烟草商业物流工控安全体系建设思考

烟草商业物流工控安全体系建设思考

摘要:随着社会进步和计算机技术的不断发展,物流工控设备在烟草商业企业物流得到普遍应用,在生产中发挥重要的“神经中枢”作用,逐渐形成了相对完整的工控体系。文章首先对某市烟草商业企业物流工控网络现状进行论述,其次分析其工控系统的安全风险,最后对存在的安全体系风险问题给出建设性意见。

关键词:工控设备;烟草物流;安全体系

当前,全球正出现以信息网络、智能制造、新能源和新材料为代表的新一轮技术创新浪潮,中国制造业也正处于“两化融合”发展的关键阶段和提升的重要时期。科技进步带来的更加开放的工业控制网络,正面临着来自网络的严峻安全威胁。生产制造业面临的工业控制网络安全威胁,是全世界面临的共同难题。为此各国开展深入合作,共同研究应对措施。据统计,我国是受到网络攻击最多而且最为严重的国家之一,对网络的数据安全极为重视。随着工控网络在制造业的普及,工控安全体系的研究及构建迫在眉睫。烟草行业内的物流工控系统,需要将产品的信息化和工业化进行高度的融合,其信息安全是头等大事。自动化技术、计算机技术及互联网技术的突飞猛进,带动了工控系统的管理需求,逐渐形成了工业管理与控制的协同一体化。信息化与工业化的高度融合,使得工控系统在硬件、软件和协议上进一步兼顾通用性。工控系统不再独立运行,其开放性进一步增强。其接入的范围不仅局限在企业网,而是扩展到了互联网。因而面临着来自互联网的信息安全威胁,同样需要可靠的网络安全防护体系。

1烟草商业物流工控系统架构

1.1业务结构

在烟草商业企业的物流组成部分中,主要有数据管理部分、物流管理部分、调度监控部分和控制执行部分,涵盖了卷烟采购、出入库、分类拣拾、出货等各个环节。

1.2物流工控网络结构

该烟草商业企业物流工控网络结构从功能层面划分为办公网和生产网。办公网为数据管理系统工作网络,包含供应链管理、营销大平台、财务管理、物流管控、专卖管理系统等;生产网由物流管理层、数据交换平台、控制总线网络和设备总线组成。物流工控网络从纵向来看,分为数据管理系统、数据交互平台、控制总线网络和设备总线。该企业的物流工控网络结构架构如图1所示。从图中看出,根据企业内部数据流向来划分主要有四个部分。第一部分的数据管理系统包括数据管理层和物流管理层,其中数据管理层主要包括了供应链管理系统中的计划管理、采购管理、营销管理等,还包括结算统计、订货管理、财务管理、专卖管理、票据管理、客户关系管理和决策支持等。物流管理层则主要负责仓储管理、调度管理、分拣配货、合单管理、设备管理、配送管理、综合管理等。第二部分则是数据交换的平台,主要以虚拟化服务器集群和工作站作为支撑,技术管理人员进行管理和调度监控,为上下层提供数据的分析和支持。第三部分是总线控制网络,它是一个用于工业设备自动控制的开放式计算机内部局域网系统,从控制总站为线路支持提供各种接口。第四部分为设备总线,其主要连接了各种变频器、I/O、电子标签分拣机、自动分拣机、环穿车、堆垛机、传输、叠垛包装等,完成了各种底层的仓储备货、分拣、包装、标签打印等操作。

2烟草商业物流工控系统现状

2.1国外物流工控系统现状根

据美国工业控制系统网络应急响应小组(ICS-CERT)的2013年年报统计,近几年ICS-CERT接到的工控系统漏洞上报数量在不断增加,其中在2013年接到的181个漏洞报告中,有177个被确认是真实的工控系统漏洞,共涉及52个厂商。在这177个被确认的漏洞中,87%的漏洞可以通过网络远程被利用。在漏洞类型中,身份验证漏洞的数量最多。这些漏洞可能使具有初级水平的攻击者通过互联网获得访问工业控制设备的管理员权限。根据美国ICS-CERT往年统计的工控信息安全事件数量可知,近几年工业控制系统相关的信息安全事件正在呈快速增长的趋势。在2013年的工控信息安全事件中,能源、制造业、市政等国家关键基础设施受到的攻击最为严重。这些信息安全事件涉及的主要攻击方式包括水坑式攻击、SQL注入攻击和钓鱼攻击等。

