近年來(lái)���,國(guó)家煙草專賣局根據(jù)行業(yè)信息安全建設(shè)實(shí)際情況和需要���,一方面通過(guò)發(fā)布信息安全相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范為行業(yè)單位信息安全建設(shè)提供指導(dǎo)和統(tǒng)一要求�����,另一方面通過(guò)每年度一次全面信息安全檢查和專項(xiàng)信息安全檢查,面向全行業(yè)“以查促建�����、以查促管��、以查促改��、以查促防” 推動(dòng)行業(yè)整體信息安全建設(shè)水平的提高��。
在“兩化”融合的行業(yè)發(fā)展需求下�,現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面:信息化與工業(yè)化的深度融合,為了提高煙草行業(yè)生產(chǎn)高效運(yùn)行���、生產(chǎn)管理效率����,行業(yè)大力推進(jìn)信息系統(tǒng)的集成化,集中化管理��,工控網(wǎng)絡(luò)與辦公網(wǎng)�����、互聯(lián)網(wǎng)的互聯(lián)互通成為重要前提�。
近幾年行業(yè)總局根據(jù)行業(yè)特點(diǎn)陸續(xù)制訂發(fā)布了《煙草行業(yè)等級(jí)保護(hù)基本要求》、《煙草行業(yè)移動(dòng)應(yīng)用安全規(guī)范》���、《煙草行業(yè)網(wǎng)絡(luò)安全基線管理技術(shù)規(guī)范》����、《煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南》����、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》和《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》,為行業(yè)的信息安全規(guī)劃���、建設(shè)提供了依據(jù)與標(biāo)準(zhǔn)�����。
行業(yè)需求
安全配置核查需求
煙草行業(yè)通過(guò)對(duì)安全事件的分析����,發(fā)現(xiàn)安全事件主要由3個(gè)方面引起,安全漏洞方面�����、安全配置方面��,以及異常事件等方面�。安全配置通常都是由于人為的疏忽造成,主要包括了賬號(hào)�����、口令�����、授權(quán)�����、日志��、IP通信等方面內(nèi)容����,反映了系統(tǒng)自身的安全脆弱性。由安全配置的不足可能帶來(lái)非常多的安全隱患���,因此對(duì)安全配置進(jìn)行有效的檢查和加固成為整體安全體系建設(shè)中的重要一環(huán)���。
同時(shí)根據(jù)國(guó)家煙草局制定的《煙草行業(yè)信息安全基線管理技術(shù)規(guī)范》作為煙草行業(yè)各單位信息安全保障體系建設(shè)和管理工作的基線要求。
工業(yè)控制系統(tǒng)安全需求
煙草行業(yè)工業(yè)控制系統(tǒng)由于長(zhǎng)期缺乏安全需求的推動(dòng)�����,現(xiàn)有的工業(yè)自動(dòng)化控制系統(tǒng)在設(shè)計(jì)�����、研發(fā)�����、部署��、運(yùn)維中沒(méi)有充分考慮安全問(wèn)題�����,一旦被無(wú)意或惡意利用就會(huì)造成各種信息安全事件。整體工業(yè)控制系統(tǒng)安全趨勢(shì)不容樂(lè)觀��,行業(yè)工控安全建設(shè)迫在眉睫�����。
煙草行業(yè)工業(yè)控制系統(tǒng)安全需求:
1�����、 車間內(nèi)安全域劃分及安全域訪問(wèn)控制需求�����;
2���、 車間內(nèi)未知資產(chǎn)、未知IP發(fā)現(xiàn)需求����;
3、 上位機(jī)安全防護(hù)需求�����;
4、 工控設(shè)備����、工控協(xié)議安全漏洞發(fā)現(xiàn)需求;
5��、 無(wú)線通信安全防護(hù)需求�;
6、 統(tǒng)一監(jiān)控管理需求�;
7、 安全配置檢查需求����;
8、 第三方運(yùn)維安全審計(jì)需求����;
行業(yè)解決方案及優(yōu)勢(shì)
煙草行業(yè)“三全”檢查評(píng)估系統(tǒng)解決方案
系統(tǒng)概述
