行业现状
背景:
作为中国制造业的一个重要部分,烟草业既面临着当前制造业的共性问题和挑战,也具备了在经济新常态下加快转型升级的基础和动力。特别是国家在提出“中国制造2025”战略的前提下, 提升烟草制造水平,积极跟进世界烟草的科技创新,并与信息化紧密融合,已成为不可回避的现实问题。特点:
烟草行业工业控制系统种类繁多,烟草行业工业控制系统生产流程包括制丝、卷接和包装三 个大的环节,其特点如下:
- 生产执行层直接与互联网相连;
- 工业控制系统无边界访问控制和入侵防御机制;
- 工业控制系统常年带毒运行,补丁更新不及时;
- 工业主机未加固,且无移动介质管理;
解决方案
在烟草行业的实际业务场景中,多种知名品牌的PLC等控制设备被验证存在大量的安全漏洞,可通过控制网、管理网间接连接到互联网,此外,多数工业控制系统在安全防护、审计、运维等方面均存在诸多安全隐患。
总体网络安全建设思路为以解决目前烟草生产工业控制系统存在的突出网络安全问题为前提,同时结合《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》等进行安全建设规划。
具体建设内容如下:
1 在信息管理网与生产网边界、储丝、掺配、 加香、烘丝等各作业区的PLC前端部署工业 防火墙产品,学习并建立流量安全模型,基 于“白名单”建立访问控制策略,防范针对 核心控制器的攻击行为;
2 在核心交换机上旁路部署工业入侵检测系统和 工业安全监测审计系统,及时发现可能存在的 攻击行为并告警;
3 在各操作员站上部署工业主机安全卫士产品, 防止非烟草生产相关业务未授权软件的使用, 防范 0DAY漏洞的利用及病毒、木马等在工业 主机上运行;
4 对MES服务器、SCADA服务器、数据库服务 器等关键主机进行安全加固,做好权限细化, 防止恶意人员以服务器为跳板,攻击整个生产 网络;
5 在生产网内部署安全运维管理系统,细化运维 人员权限并进行详细记录,在大大降低误操作 的基础上实现有据可查;
6 部署工业安全管理平台,对网络攻击、异常行 为、违规外联、漏洞信息等进行总体把控。
部署方案
方案价值
- 满足国家及烟草行业政策法规有关安全防护的要求;
- 对多种工业协议进行识别、控制及过滤,保障烟草生产;
- 采用白名单机制阻断非法访问,隔离木马、蠕虫等病毒确保工业主机安全;
- 构建烟草生产网络整体安全防护能力,以规避因安全问题导致的生产中断;
- 降低工艺流程或核心数据被窃取或破坏的风险;
- 提升客户精益化生产水平,降本增效。