让 安 全 更 简 单
行业解决方案
烟草行业解决方案
中国烟草总公司,简称中国烟草,成立于1982年1月,主要职责是根据国家法律和国务院的有关法规、法令、方针政策,按照国家计划,对所属企业的生产、供应、销售、进出口业务和对外经济技术合作实行集中统一经营管理。
全国烟草行业职工总数约55万人,设有省级烟草专卖局(公司)33家,地市级烟草专卖局(公司)451家,县级烟草专卖局(分公司或营销部)2417家;省级卷烟工业公司19家,卷烟生产点94个;打叶复烤企业26家;各类多元化企业512家;在境外投资设立卷烟工厂和配套企业30家。另有直属科研单位和烟机、醋纤等生产企业。全国有520多万户卷烟零售户,100多万户种烟农户,烟草产业涉及2000多万人的就业与生计。
中国烟草行业实行专卖专营体制以来,在党中央、国务院的正确领导以及地方各级党委政府、各有关部门的大力支持下,充分发挥行业管理体制的优势,不断深化改革,强化专卖执法,推进科技进步,狠抓基础管理,促进了经济效益不断提高。2018年,烟草行业坚持稳中求进工作总基调,坚持新发展理念,以供给侧结构性改革为主线,强化创新驱动、品牌带动、改革推动,加快培育新动能,经济运行总体平稳、稳中向好,全年实现税利总额11556.2亿元,上缴国家财政总额10000.8亿元。
烟草工控系统背景
工业自动化和信息化系统是工业设备的核心组成部分, 随着《中国制造2025》的全面推进,我国工业领域的数字化、网络化、智能化水平加快提升,各类新技术、新产品、新模式不断涌现,网络已经覆盖能源、电力、交通、金融、电信和烟草等重要行业和核心领域,在促进技术创新、经济发展的同时,网络安全问题日益凸显,已经成为关系国家安全和社会安全的重大问题。
20世纪80年代初期我国卷烟企业开始引进国外先进的生产设备,全自动的进口生产线(设备)反衬出国产烟机设备在自动化水平上与国际先进水平的巨大差距。经过10多年的努力,不断采用新的自动控制技术,从继电逻辑控制,到PLC控制,再到集中监控,发展到现在的工业现场总线控制技术和智能化一体化生产管理控制系统,快速达到国际行业先进水平。
烟草工控安全现状
目前国内烟草行业在工烟生产流程普遍由烟叶种植及复烤、烟丝加工、烟支卷制、烟机设备加工等工序组成,最近几年,依靠国家政策的扶植,烟草行业为谋求自身发展、提高企业市场竞争力,大力发展信息化建设,主要体现在ERP和 MES建设上;随着烟草信息化和工业化“深度融合”的加快,在各地烟草公司物流配送中心先后建立了半自动或全自动的仓储、分拣系统,在为物流分拣带来极大推动作用在大幅度提高生产效率和降低运营成本的同时,众多、分散的生产线及工控设备与信息化系统产生了大量的数据交互。
大多数工控系统在开发时,由于传统工控系统技术的计算资源有限,在设计时只考虑到效率和实时等特性,并未将安全作为一个主要的指标考虑。随着信息化的推动和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时,也带来了工控系统的安全问题,如系统终端平台安全防护弱点,系统配置和软件安全漏洞、工控协议安全问题、私有协议的安全问题、以及隐藏的后门和未知漏洞、TCP/IP自身的安全问题,用户权限控制的接入,网络安全边界防护以及内部非法人员,密钥管理等等各种信息安全的风险和漏洞。
信息化系统与生产系统的边界被打破,原有的信息孤岛暴露在办公网甚至互联网上,为保障生产安全的相关制度和措施已经难以满足现有的网络安全形势,一旦发生网络安全事件,不仅会影响生产业务的正常运行,还有可能对整个烟草业务网络造成不良影响 。因此进一步夯实关键基础设施安全,实施核心设备保护已箭在弦上、刻不容缓。
烟草工控系统安全漏洞
大多数控制网络中在运行的电脑,并无安装工业版的主机安全防护软件。另外,控制器的设计都以优化实时的I/O功能为主,而并不提供加强的网络连接安全防护功能力。由于DCS等控制系统缺乏安全性设计,所以工控系统都是非常容易受到攻击的对象,一般的黑客初学者很容易就能获取入侵这些系统的工具。并且当前国家基础实施控制系统基本上被国外厂商垄断,设备都存在漏洞和固件后门。核心技术受制于人,增加了诸多不可控因素。
工控协议自身漏洞
随着烟草行业的快速发展使得TCP/IP 协议和OPC 协议等通用协议越来越广泛地应用在工业控制网络中,随之而来的通信协议漏洞问题也日益突出。
