烟草
行业背景
烟草行业工业控制系统由于长期缺乏安全需求的推动,现有的工业自动化控制系统在设计、研发、部署、运维中没有充分考虑安全问题,一旦被无意利用或恶意攻击就会造成各种信息安全事件。根据GBT 22239—2019《信息安全技术网络安全等级保护基本要求》、YCT 494-2014 《烟草工业企业生产网与管理网网络互联安全规范》、YCT580-2019《烟草行业工业控制系统网络安全基线技术规范》等标准,切实保障烟草企业集团及所有厂区生产控制网络信息安全,已经成为烟草企业的重要任务之一。烟草工业企业网络安全保障体系结构应当建立集团级工业互联网安全态势感知平台,对所有厂区的工业控制网络做到可视、可控、可管。
解决方案
安全通信网络
在现场控制层和过程监控层之间部署工业防火墙,采用专用的安全通道进行安全控制防护,业务数据通过工控协议数据过滤、内容过滤等措施保证区域边界安全。在过程监控层到管理信息层之间部署工业网闸,只允许数据单向传输,防止办公网的病毒影响到生产网络。
安全区域边界
在现场控制层核心交换机处旁路镜像部署工业监测审计系统,对生产网全网数据流量进行采集及协议分析,实时监控生产网安全,发现异常行为及病毒木马。
安全计算环境
在工程师站、上位机及服务器上部署工控主机卫士终端安全防护产品,开启主机白名单安全防护,能使生产网中的主机抵御木马、工控病毒等恶意程序的攻击。在过程监控层核心交换机旁路部署入侵检测系统实时监测异常流量并及时告警。
安全管理中心
在过程监控层新增工控安全管理中心,旁路部署工控安全评估系统、日志审计系统、安全运维管理平台和统一安全管理平台,对生产网系统的工控网络安全风险进行实时、全面地监控和评估,统一下发策略和集中管控,记录日志事件方便溯源取证,做到事前预防,事中监控和事后审计。
工业互联网安全态势感知平台
在集团管理信息区安全运营中心部署安全态势感知平台,对资产情况、网络拓扑、设备状态、策略配置、漏洞分布、风险排名、攻击态势等做集中展示。同时对照等保2.0和烟草行业工控安全标准做合规分析,并提供丰富的报表展示功能。在厂级过程监控层部署全流量日志分析平台做厂级工控安全态势展示,厂侧部署智能采集器采集工控网络流量和各类设备日志,在主机上部署主机探针采集主机安全日志、合规行为监测和运行状态数据。