基于“白名单”的卷烟工业控制系统终端安全防护

韦雄 李用清

摘要：随着卷烟企业日常生产工业信息化应用的不断发展，工业控制系统在各卷烟厂的卷烟制造过程中大量应用，很多制造过程中的重要环节都是由工业控制系统来辅助完成。这样一来，关系着整个生产过程安全稳定性的工业控制系统的安全运行与否，就直接影响着卷烟企业的日常生产。由于工业控制系统是由多个不同的控制单元和设备等终端组成，各工业控制系统终端的安全稳定性可以说是至关重要，在日常应用中可以通过基于“白名单”的安全防护方式对这些终端进行安全防护。

关键词：信息安全；工业控制系统；卷烟信息化

卷烟工业控制系统的特点

工业控制系统（Industrial Control Systems，英文缩写为ICS，以下简称工控系统），在卷烟生产企业中，主要是指用于对卷烟生产制造、动力能源、物流分拣配送等环节的设备、设施进行自动控制的系统。

目前，在卷烟工业企业中广泛应用的工控系统大多都使用西门子、罗克韦尔等国际较为知名的品牌厂商产品。与一般的计算机信息管理系统不同的是，工控系统的设计需要优先考虑系统的高可用性和业务连续性，在这样的设计思想影响下，相比之下就会缺乏比较有效的数据传输安全及保密措施，这也是当前卷烟企业工控系统的一大特点，也是所面临的一个问题。由于缺乏核心知识产权和相关行业管理标准，没有安全保密措施的数据传输在愈发智能开放的工控系统架构和参差不齐的运维水平现实前，存储于控制系统、数据采集与监控系统、现场总线以及相关联的核心数据、控制指令等随时可能被攻击者窃取或篡改破坏，由于工控系统关系着卷烟工业企业生产安全，其影响范围及后果一般比较严重，很可能造成整个工控系统产生故障，从而引发生产安全事故。

卷烟工控系统终端安全风险分析

卷烟企业在生产过程中主要应用的工控系统包括制丝集控系统、卷包数采系统、能源管理系统和自动化物流控制系统等，由于工控系统是由多个不同的控制单元和设备等终端组成，所以受工控系统的特点影响，工控系统的终端安全及保密性能都较差，同时存在着以下这些风险：

（1）设备漏洞和后门：大多数工控系统中在运行的控制器的设计都以优化实时的I/O功能为主，而并不提供加强的网络连接安全防护功能，由于PLC等控制系统缺乏必要的安全性设计，所以PLC系统都是很容易受到攻击的对象，一般的黑客入门者就很容易能获取入侵这些系统的工具，并且当前工控系统设备基本上被国外品牌厂商垄断，设备存在漏洞和后门，核心技术又受制于人，这就增加了诸多不可控的安全因素。

（2）协议漏洞：在卷烟生产企业工控系统中，OPC 协议被广泛地应用，随之而来的通信协议漏洞问题也日渐突出，由于 OPC 通讯过程采用不固定的端口号，导致目前几乎无法使用传统的普通防火墙来确保其安全性。因此确保使用 OPC 通讯协议的工控系统的安全可靠性是一个不小的挑战。

（3）操作系统漏洞：目前很多工控系统中的工程师站、操作站等设备安装的都是Windows 操作系统，为保证过程控制系统的相对独立性，同时也考虑到系统的稳定运行，通常在系统实施后不会对Windows 平台安装任何补丁，这样一来，存在的问题是，不安装补丁系统就存在被攻击的可能，从而埋下较大的安全隐患。

（4）杀毒软件问题：为了保证工控系统应用软件的可用性，许多工控系统操作站一般不会安装杀毒软件，即便安装有了杀毒软件，在实际使用过程中也会有很大的局限性，主要原因在于使用杀毒软件很关键的一点是，其病毒库需要不断的升级更新，这一要求非常不适合于工控系统的使用环境。另外，杀毒软件对新出病毒的处理相对来说总是滞后的。所以，工控系统的防病毒能力都比较差。

（5）应用软件安全问题：由于同一企业中不同的工控系统一般是由不同厂商开发建设的，导致工控应用软件各种各样，在管理防护上很难形成统一的防护规范来主动应对安全问题，另外，当应用软件面向网络应用时，就必须开放其应用端口，因此，常规的传统防火墙等安全防护设备很难保障其安全性。

工控系统终端安全防护对策

根据前文的叙述，工控系统终端目前存在着较大的安全风险，并且，由于各卷烟企业的工控系统安全建设工作起步较晚，系统更为脆弱，这些安全风险一旦发生，很容易导致整个生产工控系统及网络的瘫痪，给企业生产管理工作造成严重危害。所以，工控系统终端的安全防护已经势在必行。

传统的安全防护设备及软件无法很好的解决工控系统终端的安全防护问题，那么怎样才能有效地进行终端安全防护呢？经过分析发现，不同的卷烟工控系统终端虽然应用不同的软件，但都有着以下几个共同点：均是系统内部应用；应用场景单一，少变化；不与系统以外的其他设备进行通讯；应用软件不需要不断升级更新。也就是说，只要我们能保障这些终端现有在用的软件及应用安全，对其他外来的应用及通讯全部都不接受，就能很好的實现安全防护，这就是所谓的“白名单”防护技术。相对传统防病毒软件通过升级病毒库特征码不断更新加入“黑名单”的方式，这种固定只允许某些应用的“白名单”防护技术，通过对数据采集和分析，其内置智能学习模块会自动生成本工控系统软件正常行为的“白名单”，应用中通过与系统内的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合“白名单”中的行为特征，其主机安全防护系统将会对此行为进行阻断或禁止，从而避免本终端主机受到未知攻击和入侵威胁，同时还可以有效的阻止操作人员异常操作带来的危害。

当然，基于“白名单”的工控系统终端防护方式是可以有效地对现有终端进行安全防范，但在实际部署中也存在一些难点，比如说需要对现有在用的各工控系统的应用软件名称、类型、进程等等信息都要了解准确，避免部署后由于出现错漏造成终端工作的不正常，但很多企业中现用工控系统由于使用年限较长及设备、软件较老等原因，想要准确建立整个系统的真正“白名单”并不容易，这就需要在部署前期进行充分沟通交流以及不断进行数据采集分析和测试。

参考文献：

[1]工控系统安全威胁及防护应用探讨[J]. 白雪原. 中国信息化. 2018（05）

[2]工业领域基础设施SCADA系统简介——关于我国SCADA系统信息安全的研究与思考之一[J]. 徐金伟. 计算机安全. 2012（01）

[3]浅谈如何防范勒索软件对工控系统的威胁[J]. 张晔. 自动化博览. 2017（08）

[4]工业控制系统安全管理体系研究——ICS工业控制系统安全风险分析之二[J]. 张帅. 计算机安全. 2012（01）

[5]能源行业工控系统信息安全分析与防护[J]. 张五一，李圣泉. 信息安全与通信保密. 2015（04）