例如,卷烟厂生产控制系统与MES系统之间的网络通信,普遍采用工控OPC Classic 协议(OPC DA, OPC HAD 和OPC A&E),是基于微软的DCOM 协议,DCOM协议是在网络安全问题被广泛认识之前设计的,极易受到攻击,并且OPC 通讯采用不固定的端口号,导致目前几乎无法使用传统的IT 防火墙来确保其安全性。因此确保使用OPC通讯协议的工业控制系统的安全性和可靠性给工程师带来了极大的挑战。
操作系统漏洞
目前烟草行业工业生产企业中,大多数工业控制系统的工程师站/操作站的操作系统都是Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统运行使用后不会对Windows 平台安装任何补丁,但是存在的问题是,不安装补丁系统就存在被攻击的可能,从而埋下安全隐患。
主机病毒防护漏洞
为了保证烟草行业工控应用软件的可用性,许多控制系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。而且杀毒软件对新病毒的处理总是滞后的,导致每年都会爆发大规模的病毒攻击,特别是新病毒。
应用软件漏洞
由于烟草行业的工控应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT 防火墙等安全设备很难保障其安全性。攻击者很有可能会利用一些大型自动化软件的安全漏洞获取工业生产主机的控制权,一旦这些控制权被不良意图黑客所掌握,那么后果不堪设想。
安全策略漏洞
在国内很多烟草企业,用户追求系统的可用性而忽略工控安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
介质管理漏洞
在国内和国外众多的工控网络安全事件中可以看到,大部分的安全事件都来源于企业对于多个介质接口疏于安全防护和控制,例如USB方式、维修、运维、笔记本接入等,因此对工业系统的介质安全管控存在漏洞。
安全管理和规划漏洞
烟草生产企业的监控系统随着这些年的发展,自动化程度较高,业务运行连续性高,在众多将保生产、促效益为目标的发电企业中,对于工控环境的网络安全问题缺乏有效管理,安全需求往往来源于合规性要求,缺乏针对企业工业环境有效的工控安全思考和规划。
政策标准
工业信息安全防护需求首先来源于国家法律、法规等相关政策对重要信息系统的要求,主要包括:
1、《中华人民共和国网络安全法网络安全法》;
2、中华人民共和国计算机信息系统安全保护条例(国务院147号令)
3、网信委《关键信息基础设施保护条例(征求意见稿)》;
4、《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)
5、国务院关于深化“互联网+先进制造业“发展工业互联网的指导意见
6、《关于加强工业控制系统信息安全管理的通知》工信部协[2011]451号
7、《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)
8、《工业控制系统信息安全事件应急管理工作指南》(工信部信软[2017]122号);
9、GB/T33007-2016《工业通信网络 网络和系统安全 建立工业自动化和控制系统安全程序》
10、GB/T33008.1-2016《工业自动化和控制系统网络安全 可编程序控制器(PLC)》
11、GB/T33009.1-2016《工业自动化和控制系统网络安全 集散控制系统(DCS) 第1部分:防护要求》
12、GB/T33009.2-2016《工业自动化和控制系统网络安全 集散控制系统(DCS) 第2部分:管理要求》
13、GB/T33009.3-2016《工业自动化和控制系统网络安全 集散控制系统(DCS) 第3部分:评估指南》
14、GB/T33009.4-2016《工业自动化和控制系统网络安全 集散控制系统(DCS) 第4部分:风险与脆弱性检测要求》
烟草行业标准,主要哦包括
1、2012年07月17日下发的《国家烟草专卖局办公室关于开展2012年烟草行业网络与信息安全检查工作的通知》,开始对行业企业工业控制系统进行统计调查。
2、2013年7月22日下发的《国家烟草专卖局办公室关于开展2013年烟草行业信息安全检查工作的通知》(国烟办综〔2013〕385号)中,进一步细化明确对工业企业的MES系统进行摸底调研。
3、2014年4月15日开始实施的《烟草工业企业生产网与管理网网络互联安全规范》(YCT 494-2014) ,对烟草工业企业的生产网和管理网的网络连接架构与要求给出了烟草工业企业生产网与管理网互联接口安全模型。
