近年来,国家烟草专卖局根据行业信息安全建设实际情况和需要,一方面通过发布信息安全相关行业标准规范为行业单位信息安全建设提供指导和统一要求,另一方面通过每年度一次全面信息安全检查和专项信息安全检查,面向全行业“以查促建、以查促管、以查促改、以查促防”推动行业整体信息安全建设水平的提高。



在“两化”融合的行业发展需求下,现代工业控制系统的技术进步主要表现在两大方面:信息化与工业化的深度融合,为了提高生产高效运行、生产管理效率,国内众多行业大力推进工业控制系统自身的集成化,集中化管理。系统的互联互通性逐步加强,工控网络与办公网、互联网也存在千丝万缕的联系。
行业总局根据行业特点制订了《烟草行业等级保护基本要求》、《烟草行业移动应用安全规范》、《烟草行业信息安全基线管理技术规范》、《烟草行业网络与信息安全检查自查指南》、《烟草工业企业生产网与管理网网络互联安全规范》和《烟草行业工业控制系统网络安全技术规范》在编中。为行业的信息安全规划、建设提供了依据与标准。



烟草行业工业控制系统安全需求
烟草行业工业控制系统由于长期缺乏安全需求的推动,现有的工业自动化控制系统在设计、研发、部署、运维中没有充分考虑安全问题,一旦被无意或恶意利用就会造成各种信息安全事件。整体工业控制系统安全趋势不容乐观,行业工控安全建设迫在眉睫。



烟草行业工业控制系统安全需求
1、车间内安全域划分及安全域访问控制需求;
2、车间内未知资产、未知IP发现需求;
3、上位机安全防护需求;
4、工控设备、工控协议安全漏洞发现需求;
5、无线通信安全防护需求;
6、统一监控管理需求;
7、安全配置检查需求;
烟草行业工业控制系统安全解决方案及优势
本方案的整体思路主要依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。首先对整个工控系统进行全面风险评估掌握目前工控系统风险现状;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网边界安全;在各车间内部工控系统进行一定手段的监测、防护,保证车间内部安全;最后对整个工控系统进行统一安全呈现,将各个防护点组成一个全面的防护体系,保障其整个工业控制系统安全稳定运行。



工业控制系统安全防护模型
全面风险评估
所有工控安全建设都应该是基于对自身工控安全现状的精确掌握,本方案首先采用工业无损检查评估的方式对整个工控系统进行全面风险评估。主要内容包括:工控设备安全性评估、工控软件安全性评估、各类操作站安全性评估以及工控网络安全性评估。
风险评估思路图
工业控制系统不间断运行,任何意外停机故障都会造成重大损失。工控系统风险评估首先强调风险控制,从项目管理和技术实施的层面,必须做到零风险。



工业无损检查评估
管理网和生产网隔离
管理网和生产网互联互通存在安全风险,根据国际国内的各类工控安全相关标准以及行业内部于2014年下发的《烟草工业企业生产网与管理网网络互联安全规范》中,都对管理网和生产网互联安全问题进行了着重关注。
管理网和生产网互联接口安全模型
针对这一问题,本解决方案在各车间工业控制系统生产网和管理网边界都应该部署工业防火墙进行管理网和生产网的逻辑隔离,对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临的风险。
各车间内监测与防护
在管理网和生产网隔离中已经对生产执行层和各个车间生产网络进行了逻辑隔离,确保管理网风险不会引入各车间生产网。在各车间内部针对行业工业控制系统各方面风险采取对应的防护手段如下:
-在操作员站、工程师站、HMI等各类操作站部署操作站安全系统对主机的进程、软件、流量、U盘的使用等进行监控,防范主机非法访问网络其它节点;
-部署工业异常监测系统,监测工控网络的相关业务异常和入侵行为,通过工控网络中的流量关系图形化展示梳理发现网络中的故障,出现异常及时报警;
-部署工业漏洞扫描系统,发现各类操作系统、组态软件、以及工业交换机、PLC等存在的漏洞,为车间内各类设备、软件提供完善的漏洞分析检测。
在PLC前端部署工业防火墙,对PLC进行防护。
在车间现场通过部署Wifi入侵检测设备,对烟草工业控制系统中的AGV小车等其他无线网络进行安全防护。
部署现场运维审计与管理系统防范现场运维带来的风险。
工业异常监测



统一安全呈现
对于管理人员,面对整个企业各个车间内繁多的各类工控网络设备、服务器、操作站以及安全设备,如何高效管理,掌握各个点的风险现状,对整个工控系统安全现状能够统一掌握,及时处理各类设备故障与威胁同样是工控安全建设至关重要的一环。
针对这一情况,通过在生产执行层部署工业控制信息安全管理系统,对烟草生产中各车间工控系统进行可用性、性能和服务水平的统一监控管理。包括各类主机、服务器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应,风险及态势的度量与评估,对整个系统面向业务进行主动化、智能化安全管理,保障烟草工业控制系统整体持续安全运营。



工业控制信息安全管理系统

部署方案


 安全措施部署图
烟草行业工业控制系统安全防护优势
第一家在烟草行业卷烟厂进行全面工控安全建设的工控安全厂商,完成了烟草行业工控安全的破冰行动。 提供了烟草行业工控安全标准调研、编制支持。 工控产品进行了烟草行业生产线环境测试。在烟草行业工控安全风险评估、咨询、解决方案、项目经验等方面具备领先优势。