煙草工業信息安全檢測技術研究范文

本站小編為你精心準備了煙草工業信息安全檢測技術研究參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

摘要：隨著煙草行業內工業控制系統信息技術的高速發展，煙草生產企業所面臨的安全問題較為嚴峻。工業控制系統的信息安全技術作為信息安全建設工作的重要一環，可及時對入侵行為或異常行為進行報警。本文首先介紹了煙草行業典型工業控制系統網絡架構，并從多個角度對其脆弱性進行分析。然后對目前針對工業控制系統的幾種主要安全檢測方法進行介紹，對幾種方法在煙草行業典型工業控制系統中的適用性進行分析，最后從不同方面分析煙草行業工業控制系統安全檢測方法的發展方向。

關鍵詞：工業控制系統；入侵檢測；煙草工業；信息安全

煙草行業作為國家重要稅收來源的支柱產業之一，行業內工、商業企業的生產系統中大量使用工業自動化控制系統。在工業化與信息化融合的大趨勢下，行業中的工業控制網絡與管理網絡的互聯互通是必然趨勢，導致目前煙草行業的工業控制系統安全危險等級和入侵威脅方式不斷增加。為保障工業控制系統的安全穩定運行，除自動化設備提供商在自動化設備自身安全性設計方面需加強外，應用必要的專用安全檢測、安全防護措施對整個系統進行安全加固也是必不可少的。目前，安全入侵檢測方法是一種非常重要的安全檢測技術，通過對煙草通信系統行為實時監視、定位、分析，以分析出異常的攻擊行為操作，并在對方的攻擊行為前進行攔截、等操作[1]。本文首先對目前煙草行業典型工業控制系統的網絡結構、設備類型、業務特點等情況進行總結、歸納，對系統所可能產生的安全風險進行分析。對煙草系統入侵檢測技術原理進行了研究，結合煙草行業工業控制系統的特殊性進行了適用性分析。最后對適用于煙草行業工業控制系統的入侵檢測技術進行展望。

1煙草工業控制系統網絡

卷煙生產企業是煙草行業典型的工業企業，其中制絲車間是對煙葉原料進行加工的重要車間，具有煙草行業的明顯行業特色，卷煙生產中的香煙卷包等工作均需要以制絲車間生產的煙絲為原料，制絲車間內工業控制系統的安全穩定運行是整個卷煙廠生產任務達成的重要保障。過程監控層一般包含工程師站、操作員站、監控站等設備，由交換機組成過程監控層網絡，網絡結構多為星型，其中工程師站、操作員站、監控站、I/O服務器通常為基于通用操作系統（如Windows7、WindowsXP、WindowsServer2005等）裝有專用工業組態軟件（如：WinCC、InTouch、iFix等）的計算機或服務器；現場控制層主要包含現場控制設備，如PLC（ProgrammableLogicController），由工業專用交換機連接現場控制設備組成工業環網；現場設備層翻箱機、烘干機等機械設備由專用電纜或電線接入PLC，如圖1。圖1煙草典型工業控制網絡結構圖通訊網絡是制絲集控系統的主要基礎設施，過程監控層與MES系統、現場控制層設備通訊所涉及的主要網絡協議如圖2所示。除普通計算機網絡中所普遍使用的通訊協議外，在制絲集控系統中有工業協議的應用。其中過程監控層設備與MES系統間通訊使用OPC（OLEforProcessControl）協議[2]；過程監控層I/O服務器與現場控制設備通訊使用S7、Modbus/TCP、Ethernet/IP等工業協議，其中S7協議為業界常用的西門子協議，用于西門子的設備進行交換數據，ModbusTCP以一種比較簡單的方式將Modbus幀嵌入TCP幀中[3]。Ethernet/IP是采用了傳統通用工業協議(CommonIndustrialProtocol，CIP)，通過這協議共同構成Ethernet/IP協議族結構[4]。

2煙草行業典型工業控制系統安全性研究

2.1網絡結構風險

如圖1中所示典型煙草工業控制系統網絡結構，在管理協同層和生產執行層設備往往可以訪問互聯網，因此管理網的安全性相對較低，管理網中設備直接面臨來自互聯網的種種安全威脅。隨著工業控制系統的集成化越來越高，典型煙草生產系統各個子系統的互聯程度大大提高，在生產網和管理網之間網絡互通，由于日常運維工作的需求，往往在管理網中部分設備可訪問生產網中的操作站、工程師站或現場控制層工業交換機等設備。

