烟草工业信息安全检测技术研究范文

摘要：随着烟草行业内工业控制系统信息技术的高速发展，烟草生产企业所面临的安全问题较为严峻。工业控制系统的信息安全技术作为信息安全建设工作的重要一环，可及时对入侵行为或异常行为进行报警。本文首先介绍了烟草行业典型工业控制系统网络架构，并从多个角度对其脆弱性进行分析。然后对目前针对工业控制系统的几种主要安全检测方法进行介绍，对几种方法在烟草行业典型工业控制系统中的适用性进行分析，最后从不同方面分析烟草行业工业控制系统安全检测方法的发展方向。

关键词：工业控制系统；入侵检测；烟草工业；信息安全

烟草行业作为国家重要税收来源的支柱产业之一，行业内工、商业企业的生产系统中大量使用工业自动化控制系统。在工业化与信息化融合的大趋势下，行业中的工业控制网络与管理网络的互联互通是必然趋势，导致目前烟草行业的工业控制系统安全危险等级和入侵威胁方式不断增加。为保障工业控制系统的安全稳定运行，除自动化设备提供商在自动化设备自身安全性设计方面需加强外，应用必要的专用安全检测、安全防护措施对整个系统进行安全加固也是必不可少的。目前，安全入侵检测方法是一种非常重要的安全检测技术，通过对烟草通信系统行为实时监视、定位、分析，以分析出异常的攻击行为操作，并在对方的攻击行为前进行拦截、等操作[1]。本文首先对目前烟草行业典型工业控制系统的网络结构、设备类型、业务特点等情况进行总结、归纳，对系统所可能产生的安全风险进行分析。对烟草系统入侵检测技术原理进行了研究，结合烟草行业工业控制系统的特殊性进行了适用性分析。最后对适用于烟草行业工业控制系统的入侵检测技术进行展望。

1烟草工业控制系统网络

卷烟生产企业是烟草行业典型的工业企业，其中制丝车间是对烟叶原料进行加工的重要车间，具有烟草行业的明显行业特色，卷烟生产中的香烟卷包等工作均需要以制丝车间生产的烟丝为原料，制丝车间内工业控制系统的安全稳定运行是整个卷烟厂生产任务达成的重要保障。过程监控层一般包含工程师站、操作员站、监控站等设备，由交换机组成过程监控层网络，网络结构多为星型，其中工程师站、操作员站、监控站、I/O服务器通常为基于通用操作系统（如Windows7、WindowsXP、WindowsServer2005等）装有专用工业组态软件（如：WinCC、InTouch、iFix等）的计算机或服务器；现场控制层主要包含现场控制设备，如PLC（ProgrammableLogicController），由工业专用交换机连接现场控制设备组成工业环网；现场设备层翻箱机、烘干机等机械设备由专用电缆或电线接入PLC，如图1。图1烟草典型工业控制网络结构图通讯网络是制丝集控系统的主要基础设施，过程监控层与MES系统、现场控制层设备通讯所涉及的主要网络协议如图2所示。除普通计算机网络中所普遍使用的通讯协议外，在制丝集控系统中有工业协议的应用。其中过程监控层设备与MES系统间通讯使用OPC（OLEforProcessControl）协议[2]；过程监控层I/O服务器与现场控制设备通讯使用S7、Modbus/TCP、Ethernet/IP等工业协议，其中S7协议为业界常用的西门子协议，用于西门子的设备进行交换数据，ModbusTCP以一种比较简单的方式将Modbus帧嵌入TCP帧中[3]。Ethernet/IP是采用了传统通用工业协议(CommonIndustrialProtocol，CIP)，通过这协议共同构成Ethernet/IP协议族结构[4]。

2烟草行业典型工业控制系统安全性研究

2.1网络结构风险

如图1中所示典型烟草工业控制系统网络结构，在管理协同层和生产执行层设备往往可以访问互联网，因此管理网的安全性相对较低，管理网中设备直接面临来自互联网的种种安全威胁。随着工业控制系统的集成化越来越高，典型烟草生产系统各个子系统的互联程度大大提高，在生产网和管理网之间网络互通，由于日常运维工作的需求，往往在管理网中部分设备可访问生产网中的操作站、工程师站或现场控制层工业交换机等设备。

