《烟草行业典型安全解决方案.pdf》由会员分享,可在线阅读,更多相关《烟草行业典型安全解决方案.pdf(9页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、6烟草行业典型安全解决方案烟草行业典型安全解决方案 随着人们对健康的重视,全国正在大力开展禁烟运动,同时市场需求使然,广大消费者也对烟草品质提出了更高的需求。烟草行业作为传统制造行业,其生产经历了从田间到仓储、烘烤、制丝、卷制、包装、销售等工艺流程,每一个工艺流程都有不同自动化制造设备参与其中,而烟草自动化更重要的在于制程可视、系统监管全方位及制造绿色三个层面,从而实现烟草生产的最佳质量控制。本案例汇编包括两个烟草行业的典型安全解决方案。6.1 案例一:某卷烟厂典型工控安全解决方案案例一:某卷烟厂典型工控安全解决方案 烟草行业在生产系统中大量使用了工业控制系统,在两化融合的大趋势下,行业中的工
2、业控制网络与办公网络的互联互通是一个必然的趋势。从烟草行业普遍性角度来看,工业控制网络与办公网络的连接基本上没有进行任何逻辑隔离和检测防护,工业控制网络基本上不具备任何发现、防御外部攻击行为的手段,外部威胁源一旦进入公司的办公网络,则可以一通到底的连接到工业网络的现场控制层网络,直接影响工业生产。另一方面工业控制网络内部设备如各类操作站、终端等,大部分采用 Windows 系统,为保证工业软件的稳定运行无法进行系统升级甚至不能安装杀毒软件,存在着大量漏洞,在自身安全性不高的情况下运行,因此工业控制系统的安全风险不言而喻。6.1.1 案例概述案例概述 某烟草工业责任有限责任公司在工控安全建设方面
3、存在着一些亟需解决的问题,在制丝、卷包、物流、动力这几个工控系统网络中针对于工控安全的防护措施存在不足。工控网络边界访问控制策略缺失,服务器或操作站感染病毒后,很可能迅速通过工控网络传播到其他设备直接影响 HMI、PLC 等设备的正常运行。此外,针对整个制丝集控网络中存在的风险情况不能及时掌握,缺少针对工控异常行为的检测手段。综合上述卷烟厂工控系统实际情况,亟需通过本项目提高工控安全建设以提高防护水平,确保卷烟生产平安有序进行。某烟厂通过本次工控安全建设项目建设,实现了以下目标:(1)管理人员对目前自身工控系统所存在风险能够精确掌握。(2)在对生产网和管理网边界进行隔离,确保管理网对生产网访问
4、的安全性。(3)技术人员对生产网中入侵、异常行为的及时发现,对现场设备进行深度防护。(4)管理人员、技术人员对整个工控系统各类设备运行状况、安全状况统一管理。6.1.2 典型安全风险典型安全风险 通过对某烟草工业有限责任公司制丝、卷包、物流、动力四类工控系统现状分析后,发现 A 烟草工业有限责任公司工控系统目前存在以下一些风险:(1)管理网和生产网互联,管理网风险容易引入生产网。随着工控系统的集成化越来越高,烟草生产系统各个子系统的互联程度大大提高。管理网中的 MES 系统需要与制丝、卷包、物流、动力能源各个车间互联,对各个车间下发生产数据。但在管理网和生产网边界访问控制策略缺失等问题导致一旦
5、管理网服务器感染病毒后,可以迅速通过工控网络传播到现场控制设备,直接影响操作员站、工程师站故障,影响正常生产。(2)网络访问关系无审计。由于工控系统的特殊性,设备之间访问关系以及访问所使用的协议、端口都比较固定,因此如果出现设备间的异常访问则应及时关注是否为入侵行为。某烟草工业有限责任公司内有些工控系统经过多次技改建设,存在整个工控系统内设备间访问关系不明确的现象,目前没有任何在网络层面和业务层面对系统内设备异常访问的发现及审计。(3)工控设备存在风险。某烟草工业有限责任公司现场所使用的西门子S7-300、S7-200 的 PLC 以及所使用的主要组态软件 Ifix 在投产运行后未进行过更新存