4、《烟草行业工业控制系统网络安全技术规范》(送审),该标准结合烟草行业工业控制系统组成及特点,将典型工业控制系统进行分类,并提出系统定级,安全域划分和保护要求。适用于烟草行业工业控制系统网络安全防护和方案设计、日常管理和运维。
5、2018年,烟草总局《烟草行业网路安全自查自评50条》
6、2019年,烟草行业网络安全问题整改工作指南(1.0版)(160条)
小结
烟草行业的工控网络安全防护需要覆盖控制系统整个生命周期的解决方案。包括针对工控设备特点的,覆盖主要工控协议和丰富检测方法并支持未知协议的检测工具。应具备自动学习、自动适应,自动生成防御策略的工业级的全网安全监控的保护系统。应覆盖西门子、AB等全球主流厂商设备的安全数据库(包括设备漏洞库、网络模型库、设备风险统计)。同时,必须向发电企业提供漏洞挖掘、渗透攻击、安全策略、技术培训的全面完整的安全服务。
需求分析
合规性需求分析
目前,工业控制系统安全问题已上升到国家安全战略高度,国家网络安全法、公安部信息安全等级保护制度等均对工控系统安全提出了强制性要求,烟草生产企业必须建立起相应的工控系统安全管理手段、技术支撑以及运营体系来满足国家针对工控系统等关键信息基础设施信息安全相关合规性要求。
网络安全法
第三十一条“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并留存网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
等级保护
GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》自2019年12月1日正式实施,该版本是对GB/T 22239-2008的内容进行调整与修订完善,针对共性安全保护需求提出了安全通用要求,针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出了安全扩展要求。
对标网络安全等级保护基本要求中的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等要求,集团公司工控系统安全在管理、技术和控制方面都存在一定的差距。为了满足合规性要求,需要开展工控系统的安全防护、管理制度及标准规范的建设工作。
工信部、国资委、公安部先后对集团公司工控系统进行安全检查,特别针对工控系统安全管理方面进行了摸底调查,另外,通过集团公司信息安全检查发现各板块生产企业在工控系统安全管理方面亟需进行完善与加强。发电控制系统作为国家重要基础设施,是国家安全战略的重要组成部分,必须遵守国家工控系统安全管理要求。
关键信息基础设施保护条例(征求意见稿)
2017年7月12日,国家互联网信息办公室发布了《关键信息技术设施安全保护条例(征求意见稿)》(以下简称“关基条例”),以网络安全法为参考范本进行关键信息基础设施保护条例的编写制定。
公安部在2020年7月22日发布了《关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函》,明确了应全面落实网络安全等级保护制度和关键信息基础设施安全保护制度的要求。
关基条例(征求意见稿)的发布,明确了运营者应如何落实针对关键信息基础设施的安全保护工作,从支持与保障、关基范围、运营者安全保护、产品和服务安全、监测预警、应急处置和检测评估及法律责任的方面,给予条款内容、方法操作性、安全保护标准等方面的细化。针对发电企业,被列为关键信息基础设施的生产网控制系统均应按照关基条例进行规范。
行业监管要求
1、满足2014年4月15日开始实施的《烟草工业企业生产网与管理网网络互联安全规范》的相关要求,标准规定了烟草工业企业的生产网和管理网的网络连接架构与要求,给出了烟草工业企业生产网与管理网互联接口安全模型。。
2、满足国烟草行业网络安全问题整改工作指南(1.0版)(160条)。2019年烟草行业网络安全问题整改工作指南是在《2018年烟草行业网络安全自查自评项目表》(国烟办综〔2018〕196号)基础上,按照有关主管部门的新要求,结合行业网络安全攻防演习情况进行了相应修改、补充,并删减部分基本整改到位的指标,形成2019年烟草行业网络安全检查内容,即《烟草行业网络安全重点工作落实情况自查自评项目表》。
商烟安全风险及需求
