烟草行业工控安全防护思路

18世纪末第一次工业革命到工业4.0,我国一直大力发展工业建设,如今实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标,在此环境下国家烟草专卖局高度重视烟草行业工业控制系统安全建设工作。因此在《国家烟草专卖局办公室关于转发公安部2016年公安机关网络安全执法检查工作方案的通知》(国烟办综2016-257号)文件中,重新明确了行业工业控制系统的定义、分类及数量。

背景

18世纪末第一次工业革命到工业4.0,我国一直大力发展工业建设,如今实现以“数字化、智能化、网络化”为特点的工业信息化建设已经成为我国两化融合的重要目标,在此环境下国家烟草专卖局高度重视烟草行业工业控制系统安全建设工作。因此在《国家烟草专卖局办公室关于转发公安部2016年公安机关网络安全执法检查工作方案的通知》(国烟办综2016-257号)文件中,重新明确了行业工业控制系统的定义、分类及数量。

为加强行业工业控制系统安全建设工作,卷烟厂、物流分拣中心、复烤厂、醋酸纤维公司、烟机公司需要重新梳理工业控制系统的类别与范围,确定安全等级进行相对应的安全防护工作。

烟草行业工控安全防护思路

防护思路

为确保烟草行业工业控制系统安全可控,绿盟科技结合国内外工业控制系统安全现状,并依据《工业控制系统安全指南》(NIST-SP800-82)与《IEC 62443工控网络与系统信息安全标准综述》等国际标准,以卷烟工业企业为试点,总结适合烟草行业的工业控制系统安全防护体系。协助行业单位建立完善适合烟草行业的信息化应用体系架构管理协同层生产执行层操作监控层物理执行层

具体防护设计

针对行业安全防护原则与要求,将烟草行业工业控制系统安全防护工作划分为安全隔离分级分域区域防护安全管理四个阶段,并且提出每个阶段的具体安全防护方案。

安全隔离

生产网与管理网因其通讯协议以及安全性能的不同,面临的安全风险也有较大差异,因此生产网与管理网的安全隔离工作是工控系统安全防护工作的基础,依据《烟草工业企业生产网与管理网网络互联安全规范》中具体要求,绿盟科技通过建立生产网与管理网唯一的互联接口实现网络隔离工作,通过互联接口实现身份鉴别、访问控制、工控协议及传统协议的网络互连控制、工控协议及传统协议的恶意行为检测、工控协议及传统协议的数据流分析等内容。

分级分域

伴随着后期《等级保护工作要求第五部分扩展要求》(工控版)的出台以及行业要求,绿盟科技将协助行业各单位完成工控系统的分类及定级工作,并且帮助各行业单位完成生产网的安全域划分工作,将生产网划分为操作监控域、物理执行域以及安全管理域,并设计每个区域的域间及域内安全防护工作,其中安全管理区域负责生产网中所有的工控机、网络设备、操作系统、数据库中间件等的安全管理工作。

区域防护

为确保能够全面的加强生产网的安全防护能力,可将域间防护以及域内防护两个方面开展安全域防护工作。

域间安全防护模型,主要包括确定各个安全域边界,建立区域隔离、访问控制、攻击检测及防御、数据分析及预警等安全机制,在此区域之间安全防护的基础上,加强区域内的安全防护建设工作,将针对不同安全域特点进行安全设计,主要包括设备监控、协议检测、工控机安全、PLC安全防护、无线安全、安全审计等方面。绿盟科技通过域内防护、域间防护的相互协调与互补,共同确保生产网安全防护工作的全面性和落地性。

  1. 域间防护:
  • 区域隔离: 不同于生产网与管理网的隔离机制,绿盟科技协助各个单位对不同区域之间采用技术措施进行逻辑隔离工作。

  • 访问控制: 区域之间建立白名单机制,仅设置必要的工控系统操作、管理和维护策略

  • 攻击检测:不同区域之间的数据流访问需要进行攻击检测机制,及时发现攻击行为并进行防护与阻断。

  • 数据分析及预警:在安全管理域建立其中审计及预警机制,对生产网安全进行统筹管控。

  1. 域内防护:
  • 异常监控:在区域内建立域内数据异常监控机制,对传统协议和工控协议的异常流量、异常协议和入侵行为等进行监控。

  • 工控机安全:加强工控机系统本身安全,对使用、安装、组态软件、病毒查杀、进行安全管控。

  • 安全审计:建立区域内安全审计机制,对工业控制网络内设备之间的访问数据、服务、端口和协议等进行分析。

  • 无线安全:建立无线安全机制,加强身份鉴别、无线授权、无线攻击防护等工作。

安全管理

为确保工业控制系统安全防护措施的良好开展与后期的安全可控,绿盟科技将从技术和管理两个方面设计工业控制系统安全防护方案,除了以上技术体系设计以外,绿盟科技将协助行业各个单位设计并建立完善的工业控制系统安全管理规范,包括运维流程规范、风险评估规范、应急演练规范、人员培训规范等内容。

方案收益

综上,烟草行业工业控制系统安全防护工作将从安全隔离、分级分域、区域防护三个阶段进行,然后通过有效的安全管理措施贯穿整个安全防护体系,实现工业控制系统整体的安全防护与加固的目标。

声 明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

关于绿盟科技

北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。

基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。

北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。

如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880

Spread the word. Share this post!

Meet The Author

Leave Comment