2.2主机风险

由于工业控制系统的特殊性，导致过程监控层设备不能及时进行系统更新而漏洞重重，因此在大多数烟草工业控制系统中，微软历年来被爆出的远程代码执行、认证绕过等多个类型的高危漏洞都能被很轻易地扫描到。

2.3应用及控制设备风险

由于国内工业自动化起步较晚，到目前为止自动化技术水平与国际领先的自动化供应商仍然存在较大差距，而烟草工业生产对于自动化设备要求较高，目前烟草行业内自动化设备市场份额主要被Siemens、Rockwell和GE等国外公司所占据，因此烟草工业控制系统中所使用的组态软件主要是WinCC和iFix等。

2.4协议风险

在工业控制系统中，所使用的工业通讯协议是其区别于普通信息系统的主要因素之一。目前工业控制系统中所使用的工业协议在设计之初主要考虑协议传输的实时性、可用性等符合工业需求，但是往往在安全性方面考虑不足，存在着信息泄露或指令被篡改等风险。在烟草工业控制系统中所普遍使用的OPC、Modbus、Ethernet/IP均存在着一些典型安全问题。2.4.1OPC协议（1）授权服务滞后传统的系统受限于维护窗口等诸多因素，不安全的授权机制使用频繁。在多个系统里面，会使用系统默认的Windows2000LanMan(LM)管理方法，管理方法与其他过时的授权机制由于脆弱易受攻击。（2）RPC漏洞。同时OPC使用RPC的原因，易受所有RPC相关产生漏洞的影响，最后导致攻击底层RPC漏洞被导致非法执行代码利用。（3）端口与服务敞开。OPC支持包括NetBEUI、在Ipx协议上进行的面向连接服务的复杂的NetBIOS和HTTP互联网服务。（4）OPC服务器完整性。攻击者创建一个假非法的OPC服务器，并通过这个服务器进行各种服务的干扰，最后通过总线监听窃取相关信息或重要的话注入恶意代码。多种威胁方式可以通过监控OPC网络或OPC服务器的可疑行为分析，如从OPC服务器发起的使用端口与服务进行攻击；通过分析发现已经出现的已知OPC(包括底层OLERPC与DCOM)攻击；分析来自不同层面的未知OPC服务器的OPC服务；由于成功授权OPC服务器上由未知或未授权用户。2.4.2Modbus协议（1）认证机制缺失在网络连接方面，采用TCP协议。可以在确定目标IP地址情况下，通过502端口发起并建立通信连接。如果所采取的应用数据单元携带功能码可由Modbus设备支持的，系统可以建立合法的可靠的MODBUS会话。（2）权限区分缺乏保护对于任何设备，如果该设备能连接到目标Modbus设备上，该设备就可以执行所有Modbus设备所具有各项功能。（3）数据明文传输容易破解Modbus协议封装采用ADU方式，同时输也是同样的ADU，在网络上采用以明文形式进行数据传输，最后通过抓包或者其他方式的技术获取并解析出里面的原始数据。因此在现有条件的基础上对Modbus协议以上三点缺点进行安全加固工作很有必要。

