烟草行业工控安全解决方案

行业背景

石油石化-化工

智能制造-车身

烟草行业解决方案

       随着国家“两化融合”及“中国制造2025”深入推进，作为国家重要基础设施的烟草工业企业在工业信息化建设应用过程中，已经取得了不错的成绩，但是在工控系统的安全防护方面，基本上还是处于空白状态。造成这种现象的原因，主要是由于在烟草工业企业中各工业控制子系统处于相对独立的环境中，各子系统的安全问题一直以来也并没有突显出来，因而未引起企业的足够重视；但是，随着烟草工业企业的数字化、智能化技术的不断发展及应用，两化融合高度集成协作的运作模式要求烟草工业企业内部各系统之间需要互联互通，随之工控系统安全问题也逐步突现出来。

      由于生产网内的各工业子系统与办公网长期隔离封闭、独立运行的特点，造成了在安全管理建设方面的欠缺。大部分烟草工业企业还处于无安全布署的状态，只考虑了系统的可用性，在工控系统安全上还停留在制度管理层面，工控系统在安全方面不具备更多的容错处理和安全防范能力。因此，工控系统的安全问题是各卷烟厂工业企业目前较为重要且迫切需要解决的问题。

政策法规

方案依据的法律法规及行业标准如：

《中华人民共和国网络安全法》

《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）

《GB/T 22239-2019 网络安全等级保护基本要求》（公安部等保2.0）

《烟草行业信息系统安全等级保护与信息安全事件的定级准则》（YC/T 389-2011）

《烟草行业信息系统安全等级保护实施规范》（YC/T 495-2014）

《烟草工业企业生产网与管理网网络互联安全规范》（YC/T 494-2014）

典型部署

解决方案

       以工控网络安全“分级分域、整体保护、积极预防、动态管理”为总体策略，以相关法律法规及行业标准、技术规范为主要依据，对烟草工控系统从网络边界防护、流量监测审计、主机安全防护、安全运维管理上进行纵深防护。

边界隔离、区域防护

       在管理信息网和各个车间生产控制网之间部署工业安全隔离交换系统进行物理隔离，以阻止来自管理信息网的安全威胁渗透至生产控制系统。

       在各个车间PLC环网、HMI环网与中控操作员站、工程师站、SCADA服务器网络边界部署工业防火墙进行工控协议过滤、恶意代码防护、操作指令审计等。

网络监测审计

       部署工控网络监测审计系统（即工控数据库审计系统）进行全域监测和审计；对控制系统下发、上传的数据进行深度协议解析、实时监控，对非法数据及时预警。

主机安全防护

       在各个车间工业控制系统的操作员站、工程师站、服务器上部署工控主机加固系统，对各个终端实现应用程序白名单防护、恶意代码防护、安全审计、连接互联网检测、外设管控等安全防护。

安全运维审计

       部署工控安全运维审计系统，利用单点登录功能可避免记忆复杂口令，通过给第三方人员分配临时账号，可避免敏感信息外泄，同时可将运维人员的整个操作过程进行全程录像，以备后期审计取证。

集中管理

       部署工控监测分析预警平台，将各个安全子系统的告警情况、网络安全状况进行采集和汇总，形成安全体系的综合监管；同时对各个安全子系统进行集中管控，方便运维。