烟草行业安全解决方案

1. 相关标准

《工业控制系统信息安全防护指南》(工信软函〔2016〕338号)

《信息安全技术 网络安全等级保护基本要求》

《烟草工业企业生产网与管理网网络互联安全规范》

《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号文)

2. 安全风险

1.烟草制丝集控系统中所使用的大量主机、操作站系统均为微软的Windows 系统。以 Windows XP为操作系统进行工作的主机、操作站不断被发现的漏洞,给网络安全带来安全威胁。

2.目前大多数卷烟厂制丝集控系统所采用的工业控制设备以西门子和罗克韦尔的 PLC 为主,曾有大量高危漏洞被曝出,利用这些漏洞进行攻击将导致控制设备宕机,造成现场生产事故。

3.目前大多数卷烟厂制丝集控系统所广泛使用的ifix和Wincc组态软件存在拒绝服务、任意代码执行等高危漏洞,组态软件漏洞被利用可直接导致工控生产中断。

4.缺乏有效的手段对烟草网络中可能存在的异常行为进行监测,针对网络攻击、用户误操作、违规操作及蠕虫病毒等恶意软件的传播缺乏有效监测手段。

5.缺乏有效的措施对区域之间安全问题进行防护同时对烟草控制网络中关键数据缺乏保护措施,易出现人为误操作操作及病毒感染导致数据丢失和破坏的情况

6.缺乏对烟草系统工控网络中重要服务器、操作员站、工程师站安全防护,容易出现病毒感染,软件肆意安装、U盘滥用等行为;

7.缺乏有效的手段网络数据流进行监测,无法有效记录各类异常操作和违规行为,无法实现事前部署,事中监控,事后追溯;

8.缺乏对工控网络中安全设备统一管理的手段较难实现全局配置、监控统一管理。安全运维人员的工作效率,管理者无法第一时间掌握网络安全整体态势

3. 部署方案

1. 防护效果

1.边界、区域安护,通过在管理区与生产区边界、储丝区、掺配区、烘丝区、叶片区等各作业区的PLC前端部署工业防火墙,防范DDOS攻击和越权访问,有效防止病毒扩散。

2.部署工控网络入侵检测系统,检测、防止或限制从外部发起的网络攻击行为,实现对网络攻击的检测和分析;当检测到攻击行为时,记录攻击源 IP、攻击类型、攻击目的、攻击时间,在发生严重入侵事 件时应提供报警。

3.主机安全防护,在各操作站上部署主机防护系统客户端,防止除了与制丝相关业务系统外的非授权软件使用,控制操作站的外设使用权限,实现整个制丝环节的安全可控;

4.监测与审计,在制丝各环节网络交换机上旁路部署监测审计平台,对工业网络的数据流量、网络会话、攻击威胁行为做全面的审计,便于事后追踪溯源;

5.在烟草网络部署数据安全中心,识别和定位关键文件,有效防止因人为误操作和病毒感染导致的重要数据的损坏和丢失。

6.在烟草网络部署网络安全监测感知平台,对数据进行多维度的统计分析,包括扫描范围、设备在线情况、漏洞分类、区域分布、趋势等,方便运维人员进行安全管理,为上级领导提供直观的全局网络安全态势。

7.保障系统合规性,满足安全防护要求,满足等级保护建设要求及行业安全建设要求。