(tǒng)安全防護體系的第三層是"制度架構(gòu)"，分別從管理及職責、硬件管控、建設(shè)管控、運行管控、風險管控、應(yīng)急預(yù)案和隊伍建設(shè)等方面做出相應(yīng)的管控要求。工控系統(tǒng)安全防護體系的第四層是規(guī)定各項標準配置的方法和相應(yīng)的配置流程以及記錄活動內(nèi)容，包括平常各項操作的實行，各項操作的詳細配置、實行流程、實行規(guī)范等，指導日?；顒拥恼嵭小?.2安全域劃分根據(jù)工控系統(tǒng)安全防護體系，將工控系統(tǒng)各大安全域重新劃分。制定統(tǒng)一的工控系統(tǒng)安全管理規(guī)范，如保證工控系統(tǒng)設(shè)備的運行能滿足最大生產(chǎn)需求，優(yōu)化系統(tǒng)拓撲結(jié)構(gòu)，杜絕系統(tǒng)單點漏洞;調(diào)整安全網(wǎng)關(guān)策略，防范包括（分布式拒絕服務(wù)）在內(nèi)的各種安全風險在系統(tǒng)中部署入侵防御系統(tǒng)（IDS）、入侵檢測系統(tǒng)（IPS）、安全管理軟件等，監(jiān)測來自系統(tǒng)內(nèi)外部的入侵部署工控系統(tǒng)審計系統(tǒng)，對系統(tǒng)的操作、修改、設(shè)置等實行審計并記錄[2];驗證所有連接系統(tǒng)的用戶身份，杜絕無相應(yīng)權(quán)限的用戶進行管理配置的操作;安裝系統(tǒng)數(shù)據(jù)檢查設(shè)施，依托數(shù)據(jù)采集技術(shù)，制定管理基線，依據(jù)系統(tǒng)實際情況管理和放行數(shù)據(jù);增加多種登錄方式，如聲紋識別、面部識別等生物信息技術(shù)，實行雙因子登錄;防止遠程管理系統(tǒng)主機和防火墻，若有實際需求，應(yīng)當使用密文，防止用戶身份信息在傳輸中被盜取能防范無認證設(shè)施接入系統(tǒng)，防止信息資產(chǎn)流失。4.3安全邊界控制根據(jù)以上安裝的系統(tǒng)安全管理軟件和硬件設(shè)定相適應(yīng)的管理策略，進而完成對系統(tǒng)的邊界管控[3]。基本策略包含：管理網(wǎng)運行安全，必需通過邊界防護規(guī)則的過濾和訪問審查專用網(wǎng)運行安全，最小原則規(guī)定用戶身份和瀏覽權(quán)限，必需通過邊界防護規(guī)則的過濾和訪問審查，其他安全域及用戶均不能直連;管理網(wǎng)信息安全，只開放其他域的服務(wù)器連通權(quán)限，其他安全域用戶無法直連，如訪問數(shù)據(jù)域，需有相應(yīng)的授權(quán)信息，必需通過邊界防護規(guī)則的過濾和訪問審查專用網(wǎng)信息安全，僅開放本地安全域的服務(wù)器連通權(quán)限，其他安全域及用戶均不能直連，如需連接應(yīng)有相應(yīng)的授權(quán)信息;域間交互安全，不同安全域間的數(shù)據(jù)交互，實行擺渡機與特定協(xié)議相結(jié)合的形式;更新安全，更新域列為灰色域，僅有部分開放的系統(tǒng)連通權(quán)限，訪問行為必需通過邊界防護規(guī)則的過濾和訪問審查;密碼管理，一切使用密碼的系統(tǒng)防護設(shè)施，使用的算法為國產(chǎn)密碼算法;日志管理，入侵檢測系統(tǒng)、入侵防護系統(tǒng)、防火墻、安全網(wǎng)關(guān)、審計記錄的日志一律傳送至安全區(qū)的內(nèi)網(wǎng)管理系統(tǒng)存檔和剖析分布式主機管理，現(xiàn)場主機一律安裝網(wǎng)御之類的客戶端，且能管控現(xiàn)場主機的各項設(shè)置，連接監(jiān)控、病毒防護，打安全補丁等設(shè)備自主知識產(chǎn)權(quán)，工控系統(tǒng)安全防護體系所涉及的安全防護設(shè)施，都應(yīng)具有完全的中國自主知識產(chǎn)權(quán)，防止出現(xiàn)類似于手機行業(yè)的針對性事件發(fā)生。5結(jié)語工控系統(tǒng)等保工作關(guān)系到卷煙工業(yè)企業(yè)的生產(chǎn)安全，作為一項防護工程，需要全體人員的密切合作，應(yīng)盡快夯實安全保護的基礎(chǔ)，在保證工控系統(tǒng)運行的高效性、可靠性的同時，充分提高