◆罗晓峰

打叶复烤企业工控安全现状及防控措施探讨

◆罗晓峰

（云南烟叶复烤有限责任公司保山复烤厂 云南 678000）

作为连接烟草工商企业的桥梁，打叶复烤企业在为卷烟工业企业提供优质卷烟原料加工服务保障方面发挥着不可替代的作用。工业控制系统作为打叶复烤企业生产加工过程中重要的信息基础设施，运行的可靠性直接影响产品质量的好坏。随着智能制造等新技术的应用，工控安全引起了打叶复烤企业越来越高的重视。文章以云南某打叶复烤厂为例，对打叶复烤企业工控网络架构、可能面临的网络安全风险及相关安全防控措施等进行了分析和探讨。

工控安全；信息安全；打叶复烤；风险防控

1 引言

近年来，针对工业控制系统的网络入侵和攻击事件时有发生，2006年至2010年间针对伊朗核工厂长达五年之久“震网”病毒入侵事件， 2017年“Wanna Cry”勒索病毒事件，2018年台积电病毒袭击事件，给相关企业造成了重大的经济损失，也为打叶复烤甚至整个烟草行业工业控制系统的网络安全问题敲响了警钟。我国工业和信息化部曾于2016年12月发布了《工业控制系统信息安全防护指南》，提出工业控制系统应用企业应从管理和技术等方面加强工业控制系统的安全防护工作，为相关企业工业控制系统的安全防护建设指明了方向。

本文以云南某打叶复烤厂工业控制系统为例，对打叶复烤企业工业控制系统网络架构、可能面临的网络安全风险及相关防控措施进行了分析与探讨。

2 打叶复烤企业工业控制系统网络架构及其特点

2.1 打叶复烤企业网络概述

根据烟草行业的改革要求，打叶复烤企业实行一个法人，多点生产加工的模式，主要承担烟草工商客户的烟叶收储及加工业务。按照业务需求及使用功能划分，打叶复烤厂网络一般由办公网、设备网、工控网三个业务应用专网组成，其中：办公网主要承载办公数据网络、有线电视、信息发布及会议系统等信息设施类应用，设备网主要承载视频监控、门禁、考勤、车辆出入管理系统等安全监管类应用，工控网主要承载工艺设备控制、物流设备控制、能源计量管理等生产加工类应用。网络结构一般为三层架构星型以太网，分为核心层、汇聚层和接入层，最后通过企业出口层网络设备连接到互联网。三层网络架构可以保证根据业务需求，对不同层次进行扩容。

2.2 打叶复烤企业工控网络架构

根据打叶复烤企业业务特点，工业控制系统按照系统的业务流程和具体组成架构特点划分，主要由烟叶物流控制类、复烤加工生产控制类、动力能管控制类和其他独立控制等四类系统组成。烟叶物流控制类系统主要应用于原烟收储、烟叶分选、成品储运等业务环节，一般由制造执行系统（MES）将生产计划下发到物流管理系统（WCS），再由WCS下发给PLC执行任务；复烤加工生产控制类系统主要应用于烟叶复烤加工环节，系统一般由工业交换机组成环网，根据生产工艺段划分，采用PLC、分布式IO、现场设备分离控制的模式；动力能管控制类系统主要包括锅炉、供配电、空压设备等控制系统，为生产线提供水、电、汽、气等能源保障；其他独立控制类主要包括污水处理控制系统等，此类系统因控制设备单1 I/O点数较少，控制器、现场设备及HMI多整合为一体。

2.3 打叶复烤企业工控网络特点

（2）各类工业控制系统工作基本相互独立，未形成统一信息交互整体，仅预留与其他系统信息传递相关接口；

（3）复烤加工生产类控制系统主干网络多采用Profinet、EtherNet/IP等工业以太网技术，电源和光纤多采用冗余设计，整个系统对网络通讯实时性、稳定性、可靠性有较高要求；

（4）控制类及网络传输类设备主要集中于西门子，罗克韦尔、施耐德、GE等国外厂家，设备性能优越；

（5）现场仪器仪表多具有网络通讯接口，智能化程度较高。

3 打叶复烤企业工业控制系统网络安全现状

（1）打叶复烤企业工业控制系统网络设备（如工业交换机、现场操作站等）一般就近放置于生产现场，因现场工况较差，设备运行稳定性难以保障；

（2）工控系统网络安全类设备配置单一，仅有防火墙等基础硬件配置，防火墙拦截策略不够完善；

（3）各类工控系统一般情况下不连接互联网，但为满足远程监打等业务需求，或为实现工控系统远程维护等功能，系统中一般配备了双网卡工程师站，仅在需要实现相关功能时，通过人工方式接入互联网，存在入侵隐患；

