• 烟草行业工业控制网络安全解决方案

    行业背景

    安全需求

    •         缺少重点区域防护手段

            缺少在生产调度中心与各系统中控室层级之间隔离防护手段,用来保护制丝、物流、卷包服务器与MES交互的数据。

    •         重点设备保护措施不足

            缺乏重要工控装置PLC的单体设备级安全防护。

    •         缺失有效监控手段

            缺失对各工艺车间网络流量进行监控和日志审计,无法及时发现网络中的各种违规以及入侵攻击行为,无法感知未知设备、非法应用和软件的入侵和溯源

    •        工作主机无防控措施

           各层级车间HMI(如服务器、工程师站、操作员站等),无移动存储介质管理、工作主机软件运行白名单管理、联网控制、网络准入控制的技术控制措施。

    •        无线监管手段不足

           在烟草工控场景中无法保证对车间现场的AGV小车等其他无线网络接入的安全。

    •        无法高效统一监管

           全厂并无统一的信息安全管理策略,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析

     

    方案内容

    •         从烟草行业典型工控系统组网结构特点入手,结合工控相关标准,将重点考虑生产控制系统中的生产控制层和现场控制层。在生产调度中心与制丝、卷包、物流边界部署工控防火墙作隔离;在生产调度中心的重要主机系统部署主机安全防护系统进行主机防护;各车间、调度中心部署审计进行监测;AGV小车通过各车间网络准入实现接入安全;最终作业区办公网相关区域通过安全监管对网络状态实时监控、智能分析为烟厂工控网络建立完善的纵深防御体系:

             在“两化”融合的行业发展需求下,现代工业控制系统的技术进步主要表现在两大方面:信息化与工业化的深度融合,为了提高烟草行业生产高效运行、生产管理效率,行业大力推进信息系统的集成化,集中化管理,工控网络与办公网、互联网的互联互通成为重要前提。

           本方案的设计和实施主要依据如下:

           ◉  国家工业和信息化部印发《工业控制系统信息安全防护指南》;

           ◉  《烟草行业等级保护基本要求》;

           ◉  《烟草行业网络与信息安全检查自查指南》;

           ◉  《烟草工业企业生产网与管理网网络互联安全规范》。