行业背景

从第一次工业革命到工业4.0,实现以"数字化、智能化、网络化"为特点的工业信息化建设已经成为我国两化融合的重要目标,在此环境下国家烟草总局高度重视烟草行业工业网络安全建设工作。各烟草企业正在积极构建一体化"数字烟草",烟草行业信息化已初具规模,提高了烟草企业的生产和管理能力,使工业控制系统对内走向开放对外走向互联,工业控制系统所面临的网络安全威胁也趋向多元化和多发性。烟草行业信息化包含工业和商业信息化,烟草工业主要涵盖烟草工业生产中烟叶复烤、配方研发、卷烟制丝、制卷、包装、入库等业务;系统包括生产数据采集与车间管理系统、MES生产调度系统、生产决策、卷烟研发管理信息系统等;烟草商业主要涵盖烟叶收购和初烤、烟草商品物流、分发管理、终端销售管理等;系统包括仓库管理系统、分拣管理系统、运输管理系统等。若要烟草企业工业控制系统处于相对安全的运行状态,就必须对业务系统中的安全风险进行管控,烟草行业才能快速稳定、可持续发展。

需求分析
  • 通信网络方面
  • 主机安全方面
  • 安全准入方面
  • 安全管理方面
集中控制设备与互联网设备可直接互访,因此面临外部互联网安全风险,同时MES系统和现场管理的数据交互从整体的网络结构上来讲是连通状态,各种违规指令以及入侵攻击行为可能通过MES系统传播到现场设备层,业务之间的交互越来越多,无法避免。
主机设备自身缺少病毒防范能力,诸如密码策略、USB管控、 运维管控、注册表控制、程序管控等,大量上位机和应用程序系统都是国外设备,第三方人员运维工作时往往通过一个热点或是一些远程接入软件,将笔记本电脑直接接入进行运维修复的操作,存在运维安全风险。
物流系统里面存在大量无线通信网络,包括运输车AGV、堆垛机、穿梭车等都涉及到无线通信,也需要重点考虑。一些非授权使用或是来自外部黑客的攻击行为都可能造成工控系统误动作,甚至系统瘫痪。需要进行相应的安全访问控制和流量监测设计。
全厂并无统一的信息安全管理策略,控制系统设备复杂多样, 其运行状态、告警日志、威胁情报、策略配置等数据无法统一管理,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。
  • 通信网络方面
    集中控制设备与互联网设备可直接互访,因此面临外部互联网安全风险,同时MES系统和现场管理的数据交互从整体的网络结构上来讲是连通状态,各种违规指令以及入侵攻击行为可能通过MES系统传播到现场设备层,业务之间的交互越来越多,无法避免。
  • 主机安全方面
    主机设备自身缺少病毒防范能力,诸如密码策略、USB管控、 运维管控、注册表控制、程序管控等,大量上位机和应用程序系统都是国外设备,第三方人员运维工作时往往通过一个热点或是一些远程接入软件,将笔记本电脑直接接入进行运维修复的操作,存在运维安全风险。
  • 安全准入方面
    物流系统里面存在大量无线通信网络,包括运输车AGV、堆垛机、穿梭车等都涉及到无线通信,也需要重点考虑。一些非授权使用或是来自外部黑客的攻击行为都可能造成工控系统误动作,甚至系统瘫痪。需要进行相应的安全访问控制和流量监测设计。
  • 安全管理方面
    全厂并无统一的信息安全管理策略,控制系统设备复杂多样, 其运行状态、告警日志、威胁情报、策略配置等数据无法统一管理,需要对网络状态实时监控、智能分析,以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。
解决方案
边界隔离

在控制中心与制丝、卷包、物流等系统及无线通信网络边界处部署工业防火墙,实现边界访问控制,入侵攻击防护。在内外网之间部署工业安全隔离与信息交换系统,实现网间数据物理隔离与安全交换。

终端加固

在工控系统所有终端部署工业主机安全卫士,实现对移动储存介质使用管理、软件黑白名单管理、主机安全基线管理、补丁管理、主机审计、主机资产管理等功能。

安全审计

各车间、控制中心部署工控安全审计系统进行安全监测,实时监测工控网络中违规行为、异常流量和不明设备接入,在核心交换机旁路部署入侵检测设备,实现网络攻击检测和异常行为告警。

运维管控

在控制中心部署运维安全审计系统,实现账号集中管理、高强度认证加固、细粒度访问授权控制、加密和图形操作协议的审计等功能,让运维人员操作处于可控制、可管理的状态。

日志审计

在控制中心旁路部署日志审计与分析系统,用于对业务系统、服务器、网络设备、安全设备、操作系统、数据库等相关系统日志进行集中采集、关联分析、多元化告警。

安全管理

在控制中心部署工控集中安全管理系统,旁路接入核心交换机处,对生产网各种安全设备进行统一 资产管理、策略配置、授权和响应。对安全事件进行集中分析溯源、告警与风险处置。

相关安全产品
工业主机安全卫士
查看产品
工业防火墙
查看产品
工控安全审计系统
查看产品
工控入侵检测系统
查看产品
日志审计与分析系统
查看产品
运维安全审计系统
查看产品
工控集中安全管理系统
查看产品
工业安全管理与态势分析系统
查看产品