“互聯網+”的浪潮, 推動著各行業的改革, 煙草行業也不例外。 在“兩化融合”的過程中, 捲煙工業企業著手構建智慧化工廠, 建設資訊化的“數位煙草”。
目前, 捲煙工業企業生產管控的應用系統形成了從上到下的三層結構:管理協同層、生產執行層及工業控制層, 這種多層次結構也使得工業控制資訊系統的機密性、完整性, 特別是可用性保障成為目前需要亟待解決的問題。
工業控制系統安全與傳統的資訊系統安全不同, 以往工控系統安全關注更多的是物理安全及生產設備功能的高可用性, 隨著資訊化與工業化技術的深度融合以及潛在網路威脅的影響,
立足源頭心中有“數”
為了幫助煙草工業企業構建“數位煙草”, 匡恩網路對煙草製造企業生產環節的動力能源監控、物流自動化、卷包自動化、制絲集控等系統進行了需求調研, 充分掌握系統建設第一手資料, 確保緊貼煙草行業資訊化安全管理建設要求。 通過調研分析, 發現如下問題:
網路層面安全防護不全面。 近幾年, 大部分捲煙生產企業對內部網路進行了重新規劃設計, 普遍使用安全域的理念, 僅限於考慮生產網與管理網的安全隔離要求,
設備存在安全隱患。 目前煙草行業工業控制系統使用的PLC控制器主要是SiemensS7系列, 存在安全後門。 駭客或維護人員可以遠端登入PLC控制器, 修改或竊取PLC程式, 獲取工控系統的控制權, 從而干擾、破壞安全生產。 在整個生產網路內部的工程師站、操作員站、監控終端和業務伺服器均為Windows系統,
安全人才缺少, 安全意識不足。 工業控制系統網路安全是一個跨部門、跨學科領域, 在捲煙生產企業中工業控制系統由生產部門負責, 資訊安全由資訊部門負責, 生產部門對資訊安全知之甚少, 安全意識薄弱, 而資訊部門對工業控制系統的理解不深, 給工控安全建設與安全運維帶來挑戰。 企業應建立常態的工控安全培訓機制, 提高全員的工控安全意識, 規範安全操作流程, 培養工控安全專業人才, 建立工控系統網路安全應急保障機制, 為安全生產保駕護航。
手中有“術”守護煙草生產資訊安全
基於對煙草行業的探索, 匡恩網路利用工業物聯網安全防護“4+1”的工控安全保障理念, 即“結構安全、本體安全、行為安全、基因安全, 加時間持續性”五個安全維度設計相應的安全防護方案。 幫助捲煙生產企業建設工控安全防護體系, 以滿足日益增長的安全防護訴求與安全管理需要。
結構安全。 根據匡恩網路“4+1”工控安全保障理念, 煙草企業工控網路結構安全應參照“安全分區、網路專用、橫向隔離、縱向認證”的基本原則, 通過系統梳理來理順煙草企業工業控制系統組網與控制邏輯關係, 優化網路結構, 根據業務屬性劃分安全域, 並在重要的網路節點上串列部署工控安全防護設備, 建立分層、分域安全防護, 實現基於白名單工控行為的合規性控制。
本體安全。 本體安全防護是工控網路安全防範的重點, 當前煙草企業通常通過部署防火牆來防範外來的網路安全威脅, 卻忽視了設備本體如主機、底層控制器等的安全風險。 由於這些工控系統和設備普遍存在漏洞、後門等安全隱患,企業內部人員安全意識薄弱,再加上協力廠商運維人員流動性大,致使內部因素導致的風險遠大於外部攻擊帶來的風險。本體安全防護主要內容涉及主機安全防護、設備安全防護、USB攻擊防護以及漏洞挖掘與檢測。
行為安全。工控系統的訪問途徑一般是有限的,在設計防護的時候應採取白名單應對機制。匡恩網路將行為安全分為內部行為安全隱患、外部攻擊安全隱患,因此為實現工控行為安全防護,採取部署具備感知能力的安全產品,對網路流量、指令傳輸、資料獲取等行為進行合規性檢查,實現全域安全態勢和局部安全態勢的感知,同時與其他安全設備聯動,形成主動防禦網。過濾異常行為流量,實現生產資料安全。
基因安全。對於煙草企業的基因改造,匡恩網路認為要依情況而定,在有條件的情況下,可採用經過基因安全性改造的自主工控系統與設備,和經過基因安全性加固的進口系統與設備。在條件暫不具備的情況下,應採用安全補償機制,借助安全防護體系的縱深防禦技術實現應用安全加固,實現一定的安全免疫能力。
持續安全。工控系統具有漫長的生命週期,應加強工控網路安全防護體系建設,形成工控安全縱深防禦能力。匡恩網路基於“4+1”工控安全防護體系和防護框架,以安全大資料分析為支撐,可構建多級管理的安全運營平臺,實現安全風險的動態管理,安全事件快速回應處置,安全態勢準確判斷預警,安全隱患準確定位與修復,實現面向工控系統全生命週期的安全運維與管控能力建設。匡恩網路可説明使用者完善安全管理體系建設,加強生產人員安全意識培訓,建立應急保障機制,長期有效的保障煙草企業的安全。
煙草企業工控安全防護體系建設不僅僅包括技術防護體系建設,同時也包括安全管理體系的建設與完善。匡恩網路以“4+1”的安全防護理念為支撐,為煙草企業提供工業控制系統全生命週期安全解決方案,為企業安全生產保駕護航。
由於這些工控系統和設備普遍存在漏洞、後門等安全隱患,企業內部人員安全意識薄弱,再加上協力廠商運維人員流動性大,致使內部因素導致的風險遠大於外部攻擊帶來的風險。本體安全防護主要內容涉及主機安全防護、設備安全防護、USB攻擊防護以及漏洞挖掘與檢測。行為安全。工控系統的訪問途徑一般是有限的,在設計防護的時候應採取白名單應對機制。匡恩網路將行為安全分為內部行為安全隱患、外部攻擊安全隱患,因此為實現工控行為安全防護,採取部署具備感知能力的安全產品,對網路流量、指令傳輸、資料獲取等行為進行合規性檢查,實現全域安全態勢和局部安全態勢的感知,同時與其他安全設備聯動,形成主動防禦網。過濾異常行為流量,實現生產資料安全。
基因安全。對於煙草企業的基因改造,匡恩網路認為要依情況而定,在有條件的情況下,可採用經過基因安全性改造的自主工控系統與設備,和經過基因安全性加固的進口系統與設備。在條件暫不具備的情況下,應採用安全補償機制,借助安全防護體系的縱深防禦技術實現應用安全加固,實現一定的安全免疫能力。
持續安全。工控系統具有漫長的生命週期,應加強工控網路安全防護體系建設,形成工控安全縱深防禦能力。匡恩網路基於“4+1”工控安全防護體系和防護框架,以安全大資料分析為支撐,可構建多級管理的安全運營平臺,實現安全風險的動態管理,安全事件快速回應處置,安全態勢準確判斷預警,安全隱患準確定位與修復,實現面向工控系統全生命週期的安全運維與管控能力建設。匡恩網路可説明使用者完善安全管理體系建設,加強生產人員安全意識培訓,建立應急保障機制,長期有效的保障煙草企業的安全。
煙草企業工控安全防護體系建設不僅僅包括技術防護體系建設,同時也包括安全管理體系的建設與完善。匡恩網路以“4+1”的安全防護理念為支撐,為煙草企業提供工業控制系統全生命週期安全解決方案,為企業安全生產保駕護航。