煙草行業(yè)“三全”檢查評(píng)估系統(tǒng)是按照煙草行業(yè)信息安全基線管理技術(shù)規(guī)范的要求,實(shí)現(xiàn)具有煙草行業(yè)特點(diǎn)的三全業(yè)務(wù)梳理���、診斷等功能�����,具備安全運(yùn)維��、巡檢�、檢查的自動(dòng)化實(shí)現(xiàn)。
系統(tǒng)在研究煙草行業(yè)的基線安全需求后�,制定了針對(duì)行業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全配置核查和功能測(cè)試規(guī)范�,包括各品牌路由器、通用操作系統(tǒng)�����、AIX主機(jī)系統(tǒng)��、Windows主機(jī)系統(tǒng)�����,通用數(shù)據(jù)庫(kù)�����、Oracle數(shù)據(jù)庫(kù)等設(shè)備��、系統(tǒng)的安全配置規(guī)范和安全功能測(cè)試規(guī)范�。
系統(tǒng)策略庫(kù)的研究?jī)?nèi)容主要包括賬號(hào)、口令��、授權(quán)��、日志���、IP地址以及其它方面的內(nèi)容��。這些內(nèi)容涉及可能會(huì)影響設(shè)備或系統(tǒng)安全性的方面���,比如口令的復(fù)雜性,生存期��、歷史口令�、口令修改、口令存放等方面的內(nèi)容���。規(guī)范中的配置核查部分明確了設(shè)備的基本配置安全要求����,為在設(shè)備入網(wǎng)測(cè)試���、工程驗(yàn)收和設(shè)備運(yùn)行維護(hù)環(huán)節(jié)明確相關(guān)安全要求提供指南�。
“三全”檢查評(píng)估系統(tǒng)架構(gòu)圖
功能介紹
三全工作可視化:按照行業(yè)總局三全要求對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行核查,并生成報(bào)表����。如下圖所示,從系統(tǒng)必要達(dá)標(biāo)率以及參考達(dá)標(biāo)率進(jìn)行數(shù)據(jù)統(tǒng)計(jì)�。并且按照“三全”要求顯示出安全技術(shù)、安全管理的詳細(xì)指標(biāo)統(tǒng)計(jì)�����。
自定義填報(bào): 按照自身業(yè)務(wù)系統(tǒng)的特點(diǎn)進(jìn)行自定義的填報(bào)年�、月報(bào)表。
三全工作自動(dòng)檢查:可實(shí)現(xiàn)三全工作的定期執(zhí)行
KPI考核:上下級(jí)單位的級(jí)聯(lián)�,可實(shí)現(xiàn)上級(jí)單位對(duì)下級(jí)單位的達(dá)標(biāo)率的查看、分析以及考核�����。
部署模式
系統(tǒng)常見(jiàn)的部署方式依據(jù)客戶的組織架構(gòu)的不同主要有單級(jí)部署和級(jí)聯(lián)部署兩種方式���。而單級(jí)部署的結(jié)構(gòu)上又可依據(jù)客戶的網(wǎng)絡(luò)的分布情況主要分為單點(diǎn)部署和分布式部署兩種方式���。以下就分別對(duì)單級(jí)部署和級(jí)聯(lián)部署分別介紹。
單級(jí)部署:?jiǎn)渭?jí)部署系統(tǒng)的組網(wǎng)模式比較簡(jiǎn)單,可以將其旁路部署在既有網(wǎng)絡(luò)中����。管理員通過(guò)WEB頁(yè)面登錄系統(tǒng)下達(dá)核查任務(wù)���,檢查任務(wù)既可以遠(yuǎn)程執(zhí)行也可以本地執(zhí)行�。
多級(jí)部署:總部(如省級(jí)單位)部署一套系統(tǒng)���,根據(jù)各個(gè)地市的實(shí)際情況同樣也部署一套系統(tǒng)����。實(shí)現(xiàn)對(duì)地市����、省級(jí)單位的二級(jí)級(jí)聯(lián)。而各下屬各分支機(jī)構(gòu)為了實(shí)現(xiàn)對(duì)各自信息系統(tǒng)的安全配置管理�、“三全”工作統(tǒng)計(jì),分別部署了各自的安全配置核查系統(tǒng)��?����?偛颗c分支機(jī)構(gòu)的安全管理平臺(tái)進(jìn)行通信,實(shí)現(xiàn)總部對(duì)分支機(jī)構(gòu)系統(tǒng)的查看和管理���,如年度“三全”完成指標(biāo)情況����,橫向地市與地市之間的“三全”指標(biāo)完成度的對(duì)比情況���。
