某卷煙廠典型工控安全項目
作者:啟明星辰
2020-11-02
項目背景需求
該項目是我司為主要編寫單位的中國煙草總公司《煙草行業工業控制系統網絡安全技術規范》的示范項目��,該卷煙廠在多年自動化建設過程中不斷遇到由于信息安全問題對工控系統正常運行產生影響���,逐漸發現自身對于工控安全的建設方面存在著一些亟需解決的問題�。在制絲��、卷包��、物流���、動力這幾個工控系統網絡中針對于工控安全的防護措施存在不足�����。
通過本項目建設解決如下問題:
(1)完成了兩個車間生產網和管理網間的安全隔離��,確保生產網避免遭受管理網風險����;
(2)在生產網內部及時檢測工控設備所存在的安全漏洞�����,實時監測業務異常���、入侵行為�����;
(3)對于現場控制設備進行安全防護���;
(4)對工控系統所有安全設備��、工控設備安全狀況統一進行安全監控�、管理�����,全方位�,多層次對煙廠工控系統進行保護�����。
防護方案及涉及安全產品
本方案的整體思路主要依據煙草行業網絡安全“分級分域����、整體保護�、積極預防��、動態管理”的總體策略��。首先對某煙廠整個工控系統進行全面風險評估掌握目前工控系統風險現狀�;通過管理網和生產網隔離確保生產網不會引入來自管理網風險���,保證生產網邊界安全�;在各車間內部工控系統進行一定手段的監測��、防護��,保證車間內部安全�����;最后對整個工控系統進行統一安全呈現�����,將各個防護點組成一個全面的防護體系���,保障其整個工業控制系統安全穩定運行���。安全措施部署位置如下圖所示:
在煙廠各車間工業控制系統生產網和管理網邊界部署工業防火墻進行管理網和生產網的邏輯隔離�,對兩網間數據交換進行安全防護��,確保生產網不會引入管理網所面臨風險��。
除通用防火墻基本防護功能外�,著重實現對MES系統與工控系統的OPC協議的動態端口防護及完整性檢查�、碎片檢查等細粒度防護���,并可以深度解析協議�����,做到深入item值的防護�。
在生產執行層部署工業控制信息安全管理系統��,對煙草生產中各車間工控系統進行可用性��、性能和服務水平的統一監控管理����。包括各類主機����、服務器�����、現場控制設備�����、以及各類網絡設備�����、安全設備的配置及事件分析��、審計��、預警與響應����,風險及態勢的度量與評估����,對整個系統面向業務進行主動化�����、智能化安全管理���,保障煙草工業控制系統整體持續安全運營�。
實現對操作站�����、服務器�����、現場控制設備����、工業交換機等設備性能的監測���。
按照實際設備位置實現拓撲展示����、并實時顯示安全狀況的監測��。
在過程監控層主要交換機旁路部署工業異常監測系統����,監測工控網絡的相關業務異常和入侵行為����,通過工控網絡中的流量關系圖形化展示梳理發現網絡中的故障��,出現異常及時報警����;
通過白名單的自學習實現從制絲集控系統的操作站到PLC的異常操作的發現�����。
實現對工控網內從制絲集控上位機?I/O服務器?PLC等設備間網絡流秩序連接關系的梳理�。
實現針對工控系統中存在的已知木馬后門���、蠕蟲病毒的入侵行為以及網絡掃描探測行為的檢測�。
在生產環網一臺主PLC與上聯交換機之間前端部署工業防火墻��,對PLC進行防護��。
本項目中防護方案中涉及安全產品如下表:
產品名稱 | 數量 |
工業防火墻 | 3臺 |
工控異常監測系統 | 1臺 |
工控信息安全管理平臺 | 1套 |
項目效果
某卷煙廠在本次工控安全建設項目中��,通過生產網和管理網隔離實現了對MES系統到某兩個車間的訪問控制�,阻斷來自管理網的非法行為���;經過多項安全防護措施后����,能夠有效的保障工控網中網絡�、主機應用����、數據等各層面的多數安全問題發生�����,降低公司生產業務中斷的風險�;通過統一安全管理平臺建設對某卷煙廠中各車間工控系統進行安全性����、可用性�����、性能和服務水平的統一監控管理減少可能潛在的風險隱患�����,減少信息系統故障�、人員流失帶來的經濟損失��。
該煙廠工控安全項目作為中國煙草公司的試點項目��,具有很大的示范效果���。并且煙廠工控環境比較類似�����,所以該項目完全可以復制��。
京公網安備11010802024551號