6、在着大量漏洞,时刻威胁着工控设备正常运行。图 35 漏洞扫描结果 1 图 36 漏洞扫描结果 2(4)工业协议存在风险。目前 A 烟草工业有限责任公司工控系统中所使用的 OPC、Profinet 等工业协议更多的是考虑协议传输的实时性等符合工业需求,但是在安全性方面考虑不足,存在着泄露信息或指令被篡改等风险(5)缺乏统一监控管理。目前在某烟草工业有限责任公司缺乏统一有效的信息安全监控工具对工业控制系统中的网络设备、服务器、数据库等进行有效安全监控和管理,在工业控制系统和控制网络的设备出现故障时,不能提供及时的预警和故障定位,造成排障时间较长。6.1.3 安全解决方案安全解决方案 本方案的整体思
7、路主要依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。首先对某烟厂整个工控系统进行全面风险评估掌握目前 工控系统风险现状;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网边界安全;在各车间内部工控系统进行一定手段的监测、防护,保证车间内部安全;最后对整个工控系统进行统一安全呈现,将各个防护点组成一个全面的防护体系,保障其整个工业控制系统安全稳定运行。(1)全面风险评估 对某烟厂整个工控网的评估,整体思路如下图所示:图 37 风险测评思路图 技术方面是从应用、网络、上位机、下位机几个层面展开。管理方面是从合规、组织与人员、风险管理、安全策略、业务连续性、第
8、三方管理等方面展开。最终通过风险评估准确了解工控网络系统安全现状,详细掌握工控系统威胁和风险;通过评估结果,找出工控安全的具体建设需求,以便真正满足企业的实际情况,为进一步提出安全建议提供有力支撑;通过评估找出安全隐患的轻重缓急,以确保工控安全建设的阶段,合理规划工控安全建设和安全投入;通过评估提高相关人员安全意识,以便落实国家及行业主管单位的人员安全培训及意识培养的要求。(2)管理网和生产网隔离 风险分析中已经分析了管理网和生产网互联互通所存在的风险。根据国际国内的各类工控安全相关标准以及行业内部于 2014 年下发的烟草工业企业生产网与管理网网络互联安全规范中,都对管理网和生产网互联安全问
9、题进行了着重关注。图 38 管理网与生产网安全隔离 针对这一问题,本解决方案在某烟厂各车间工业控制系统生产网和管理网边界都应该部署工业防火墙进行管理网和生产网的逻辑隔离,对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临风险。(3)各车间内监测与防护 在管理网和生产网隔离中已经对生产执行层和各个车间生产网络进行了逻辑隔离,确保管理网风险不会引入各车间生产网。那么对于各车间内部的安全风险,应如何处理来确保各车间内部的安全性?在各车间内部,前面已经分析了主要包括以下几方面风险:1)各类操作站的安全风险;2)网络访问关系不明确;3)PLC 等工控设备安全风险;4)通讯协议存在风险;5)无线
10、通信安全性不足。针对各方面风险采取对应的防护手段如下:在操作员站、工程师站、HMI 等各类操作站部署安全系统对主机的进程、软件、流量、U 盘的使用等进行监控,防范主机非法访问网络其它节点;部署工业异常监测系统,监测工控网络的相关业务异常和入侵行为,通过工控网络中的流量关系图形化展示梳理发现网络中的故障,出现异常及时报警;部署工业漏洞扫描系统,发现各类操作系统、组态软件、以及工业交换机、PLC 等存在的漏洞,为车间内各类设备、软件提供完善的漏洞分析检测。在 PLC 前端部署工业防火墙,对 PLC 进行防护。在车间现场通过部署 WiFi 入侵检测设备,对烟草工业控制系统中的 AGV小车等其他无线网