2.2国内烟草商业物流工控系统现状

根据绿盟科技公司的统计,2013年公开新增工业控制系统相关的漏洞共计78个,相对于前两年有所放缓,软件漏洞数量有所回落,但硬件漏洞数量继续保持持续增长趋势。对工控网络攻击行为已经出现在多种工业领域中,比如轨道交通、石油化工、烟草、电力、医疗系统、制药等。在某烟草企业,烟机经常出现不明原因的停机,造成巨大的经济损失。企业人员经过多次生产检查都无济于事,最后通过专业工控网络安全厂商的漏洞挖掘检测才找到了问题,定位原因为工控网络攻击导致。我国也在积极探索漏洞挖掘与风险通报工作,2012年国务院的23号文与2011年工信部451号文都提出要建立漏洞通报与制度。2012年,工业和信息部启动了工控系统信息安全风险工作。同年8月,下发了《工业和信息化部办公厅关于开展工业控制系统信息安全风险信息工作的通知》(工信厅协函〔2012〕629号),对工业控制系统信息安全风险信息工作做出了具体安排。为支持工控系统信息安全风险,工信部还组织相关机构建立了工业控制系统信息安全仿真环境和测试实验室,初步具备了工业控制系统信息安全攻击与防范体系防御演习以及漏洞检测、挖掘及验证能力。同时,我国也鼓励研究机构、工控产品厂商、信息安全厂商和研究人员积极参与工控风险“可发现”的研究工作,积极向主管部门上报风险。

3烟草商业物流工控系统安全需求与风险分析

在工业化和信息化两化融合趋势下,工业控制网络与日常办公网络的连通是大势所趋。工业企业通常采取安全措施对传统网络进行安全防护,但对工业控制系统的信息安全重视程度不够。同时,安全保护和管理的措施不足,安全漏洞风险大是常态。作为国民经济的支柱产业之一,烟草工商企业中,烟草工业企业在工业生产领域,烟草商业企业在仓储储配领域都广泛使用了工业控制系统。因此如何确保整个系统的安全和稳定对于烟草行业而言是非常重要的。下面就烟草商业物流控制类系统如何进行安全防护进行分析。就全国烟草商业企业物流领域工控网络而言,基本上没有有效的检测和防范手段抵御外部对工控网络的攻击。网络层面,外部威胁源一旦进入公司的办公网络,则可以此为跳板连接到工控网络的现场控制层网络,直接影响工业生产;系统和终端层面,由于大部分采用了通用的Windows操作系统,为保证工业软件的稳定运行,在操作过程中往往不会及时进行系统升级,甚至没有安装杀毒软件,存在着大量的安全漏洞。由此可见,烟草行业从生产到物流等环节都面临着工业安全风险,单从烟草物流控制类系统来看,烟草商业物流主要有以下五方面的风险及安全需求。

3.1生产管理执行系统与物流控制系统的网络系统隔离需求与风险分析

生产管理执行系统通过网络通信手段,进行车间管理和将生产任务调度到各生产线执行,控制跟踪物料、人员、设备和库存。此类系统生产执行层作为管理网与工控系统直接相连的部分,为避免工控系统受到来自管理网的安全威胁,生产执行层与监督控制层之间的安全隔离十分必要。

3.2安全域划分网络隔离需求与风险分析

在调度控制层中主要设备有操作员站、物流管理系统的服务器和客户端以及调度控制系统的服务器和客户端。如果调度控制层设备在同一网段内,业务终端、操作站、服务器没有安全防护,也不进行区别对待,会存在较大安全风险。

3.3监控终端及服务器漏洞补丁合规检查和防护需求与风险分析

操作站、服务器大多采用Windows系统,因为各种技术或管理原因长期不更新,存在大量漏洞。另外,各类操作站的外设管理以及安装软件合规性检查等方面也都需进行安全防护。