2.5工业控制系统安全检测技术分析

在当前工业控制系统安全领域中，工业控制系统安全检测方法是工业控制系统项目安全建设工作重要组成部分。可以针对烟草行业工业控制系统的典型问题，通过对工业控制系统中所出现的入侵行为、异常动作或违法指令的实时检测，是保障工业控制系统安全稳定运行的重要一环。安全检测方法是一种通过收集和分析被保护系统信息，发现安全威胁的技术较为重要。它的作用是对现有的网络和计算机业务系统进行实时监控，发现各种入侵行为或企图，给出入侵警报[5]。2.5.1现有工业控制系统安全检测方法（1）基于协议解析的工业控制系统安全检测由工业协议安全性分析过程中可见，在OPC、Modbus/TCP、Ethernet/IP等协议中所存在的安全隐患（包括数据明文传输、缺乏认证机制等），从入侵者对协议安全漏洞的利用角度，只需要对某些重要节点的传输数据进行窃听，在协议中获取重要的组态软件或工控网络设备的登录口令、密码等重要信息；进行最终的攻击也需要对工业通讯协议中所承载的工业控制指令所在字段根据入侵目的进行精确篡改，伪装成合法身份对工业控制设备下发错误指令，从而达到最终入侵目的。根据协议所公开规范和业务存在的逻辑，对所发送的报文里面参数的取值范围构造相应的基于协议格式的内容模型，依靠模型所构造出的协议规范模型从白名单中可识别出异常功能码和入侵行为[6]如图3所示。图3通用Modbus框架（2）基于流量分析的工业控制系统安全检测在传统信息安全领域，很多攻击行为或恶意代码传播过程在网络流量这一维度观察都具有显著特征，而由于工业控制系统中过程监控层设备与传统信息系统中设备类型、操作系统等具有很高相似度，对于传统信息安全领域的一些典型入侵行为也同样可能出现，因此基于流量分析也被引入工业控制系统安全检测方法。在工业控制系统安全检测方法中，典型的基于入侵行为特征库的匹配方法也得到广泛应用。在入侵者在对工业控制系统进行攻击时，利用某些已被曝出的高危漏洞、病毒作出特定攻击动作，这些攻击动作具有一定特征的行为序列特性，带有特征的行为序列特性就可以抽象出一定特征模型。2.5.2烟草工控系统安全检测的适用性分析对于传统烟草工业系统入侵检测方法的典型判断指标有检测率、漏报率、误报率，检测率表示对系统行为正确检测的性能分析，可以表示安全检测的整体性能[7]。漏报率是分析异常数据判断为正常行为的概率。误报率是把正常数据分析判断为异常数据分析的概率。在工业控制系统安全检测方法中，基于协议解析的方法需要对监测到的通讯数据进行深度了解，一方面进行协议格式等检查确保通讯数据本质差错[8]；另一方面识别当前数据所携带的控制指令，并且与正常情况中的指令通过多方面多维度的对比来进行异常指令识别[9]。但在烟草行业典型工业控制系统中，即使按照中等规模的生产企业来测算，需要检测的生产指令无论对于专业人员还是对检测设备都可以算是海量的，从中分辨出指令的正常与否在原理上虽然可行，误报率会比较低，但在实际情况操作中可能需要耗费很大工作量，并且检测率和漏报率都是不得不面对的困难。通过对目前几种安全检测方法的分析可见，利用单一的某一种检测方法在实际进行烟草行业典型工业控制系统中入侵或异常行为的检测时，均存在较为明显的缺陷或不适用性。目前对于烟草行业典型工业控制系统安全检测方法需要进一步改进。首先从安全检测方法的选择上，应尽可能结合多种检测方法；另外，在某单一检测方法的使用上，仍需通过算法的完善、改进或更替来加强检测水平。无论从安全检测设备的处理能力和逻辑体系的建立都困难重重，但目前在其他领域的人工智能、机器学习等方面的技术研究、应用都在飞速发展，对于工业控制系统中安全检测方法中数据处理提供了一定的借鉴价值，针对工业控制系统中数据的多维度、非线性带来的困难提供良好的解决思路，但从实际应用的角度仍需综合成本等因素来综合考虑。

3结束语

目前主流工业控制系统安全检测方法进行了介绍，对基于协议解析、流量分析、特征库匹配的工业控制系统安全检测方法原理以及检测效果进行剖析。最后结合烟草行业典型工业控制系统特点对几种安全检测方法在实际场景中的适用性全面分析，并结合实际经验基础技术展望。通过本文对于控制系统信息安全检测技术的行为分析研究，针对工业控制系统信息安全从业人员能使用工业控制系统信息安全检测技术，对增强工业控制系统安全保护能力具有重要意义。

作者：洪轶群 单位：厦门烟草工业有限责任公司