11、络进行安全防护。(4)统一安全管理 对于管理人员,面对整个企业各个车间内繁多的各类工控网络设备、服务器、操作站以及安全设备,如何高效管理,掌握各个点的风险现状,对整个工控系统安全现状能够统一掌握,及时处理各类设备故障与威胁同样是工控安全建设至关重要的一环。针对这一情况,通过在生产执行层部署工业控制信息安全管理系统,对烟草生产中各车间工控系统进行可用性、性能和服务水平的统一监控管理。包括各类主机、服务器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应,风险及态势的度量与评估,对整个系统面向业务进行主动化、智能化安全管理,保障烟草工业控制系统整体持续安全运营。从管理人员
12、的角度,对于丝叶生产系统整体安全状况以及系统中的操作站、服务器、PLC 以及安全设备的运行状态需要及时掌握。防护方案设备部署情况如下图所示:图 39 工控安全防护方案设备部署图 6.1.4 小结小结 某卷烟厂在本次工控安全建设项目中,通过全面风险评估可以切实让生产运维人员和管理人员清晰获悉自身工控网络中的风险,以便提前做到适度防护,提升了运维人员效率,为管理人员对安全的规划提供了有力的支撑;通过生产网和管理网隔离实现了对 MES 系统到制丝、卷包等车间的访问控制,阻断来自管理网的非法行为;经过多项安全防护措施后,能够有效的保障工控网中网络、主机应用等各层面的多数安全问题发生,降低公司生产业务中
13、断的风险;通过统一安全管理平台建设对某卷烟厂中各车间工控系统进行安全性、可用性、性能和服务水平的统一监控管理减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失。6.2 案例二:某烟草企业安全解决方案案例二:某烟草企业安全解决方案 6.2.1 概述概述 随着烟草行业的蓬勃发展,企业信息化应用水平不断提高,绝大多数烟厂实现了企业计划层与车间执行层的双向信息流交互,通过信息集成、过程优化及资源优化,实现物流、信息流、价值流的集成和优化运行,很大程度上提高了企业敏捷性,随之而来的安全问题也逐步凸显,加强烟草各环节工业控制系统的安全防护显得尤为重要。6.2.2 典型安全问题典型安全问题(1
14、)办公网与生产网之间不同安全等级的用户存在越权访问的安全风险;(2)缺乏防范 DDOS 攻击、Flood 攻击的手段;(3)主机感染病毒造成网络性能严重下降,甚至网络通信中断等;(4)病毒在生产网边界和各个安全区域之间扩散。6.2.3 解决方案解决方案(1)对各系统边界采取访问控制、病毒防护措施,保护操作指令免遭非法访问、窃取或篡改,保障工控网络的安全运行;(2)对烟草系统工控网络中重要服务器、操作员站、工程师站进行安全防护,杜绝软件肆意安装、U 盘滥用等行为;(3)对烟草工控网络信息流进行实时监测,记录各类异常操作和违规行为,做到事前部署,事中监控,事后追溯;(4)对工控网络中的安全设备进行
15、集中统一管理,实现全局配置、集中监控、统一管理,提高管理人员的工作效率,降低人员投入成本。6.2.4 部署方案部署方案 图 40 烟草企业工控安全拓扑图(1)边界、区域安全防护 通过在管理区与生产区边界、储丝区、掺配区、烘丝区、叶片区等各作业区的 PLC 前端部署工业防火墙,防范 DDOS 攻击和越权访问;(2)主机安全防护 在各操作站上部署工控主机卫士和安全 U 盘,防止除了与制丝相关业务系统外的非授权软件使用,实现整个制丝环节的安全可控;(3)网络监测与审计 在制丝各环节网络交换机上旁路部署监测审计平台,对工业网络的数据流量、网络会话、攻击威胁行为做全面的审计,便于事后追踪溯源;(4)集中管理 在以太网监控终端区域旁路部署统一安全管理,实现安全设备集中管理和各类日志的汇总分析。6.2.5 小结小结 该解决方案具备如下特点:(1)满足国家能源局的合规性要求;(2)实现对各类已知及未知恶意代码的安全防范,保障工控网络安全;(3)对烟草工业网络实施安全域划分、逻辑隔离和访问控制,防范恶意攻击和病毒扩散,保障烟草生产正常运行。