（4）系统内工控机、人机界面等终端未安装有终端安全管理系统，USB等接口裸露在外，基本无防御木马、病毒攻击及漏洞修复的能力；

PPR蛋白普遍具有与单链RNA结合的能力，随着研究的深入，PPR基序识别特定核苷酸的规律也逐渐清晰，目前认为，一个PPR基序可以特异性的识别一个核苷酸。

（5）工控网络管理人员技术技能相对薄弱，网络安全管理措施较为单薄，缺乏相关网络安全应急预案；

（6）系统对设备操作安全控制有较高要求，系统发生故障时，要及时、准确地停止相关设备，根据故障原因发出声、光报警，并显示故障原因提示信息，故障排除后，需要人工对故障进行复位才允许重新启动设备进行生产。

4 工控安全建设相关标准规范

关于工控系统信息安全标准，国际上已有几个重要的标准，IEC62443/ISA99，NIST SP800-82等，我国2014年底发布了GB30976.1-2014《工业控制系统信息安全评估规范和验收规范》。烟草行业2014实施关于工控系统信息安全的规范《烟草工业企业生产网与管理网网络互联安全规范》（YCT 494-2014），提出烟草企业的生产网和管理网的网络连接架构与要求，给出了烟草工业企业生产网与管理网互联接口安全模型及其安全功能、性能要求，明确两网之间的安全功能包括身份鉴别、访问控制、网络互联控制、恶意行为防范、安全审计、支撑操作系统安全。上述标准规范也为打叶复烤企业工业控制系统网络安全建设指明了方向。

5 云南某打叶复烤厂工控网络安全建设

云南某打叶复烤厂在工控网络安全建设方面遵循预防为主，技术为先的思路，从“人防+技防”为切入点实施网络安全建设。依据烟草行业网络安全 “分级分域、整体保护、积极预防、动态管理” 总体策略及《烟草工业企业生产网与管理网网络互联安全规范》进行建设，将生产网和管理隔离，通过身份鉴别、访问控制、网络互联控制、恶意行为防范、安全审计，支撑操作系统安全，加强接口数量控制和安全管理。

5.1 充分应用网络隔离技术

应用网络隔离技术，在系统中运用如防火墙等隔离措施，对病毒和外部攻击进行防御，运用及部署过滤或封锁网络流量的手段，来保证系统的安全。

5.2 入侵检测和入侵预防系统

通过预装入侵检测和入侵预防系统（如安全监测软件、防火墙软件），通过软件技术检测和防御网络流量中的网络物理攻击，降低目标环境中的潜在威胁，以此来保证系统的安全

5.3 及时更新及安装应用安全补丁

通过管理手段及软件技术，对系统使用的操作系统、应用软件及各工业专用软件，及时更新并安装应用安全补丁。通过安全补丁的安装来减小系统所存在的漏洞和后门，并及时应用到中控系统的应用层。以此来降低和弥补程序错误、设计缺陷的可能性，以保证系统的安全。

5.4 软件及接口安全技术

在系统软件开发设计过程中，通过软件及接口安全技术，对外部接口软件的连接请求进行身份认证，客户端经过认证后才能与服务器建立连接，同时服务器也需要经过认证才能与客户端通信，以此来保护网络服务的安全。同时采用TLS等措施对信息交换进行加密，保证通信安全。

5.5 远程访问VPN网关的应用

为更好保障系统的生产运行安全，以及对网络和技术的未来发展进行充分的预案，系统建设时引入了远程访问VPN网关设备和系统，实现对网络信息的安全接入和管理，有效保障业务数据安全和应对不断变化的业务需求。

5.6 制定网络安全应急预案

为确保工控系统的运行安全和数据安全，提升应急处理能力，最大限度预防和减少网络安全突发事件造成的损害，保障信息资产安全，系统建设完成后制定了工控网络与信息安全应急预案，为工控网络的安全可靠运行提供制度上的保障。

6 结语

随着物联网、智能制造等新技术在打叶复烤的应用，加工现场设备数字化、网络化、智能化的加快发展，工控安全将面临越来越多的挑战。打叶复烤工控网络安全与企业安全生产息息相关，加强相关网络安全设施建设，提升工控安全信息系统的防护能力，对解决自动化、信息化、智能化融合中互联网带来的威胁具有重要意义，有利于助推企业高质量发展。

[1]张勇.卷烟生产企业网络安全技术体系探究[J].科技创新与应用，2015（27）：94.

[2]梁琦.工业控制系统安全防护方案[J].电信科学，2018（04）：144-150.

[3]李伟.烟草商业物流工控安全体系研究[J].计算机产品与流通，2018（07）：274-275.

[4]周民军.工控网络现状与安全分析[J].现代工业经济和信息化，2017（15）：61-62.

[5]赵全洲，司成伟.浅谈烟草行业工控网络安全风险的威胁评估[J].通讯世界，2019（08）：63-65.

[6]GB 30976.1-2014《工业控制系统信息安全评估规范和验收规范》[S].

[7]YC/T494-2014《烟草工业企业生产网与管理网网络互联安全规范》[S].