方案優(yōu)勢(shì)
- 提高安全掌控
- 提高工作效率
- 降低管理成本
煙草行業(yè)工業(yè)控制系統(tǒng)安全解決方案
本方案的整體思路主要依據(jù)行業(yè)網(wǎng)絡(luò)安全“分級(jí)分域�����、整體保護(hù)�����、積極預(yù)防���、動(dòng)態(tài)管理”的總體策略。首先對(duì)整個(gè)工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估掌握目前工控系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀���;通過(guò)管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會(huì)引入來(lái)自管理網(wǎng)風(fēng)險(xiǎn)���,保證生產(chǎn)網(wǎng)邊界安全�;在各車間內(nèi)部工控系統(tǒng)進(jìn)行一定手段的監(jiān)測(cè)�����、防護(hù)��,保證車間內(nèi)部安全��;最后對(duì)整個(gè)工控系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)���,將各個(gè)防護(hù)點(diǎn)組成一個(gè)全面的防護(hù)體系,保障其整個(gè)工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行�����。
工業(yè)控制系統(tǒng)安全防護(hù)模型
全面風(fēng)險(xiǎn)評(píng)估
所有工控安全建設(shè)都應(yīng)該是基于對(duì)自身工控安全現(xiàn)狀的精確掌握�,本方案首先采用工業(yè)無(wú)損檢查評(píng)估的方式對(duì)整個(gè)工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評(píng)估。主要內(nèi)容包括:工控設(shè)備安全性評(píng)估��、工控軟件安全性評(píng)估�����、各類操作站安全性評(píng)估以及工控網(wǎng)絡(luò)安全性評(píng)估����。
風(fēng)險(xiǎn)評(píng)估思路圖
工業(yè)控制系統(tǒng)不間斷運(yùn)行����,任何意外停機(jī)故障都會(huì)造成重大損失�����。工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估首先強(qiáng)調(diào)風(fēng)險(xiǎn)控制���,從項(xiàng)目管理和技術(shù)實(shí)施的層面�,必須做到零風(fēng)險(xiǎn)���。
工業(yè)無(wú)損檢查評(píng)估
管理網(wǎng)和生產(chǎn)網(wǎng)隔離
管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通存在安全風(fēng)險(xiǎn)���,根據(jù)國(guó)際國(guó)內(nèi)的各類工控安全相關(guān)標(biāo)準(zhǔn)以及行業(yè)內(nèi)部于2014年下發(fā)的《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》中,都對(duì)管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)安全問(wèn)題進(jìn)行了著重關(guān)注��。
管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)接口安全模型
針對(duì)這一問(wèn)題��,本解決方案在各車間工業(yè)控制系統(tǒng)生產(chǎn)網(wǎng)和管理網(wǎng)邊界都應(yīng)該部署工業(yè)防火墻進(jìn)行管理網(wǎng)和生產(chǎn)網(wǎng)的邏輯隔離���,對(duì)兩網(wǎng)間數(shù)據(jù)交換進(jìn)行安全防護(hù)�,確保生產(chǎn)網(wǎng)不會(huì)引入管理網(wǎng)所面臨的風(fēng)險(xiǎn)。
各車間內(nèi)監(jiān)測(cè)與防護(hù)
