近期烟草行业本部解决方案部先后与多家行业工业企业和地市烟草物流开展了工控安全交流,这两个类型都已经有多个用户形成明年工控安全项目建设的竞争较劲,经过近几年的持续宣传和推动,烟草行业的工控安全建设良好的势头已经明确。交流过程中用户首先焦虑的追问(1)工控安全的行业整体情况是什么?(2)为什么工信部和国家局近期密集推动工控安全建设和工控检查?(3)其他行业单位思路和规划情况如何?(4)结合我们自身实际情况帮我们看看明年落地什么工控安全项目合适?聚焦明年的工控安全规划、确定具体项目已是烟草用户确定明年预算的必加内容。
重视用户近期对明年安全规划和预算的编制和上会确认,烟草行业用户的特点使得此时不敢耽误规划埋单,一旦错过就是一年(机不可失、时不我待)。
2017年9月12日将在郑州举行的烟草行业年度网络安全培训,将包括各行业单位信息中心业务领导和安全专员,龙岩卷烟厂将做工控安全建设经验介绍,结合7月份工信部工控一所对四川卷烟厂和龙岩卷烟厂的现场工控信息安全检查,势必形成又一股烟草工控安全建设的推动力量,传统管理网安全采购的乏力也是当前行业单位积极开展工控安全建设的重要因素。
同时经过行业本部持续的工作推动,我们判断行业总局领导今年的信息安全方向性要求讲从单纯的合规性要求转到更加强调安全措施的有效性检验上,将推动定期的风险评估、专项渗透测试、专业第三方安全运维等安全服务的重视和投入,纯安全服务采购模式已经在行业至少三家单位开展了试点,并得到了国家局信息中心领导的认可,产品服务化已经开始成为存量市场,我们需要跟进行业用户安全思路转变早做准备和调整。
现状与形势
烟草行业作为国民经济的支柱产业之一,在行业内生产系统中大量使用工业控制系统。在两化融合的大趋势下,行业中的工业控制网络与办公网络的互联互通是一个必然的趋势。从烟草行业普遍性角度来看,工业控制网络与办公网络的连接基本上没有进行任何逻辑隔离和检测防护,工业控制网络基本上不具备任何发现、防御外部攻击行为的手段,外部威胁源一旦进入公司的办公网络,则可以一通到底的连接到工业网络的现场控制层网络,直接影响工业生产。另一方面工业控制网络内部设备如各类操作站、终端等,大部分采用Windows系统,为保证工业软件的稳定运行无法进行系统升级甚至不能安装杀毒软件,存在着大量漏洞,在自身安全性不高的情况下运行,综合而言工业控制系统的安全风险不言而喻。
安全需求
根据对多家烟厂及烟草相关生产企业的工业控制系统进行走访调研,通过现场工具检测、模拟现场环境重现问题,并通过对网络、主机及应用进行实时监测,专家会诊等多种措施进行了问题的分析诊断,总结对于大多数工业企业存在如下一些管理和技术两方面的脆弱性:
通过对烟草工业企业出现过的实际问题进行汇总后发现,不管是设备间的通讯超时、操作站下发指令缓慢甚至不成功还是操作站显示异常等频发问题,其原因主要是由于以下信息安全技术方面的脆弱性所造成:
(1) 未进行安全域划分,区域间未设置访问控制措施。
随着工控系统的集成化越来越高,烟草生产系统各个子系统的互联程度大大提高。但是烟草生产系统只在生产职责上自然区分了制丝、卷包、物流、动力能源等各个车间,但是各个车间之间安全区域划分不清晰,边界访问控制策略缺失等问题导致一处服务器或操作站感染病毒后,可以迅速通过工控网络传播到其他设备直接影响HMI、PLC等设备的正常运行。
(2)第三方运维人员接入工控网络带来风险。
运维工程师笔记本电脑存在随意接入工控网络问题。没有达到安全基线的笔记本电脑接入工业控制系统,可能会对工业控制系统的安全造成很大的威胁。
(3)网络访问关系不清晰,存在孤儿设备和未知IP。
通过对一些生产网络数据监测分析,很多烟厂存在生产部门和IT部门均不了解的IP地址,网络访问关系不清晰,出现问题后无法准确定位。基础设备资产硬件、软件等没有完整登记信息,没有详细反应实际情况的网络系统拓扑图等,存在混乱的访问关系的现象,严重时甚至会发生网络阻塞。
(4)工程师站和操作员站存在安全问题。
行业内工程师站、操作员站安装防病毒软件情况统计如下图所示。操作终端大多数是Windows系统,并且大部分没有安装防病毒软件,存在弱口令,投产后无补丁更新,无软件白名单管理等问题,由于操作终端直接可以监控生产线PLC等控制设备,一旦发生安全问题,会直接对生产系统造成影响。
(5)工控设备存在风险。现场所使用的很多版本、型号的各大工控厂商的现场控制设备(PLC)工控网络设备以及工控组态软件等存在着大量漏洞,时刻威胁着工控设备正常运行。
(6)工业协议存在风险。目前工控系统中所使用的工业协议更多的是考虑协议传输的实时性等符合工业需求,但是在安全性方面考虑不足,存在着泄露信息或指令被篡改等风险。
(7)无线通信安全性不足。
烟草生产系统各车间现场大量使用无线网络及设备,在带来方便的同时,随之而来的还有无线网络安全方面的威胁。其中包括未授权用户的非法接入、非法AP欺骗生产设备接入、数据在传输过程中被监听窃取、基于无线的入侵行为等问题。
(8)缺乏统一监控管理。
缺乏统一有效的信息安全监控工具对工业控制系统中的网络设备、服务器、数据库等进行有效安全监控和管理,在工业控制系统和控制网络的设备出现故障时,不能提供及时的预警和故障定位,造成排障时间较长。
(9)上线前未进行信息安全测试。
烟草行业各个子系统上线前一般进行的安全测试仅针对系统的可用性,很少进行严格的信息安全核查,对存在的系统漏洞、安全配置不足、系统健壮性不够、业务逻辑错误等脆弱性威胁掌握不充分,无法及时排除或采取其他安全修补措施。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
