概述
随着烟草行业的蓬勃发展,企业信息化应用水平不断提高,绝大多数烟厂实现了企业计划层与车间执行层的双向信息流交互,通过信息集成、过程优化及资源优化,实现物流、信息流、价值流的集成和优化运行,很大程度上提高了企业敏捷性,随之而来的安全问题也逐步凸显,加强烟草各环节工业控制系统的安全防护显得尤为重要。
典型安全问题
(1)
办公网与生产网之间不同安全等级的用户存在越权访问的安全风险; (2)
缺乏防范 DDOS 攻击、Flood 攻击的手段; (3)
主机感染病毒造成网络性能严重下降,甚至网络通信中断等; (4)
病毒在生产网边界和各个安全区域之间扩散。
67
解决方案
(1)
对各系统边界采取访问控制、病毒防护措施,保护操作指令免遭非法访问、窃取或篡改,保障工控网络的安全运行; (2)
对烟草系统工控网络中重要服务器、操作员站、工程师站进行安全防护,杜绝软件肆意安装、U 盘滥用等行为; (3)
对烟草工控网络信息流进行实时监测,记录各类异常操作和违规行为, 做到事前部署,事中监控,事后追溯; (4)
对工控网络中的安全设备进行集中统一管理,实现全局配置、集中监控、统一管理,提高管理人员的工作效率,降低人员投入成本。
部署方案
图 40 烟草企业工控安全拓扑图
(1)
边界、区域安全防护 通过在管理区与生产区边界、储丝区、掺配区、烘丝区、叶片区等各作业区的 PLC 前端部署工业防火墙,防范 DDOS 攻击和越权访问; (2)
主机安全防护 在各操作站上部署工控主机卫士和安全 U 盘,防止除了与制丝相关业务系统外的非授权软件使用,实现整个制丝环节的安全可控; (3)
网络监测与审计 在制丝各环节网络交换机上旁路部署监测审计平台,对工业网络的数据流量、网络会话、攻击威胁行为做全面的审计,便于事后追踪溯源; (4)
集中管理 在以太网监控终端区域旁路部署统一安全管理,实现安全设备集中管理和各类日志的汇总分析。
小结
该解决方案具备如下特点:
(1)
满足国家能源局的合规性要求; (2)
实现对各类已知及未知恶意代码的安全防范,保障工控网络安全; (3)
对烟草工业网络实施安全域划分、逻辑隔离和访问控制,防范恶意攻击和病毒扩散,保障烟草生产正常运行。