在管理網(wǎng)和生產(chǎn)網(wǎng)隔離中已經(jīng)對(duì)生產(chǎn)執(zhí)行層和各個(gè)車間生產(chǎn)網(wǎng)絡(luò)進(jìn)行了邏輯隔離�����,確保管理網(wǎng)風(fēng)險(xiǎn)不會(huì)引入各車間生產(chǎn)網(wǎng)�。在各車間內(nèi)部針對(duì)行業(yè)工業(yè)控制系統(tǒng)各方面風(fēng)險(xiǎn)采取對(duì)應(yīng)的防護(hù)手段如下:
在操作員站、工程師站���、HMI等各類操作站部署操作站安全系統(tǒng)對(duì)主機(jī)的進(jìn)程、軟件���、流量���、U盤(pán)的使用等進(jìn)行監(jiān)控,防范主機(jī)非法訪問(wèn)網(wǎng)絡(luò)其它節(jié)點(diǎn)�����;
部署工業(yè)異常監(jiān)測(cè)系統(tǒng)�����,監(jiān)測(cè)工控網(wǎng)絡(luò)的相關(guān)業(yè)務(wù)異常和入侵行為��,通過(guò)工控網(wǎng)絡(luò)中的流量關(guān)系圖形化展示梳理發(fā)現(xiàn)網(wǎng)絡(luò)中的故障,出現(xiàn)異常及時(shí)報(bào)警��;
部署工業(yè)漏洞掃描系統(tǒng)�,發(fā)現(xiàn)各類操作系統(tǒng)、組態(tài)軟件����、以及工業(yè)交換機(jī)、PLC等存在的漏洞�,為車間內(nèi)各類設(shè)備、軟件提供完善的漏洞分析檢測(cè)���。
在PLC前端部署工業(yè)防火墻��,對(duì)PLC進(jìn)行防護(hù)�。
在車間現(xiàn)場(chǎng)通過(guò)部署Wifi入侵檢測(cè)設(shè)備��,對(duì)煙草工業(yè)控制系統(tǒng)中的AGV小車等其他無(wú)線網(wǎng)絡(luò)進(jìn)行安全防護(hù)����。
部署現(xiàn)場(chǎng)運(yùn)維審計(jì)與管理系統(tǒng)防范現(xiàn)場(chǎng)運(yùn)維帶來(lái)的風(fēng)險(xiǎn)。
工業(yè)異常監(jiān)測(cè)
統(tǒng)一安全呈現(xiàn)
對(duì)于管理人員�����,面對(duì)整個(gè)企業(yè)各個(gè)車間內(nèi)繁多的各類工控網(wǎng)絡(luò)設(shè)備、服務(wù)器�、操作站以及安全設(shè)備,如何高效管理�,掌握各個(gè)點(diǎn)的風(fēng)險(xiǎn)現(xiàn)狀,對(duì)整個(gè)工控系統(tǒng)安全現(xiàn)狀能夠統(tǒng)一掌握��,及時(shí)處理各類設(shè)備故障與威脅同樣是工控安全建設(shè)至關(guān)重要的一環(huán)�。
針對(duì)這一情況,通過(guò)在生產(chǎn)執(zhí)行層部署工業(yè)控制信息安全管理系統(tǒng)�����,對(duì)煙草生產(chǎn)中各車間工控系統(tǒng)進(jìn)行可用性��、性能和服務(wù)水平的統(tǒng)一監(jiān)控管理��。包括各類主機(jī)�����、服務(wù)器���、現(xiàn)場(chǎng)控制設(shè)備、以及各類網(wǎng)絡(luò)設(shè)備��、安全設(shè)備的配置及事件分析、審計(jì)�����、預(yù)警與響應(yīng)�,風(fēng)險(xiǎn)及態(tài)勢(shì)的度量與評(píng)估,對(duì)整個(gè)系統(tǒng)面向業(yè)務(wù)進(jìn)行主動(dòng)化�����、智能化安全管理����,保障煙草工業(yè)控制系統(tǒng)整體持續(xù)安全運(yùn)營(yíng)。
工業(yè)控制信息安全管理系統(tǒng)
部署方案
安全措施部署圖
煙草行業(yè)工業(yè)控制系統(tǒng)安全防護(hù)優(yōu)勢(shì)
- 第一家在煙草行業(yè)卷煙廠進(jìn)行全面工控安全建設(shè)的工控安全廠商��,完成了煙草行業(yè)工控安全的破冰行動(dòng)���。
- 提供了煙草行業(yè)工控安全標(biāo)準(zhǔn)調(diào)研���、編制支持。
- 工控產(chǎn)品進(jìn)行了煙草行業(yè)生產(chǎn)線環(huán)境測(cè)試�����。
- 在煙草行業(yè)工控安全風(fēng)險(xiǎn)評(píng)估、咨詢��、解決方案���、項(xiàng)目經(jīng)驗(yàn)等方面具備領(lǐng)先優(yōu)勢(shì) ���。
400-001-9776