按照《烟草工业企业生产网与管理网网络互联安全规范》,原则上将烟草行业生产企业基于计算机及网络技术的业务系统划分为生产网、管理网和其他网络,如下图所示:
生产网边界风险
商烟物流配送中心的网络安全防护手段主要集中在生产网与管理网的网络边界之间,出入库、备货、分拣等不同生产区域之间。在关键网络节点处缺少检测、防止或限制从外部发起的网络攻击行为,缺少网络病毒检测手段。
出入库、备货、分拣等产线内部使用工业协议进行数据传输。在网络边界处与生产网络内部,网络层缺少访问控制、防止或限制从内部发起的网络攻击行为、恶意代码进行检测和清除等技术手段,无法对生产网的核心生产设备及控制器核从系统边界上形成有效保护。
为了保证生产网工业应用软件的可用性,生产网各产线工控系统的各类操作员站、历史站、网络层面缺乏病毒防御及告警能力,在受到病毒入侵时无法进行阻断及及时告警。
生产网内部风险
在生产网内部各产线工业生产网络缺乏针对工业环境中的网络流量进行集中监测,无法对出入库、分拣等控制网络中的攻击行为、数据流量、重要操作等进行实时监测和异常告警,缺少网络安全防护手段及措施,无法对异常流量、病毒攻击、网络攻击、误操作、非法接入等安全问题进行监控及预防,运维人员无法第一时间了解工业生产系统网络安全状态,一旦出现安全事故无法进行事后审计。
工业主机风险
工控主机更多的指是在生产网内部的HMI和工作站,包括工程师站、操作员站、实时/历史服务器、接口机等工业主机。这些工业主机存在未禁用工业主机操作系统默认网络共享;站控机操作系统用户为管理员权限且未做日志审计的问题,有内部人员误操作和外部人员恶意操作且无法追溯的风险。
工业主机及重要服务器等未安装主机防护软件,不具备检测对重要服务器入侵行为的能力;不具备对重要程序完整性检测的能力。
工业主机例如操作员站、工程师站等存在对U盘等外设无法有效管控的情况,U盘缺少安全措施的检测,容易将外部的病毒木马带入到工业生产网环境中。
由于物流配送中心操作员站、工程师站使用的应用软件多种多样,其自身安全性无法做到统一要求,很难形成统一的防护规范以应对安全问题;另外当应用软件面向工业网络应用时,需要使用专用的工业控制网络协议及端口,因此常规的信息安全保护产品很难保障其安全性。
运维风险
针对物流配送中心的工业主机、工控系统、工控安全设备、工控网络设备等资产,缺乏有效的资产统一管理、缺乏工控系统日志的统一采集和分析。对重要的工控服务器缺乏有效手段进行运维监控和审计能力。
调研发现在商烟物流配送中心存在TeamViewer远程控制软件的外网连接请求,经过分析就是之前通过TeamViewer进行远程维护工作。
安全策略和管理流程风险
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质(包括笔记本电脑、U 盘等设备)的肆意使用和防火墙不严格的访问控制策略。
操作系统配置管理问题,如勒索病毒“永恒之蓝”,它利用微软系统的445端口进行远程攻击,而445端口是文件共享需要用的一个端口,打印机服务等共享都会用到它,所以很普遍都打开了这个端口,这也给“永恒之蓝”这样的恶意软件在物流配送中心工控系统内传播提供了基础环境。
对网络设备、安全设备,缺少登录用户身份鉴别、口令复杂度要求、口令的定期更换时间要求,缺少登录失败处理功能。
对实时数据库,普遍未开启数据库审计策略、账户管理等,未建设异地灾备。
对组态软件,缺少有效账户、口令管理,缺少操作日志记录、存储策略。
人员安全意识上的欠缺
生产运维人员安全意识欠缺,认为网络属于独立状态,就是安全可靠的。不遵守已有规章制度,随意进行生产工作。如移动存储介质的私自使用,无线设备的网络接入。
安全统一管理
为满足等级保护相关要求,提高物流配送中心工业控制系统安全运营管理的效率,应建立企业工业安全管理中心,对生产网内的工业主机、工控系统、工控安全设备、工控网设备、工控服务器的日志进行统一采集存储,对工业安全设备进行统一接入管理,并且对安全事件进行关联分析,态势预测,建立安全统一管理体系。
工烟安全风险及需求
按照《烟草工业企业生产网与管理网网络互联安全规范》,原则上将烟草行业生产企业基于计算机及网络技术的业务系统划分为生产网、管理网和其他网络,如下图所示:
生产网边界风险
卷烟厂工控系统的网络安全防护手段主要集中在生产网与管理网的网络边界之间,制丝、卷包、物流、动力能源等不同生产区域之间。在关键网络节点处缺少检测、防止或限制从外部发起的网络攻击行为,缺少网络病毒检测手段。