2.2主機風險

由于工業控制系統的特殊性，導致過程監控層設備不能及時進行系統更新而漏洞重重，因此在大多數煙草工業控制系統中，微軟歷年來被爆出的遠程代碼執行、認證繞過等多個類型的高危漏洞都能被很輕易地掃描到。

2.3應用及控制設備風險

由于國內工業自動化起步較晚，到目前為止自動化技術水平與國際領先的自動化供應商仍然存在較大差距，而煙草工業生產對于自動化設備要求較高，目前煙草行業內自動化設備市場份額主要被Siemens、Rockwell和GE等國外公司所占據，因此煙草工業控制系統中所使用的組態軟件主要是WinCC和iFix等。

2.4協議風險

在工業控制系統中，所使用的工業通訊協議是其區別于普通信息系統的主要因素之一。目前工業控制系統中所使用的工業協議在設計之初主要考慮協議傳輸的實時性、可用性等符合工業需求，但是往往在安全性方面考慮不足，存在著信息泄露或指令被篡改等風險。在煙草工業控制系統中所普遍使用的OPC、Modbus、Ethernet/IP均存在著一些典型安全問題。2.4.1OPC協議（1）授權服務滯后傳統的系統受限于維護窗口等諸多因素，不安全的授權機制使用頻繁。在多個系統里面，會使用系統默認的Windows2000LanMan(LM)管理方法，管理方法與其他過時的授權機制由于脆弱易受攻擊。（2）RPC漏洞。同時OPC使用RPC的原因，易受所有RPC相關產生漏洞的影響，最后導致攻擊底層RPC漏洞被導致非法執行代碼利用。（3）端口與服務敞開。OPC支持包括NetBEUI、在Ipx協議上進行的面向連接服務的復雜的NetBIOS和HTTP互聯網服務。（4）OPC服務器完整性。攻擊者創建一個假非法的OPC服務器，并通過這個服務器進行各種服務的干擾，最后通過總線監聽竊取相關信息或重要的話注入惡意代碼。多種威脅方式可以通過監控OPC網絡或OPC服務器的可疑行為分析，如從OPC服務器發起的使用端口與服務進行攻擊；通過分析發現已經出現的已知OPC(包括底層OLERPC與DCOM)攻擊；分析來自不同層面的未知OPC服務器的OPC服務；由于成功授權OPC服務器上由未知或未授權用戶。2.4.2Modbus協議（1）認證機制缺失在網絡連接方面，采用TCP協議?？梢栽诖_定目標IP地址情況下，通過502端口發起并建立通信連接。如果所采取的應用數據單元攜帶功能碼可由Modbus設備支持的，系統可以建立合法的可靠的MODBUS會話。（2）權限區分缺乏保護對于任何設備，如果該設備能連接到目標Modbus設備上，該設備就可以執行所有Modbus設備所具有各項功能。（3）數據明文傳輸容易破解Modbus協議封裝采用ADU方式，同時輸也是同樣的ADU，在網絡上采用以明文形式進行數據傳輸，最后通過抓包或者其他方式的技術獲取并解析出里面的原始數據。因此在現有條件的基礎上對Modbus協議以上三點缺點進行安全加固工作很有必要。