3.4网络实时监测审计过滤需求与风险分析

在现场控制层主要设备包括控制输送机、堆垛机等物流机械设备的PLC控制器以及运输物品AGV小车所接入的无线AP,接收来自监督控制层的操作指令。监控服务器、操作站服务器等很容易成为攻击跳板,从而被用来恶意访问其他设备。因此,需对这些设备的入侵或异常行为进行实时监测与过滤。

3.5现场无线网络安全需求风险分析

现场的无线AP被入侵后,很可能导致AGV小车的路线错误或运输物品错误。烟草商业企业通常对办公网络的信息安全进行一定级别的等保防护措施,但由于技术水平和管理方面原因,往往对工业控制系统信息安全缺乏足够的保护措施,导致工业控制网络存在较大的安全漏洞和风险。

4烟草商业物流工控系统网络安全建设策略

通常来讲,工控系统物流控制类的安全域通常包括生产执行域、监督控制域和工控域。面对物流控制类工控系统不同分域、分区情况以及业务要求如何进行相应的安全防护。通过下面所述安全防护措施,能够有效保障物流控制类系统安全运转。其一,对生产管理执行系统到物流控制系统进行访问控制,阻断来自管理网的非法行为,避免工控系统受到来自管理网的安全威胁。其二,做好操作站到PLC、堆垛机的访问控制。仓储物流系统中最重要的设备就是堆垛机,实现操作站到PLC、堆垛机的访问控制是一种实现堆垛机全过程信息数据管理的方式,该管理方式数据全面,覆盖了堆垛机的全过程数据,可以实现堆垛机的信息化控制。其三,对物流控制类工控系统进行实时异常流量监测。由于工控网络的稳定、可靠和可控性由各方面的指标组成,其中每个设备对外的请求数量、收到的请求数量和对外提供的服务都是可度量且可控的。对物流控制类工控系统进行实时异常流量监测,既可以旁路部署,又可以串入工控网络的设备。对工控网络的流量进行实时采集和监测,并利用智能学习引擎自学习工控网络正常流量形成安全基线,以此为基线对工控网络中的各个设备进行实时监测,对异常的流量进行实时告警并记录到告警日志中。如何解决全方面收集各工控系统中各个设备发送和收到的流量、如何建立安全基线、如何判定流量异常及流量异常后处理的问题。其四,对操作站的U盘及外设要进行严格管控。U盘具有携带方便、存储容量大、价格便宜等优点,很多人喜欢把各种资料储存在U盘里。病毒制造者不甘错过这一传播病毒的好机会,编制了种种病毒,给U盘使用者带来了烦恼。对操作站的U盘及外设要进行严格管控,减少病毒的感染。其五,及时发现工控系统操作员站、工程师站、服务器、组态软件及PLC的漏洞,以便做出应对。其六,对工控系统的操作员站、工程师站、路由器、交换机和组态软件等设备进行统一性能监测、日志采集及集中管理。其七,对无线网络安全进行有效防护。其八,及时准确地发现和修补工控漏洞。工业控制系统安全问题受到了广泛关注,安全问题的核心就是漏洞,工业控制系统安全事件层出不穷使得工控系统存在大量的漏洞。要做好措施及时准确地发现和修补工控漏洞。综上所述,烟草物流工控系统的安全防护刻不容缓,烟草行业物流控制工控系统安全防护解决方案,不仅能对系统进行有效防护,更能在不影响正常业务的情况下完成部署,防护过程高效便捷。同时,还应针对个性化安全需求,提供差异化的工控系统防护解决方案。

5结论

现代企业的发展要跟上信息化、智能化的步伐。构建完善物流工控网络对每一家烟草商业物流来说是大势所趋。不断提升工控系统信息安全防护技术,建立高效、全面的工控网络安全防护体系,减少或避免网络安全事件对商业企业的破坏与故障,有效保障企业的正常运行,对我国烟草行业发展具有积极作用。

作者:方文华 单位:陕西省烟草公司西安市公司