制丝、卷包、物流、动力能源等产线内部使用工业协议进行数据传输,同时与MES系统通常采用OPC协议进行通讯。在网络边界处与生产网络内部,网络层缺少访问控制、防止或限制从内部发起的网络攻击行为、恶意代码进行检测和清除等技术手段,无法对生产网的核心生产设备及控制器核从系统边界上形成有效保护。
为了保证生产网工业应用软件的可用性,生产网各产线工控系统的各类操作员站、历史站、网络层面缺乏病毒防御及告警能力,在受到病毒入侵时无法进行阻断及及时告警。
生产网内部风险
在生产网内部各产线工业生产网络缺乏针对工业环境中的网络流量进行集中监测,无法对制丝、卷包、物流、动力能源等控制网络中的攻击行为、数据流量、重要操作等进行实时监测和异常告警,缺少网络安全防护手段及措施,无法对异常流量、病毒攻击、网络攻击、误操作、非法接入等安全问题进行监控及预防,运维人员无法第一时间了解工业生产系统网络安全状态,一旦出现安全事故无法进行事后审计。
工业主机风险
工控主机更多的指是在生产网内部的HMI和工作站,包括工程师站、操作员站、实时/历史服务器、接口机等工业主机。这些工业主机存在未禁用工业主机操作系统默认网络共享;站控机操作系统用户为管理员权限且未做日志审计的问题,有内部人员误操作和外部人员恶意操作且无法追溯的风险。
工业主机及重要服务器等未安装主机防护软件,不具备检测对重要服务器入侵行为的能力;不具备对重要程序完整性检测的能力。
工业主机例如操作员站、工程师站等存在对U盘等外设无法有效管控的情况,U盘缺少安全措施的检测,容易将外部的病毒木马带入到工业生产网环境中。
由于卷烟厂工业控制系统操作员站、工程师站使用的应用软件多种多样,其自身安全性无法做到统一要求,很难形成统一的防护规范以应对安全问题;另外当应用软件面向工业网络应用时,需要使用专用的工业控制网络协议及端口,因此常规的信息安全保护产品很难保障其安全性。
运维风险
针对卷烟厂生产网的工业主机、工控系统、工控安全设备、工控网络设备等资产,缺乏有效的资产统一管理、缺乏工控系统日志的统一采集和分析。对重要的工控服务器缺乏有效手段进行运维监控和审计能力。
调研发现在卷烟厂存在TeamViewer远程控制软件的外网连接请求,经过分析就是之前通过TeamViewer进行远程维护工作。
安全策略和管理流程风险
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质(包括笔记本电脑、U 盘等设备)的肆意使用和防火墙不严格的访问控制策略。
操作系统配置管理问题,如勒索病毒“永恒之蓝”,它利用微软系统的445端口进行远程攻击,而445端口是文件共享需要用的一个端口,打印机服务等共享都会用到它,所以很普遍都打开了这个端口,这也给“永恒之蓝”这样的恶意软件在卷烟厂生产网内传播提供了基础环境。
对网络设备、安全设备,缺少登录用户身份鉴别、口令复杂度要求、口令的定期更换时间要求,缺少登录失败处理功能。
对实时数据库,普遍未开启数据库审计策略、账户管理等,未建设异地灾备。
对组态软件,缺少有效账户、口令管理,缺少操作日志记录、存储策略。
人员安全意识上的欠缺
生产运维人员安全意识欠缺,认为网络属于独立状态,就是安全可靠的。不遵守已有规章制度,随意进行生产工作。如移动存储介质的私自使用,无线设备的网络接入。
安全统一管理
为满足等级保护相关要求,提高卷烟厂工业控制系统安全运营管理的效率,应建立企业工业安全管理中心,对生产网内的工业主机、工控系统、工控安全设备、工控网设备、工控服务器的日志进行统一采集存储,对工业安全设备进行统一接入管理,并且对安全事件进行关联分析,态势预测,建立安全统一管理体系。
方案设计
结合各地商烟物流配送中心的实际现状以及安全风险,从满足国家、行业相关标准及技术要求的角度设计安全解决方案,以下对物流配送中心工控系统安全解决方案进行阐述。
方案设计思路
基于烟草行业要求,基于“工业控制系统信息安全防护指南”和“等保三级”的技术和管理要求, 烟草行业工控系统保护总体框架如下:
工控安全保障体系以安全物理环境、安全基础设施为基础,“一个中心、三重防护”为核心指导思想,构建集识别、防护、检测、响应、恢复于一体的全面的安全保障体系。其中:
一个中心”是指安全运营管理中心,即构建先进高效的安全运营管理中心,实现针对系统、产品、设备、策略、信息安全事件、操作流程等的统一管理;
“三重防护”是指构建安全区域边界、安全计算环境、安全通信网络三维一体的技术防御体系。