2.5工業控制系統安全檢測技術分析

在當前工業控制系統安全領域中，工業控制系統安全檢測方法是工業控制系統項目安全建設工作重要組成部分?？梢葬槍煵菪袠I工業控制系統的典型問題，通過對工業控制系統中所出現的入侵行為、異常動作或違法指令的實時檢測，是保障工業控制系統安全穩定運行的重要一環。安全檢測方法是一種通過收集和分析被保護系統信息，發現安全威脅的技術較為重要。它的作用是對現有的網絡和計算機業務系統進行實時監控，發現各種入侵行為或企圖，給出入侵警報[5]。2.5.1現有工業控制系統安全檢測方法（1）基于協議解析的工業控制系統安全檢測由工業協議安全性分析過程中可見，在OPC、Modbus/TCP、Ethernet/IP等協議中所存在的安全隱患（包括數據明文傳輸、缺乏認證機制等），從入侵者對協議安全漏洞的利用角度，只需要對某些重要節點的傳輸數據進行竊聽，在協議中獲取重要的組態軟件或工控網絡設備的登錄口令、密碼等重要信息；進行最終的攻擊也需要對工業通訊協議中所承載的工業控制指令所在字段根據入侵目的進行精確篡改，偽裝成合法身份對工業控制設備下發錯誤指令，從而達到最終入侵目的。根據協議所公開規范和業務存在的邏輯，對所發送的報文里面參數的取值范圍構造相應的基于協議格式的內容模型，依靠模型所構造出的協議規范模型從白名單中可識別出異常功能碼和入侵行為[6]如圖3所示。圖3通用Modbus框架（2）基于流量分析的工業控制系統安全檢測在傳統信息安全領域，很多攻擊行為或惡意代碼傳播過程在網絡流量這一維度觀察都具有顯著特征，而由于工業控制系統中過程監控層設備與傳統信息系統中設備類型、操作系統等具有很高相似度，對于傳統信息安全領域的一些典型入侵行為也同樣可能出現，因此基于流量分析也被引入工業控制系統安全檢測方法。在工業控制系統安全檢測方法中，典型的基于入侵行為特征庫的匹配方法也得到廣泛應用。在入侵者在對工業控制系統進行攻擊時，利用某些已被曝出的高危漏洞、病毒作出特定攻擊動作，這些攻擊動作具有一定特征的行為序列特性，帶有特征的行為序列特性就可以抽象出一定特征模型。2.5.2煙草工控系統安全檢測的適用性分析對于傳統煙草工業系統入侵檢測方法的典型判斷指標有檢測率、漏報率、誤報率，檢測率表示對系統行為正確檢測的性能分析，可以表示安全檢測的整體性能[7]。漏報率是分析異常數據判斷為正常行為的概率。誤報率是把正常數據分析判斷為異常數據分析的概率。在工業控制系統安全檢測方法中，基于協議解析的方法需要對監測到的通訊數據進行深度了解，一方面進行協議格式等檢查確保通訊數據本質差錯[8]；另一方面識別當前數據所攜帶的控制指令，并且與正常情況中的指令通過多方面多維度的對比來進行異常指令識別[9]。但在煙草行業典型工業控制系統中，即使按照中等規模的生產企業來測算，需要檢測的生產指令無論對于專業人員還是對檢測設備都可以算是海量的，從中分辨出指令的正常與否在原理上雖然可行，誤報率會比較低，但在實際情況操作中可能需要耗費很大工作量，并且檢測率和漏報率都是不得不面對的困難。通過對目前幾種安全檢測方法的分析可見，利用單一的某一種檢測方法在實際進行煙草行業典型工業控制系統中入侵或異常行為的檢測時，均存在較為明顯的缺陷或不適用性。目前對于煙草行業典型工業控制系統安全檢測方法需要進一步改進。首先從安全檢測方法的選擇上，應盡可能結合多種檢測方法；另外，在某單一檢測方法的使用上，仍需通過算法的完善、改進或更替來加強檢測水平。無論從安全檢測設備的處理能力和邏輯體系的建立都困難重重，但目前在其他領域的人工智能、機器學習等方面的技術研究、應用都在飛速發展，對于工業控制系統中安全檢測方法中數據處理提供了一定的借鑒價值，針對工業控制系統中數據的多維度、非線性帶來的困難提供良好的解決思路，但從實際應用的角度仍需綜合成本等因素來綜合考慮。

3結束語

目前主流工業控制系統安全檢測方法進行了介紹，對基于協議解析、流量分析、特征庫匹配的工業控制系統安全檢測方法原理以及檢測效果進行剖析。最后結合煙草行業典型工業控制系統特點對幾種安全檢測方法在實際場景中的適用性全面分析，并結合實際經驗基礎技術展望。通過本文對于控制系統信息安全檢測技術的行為分析研究，針對工業控制系統信息安全從業人員能使用工業控制系統信息安全檢測技術，對增強工業控制系統安全保護能力具有重要意義。

作者：洪軼群 單位：廈門煙草工業有限責任公司