首頁 > 關于我們 > 新聞動態 > 深度解讀

行業安全實踐:構建“數字煙草” 物流工控信息安全體系

發布時間 2022-12-26

前言:


數字化轉型已成為煙草行業質量變革、效率變革和動力變革的重要驅動力,是“十四五”時期行業高質量發展的必由之路。本文以某地煙草企業為例,通過分析其煙草物流管理存在的安全問題和安全風險,提出了啟明星辰煙草物流安全解決方案,有效提升煙草企業的物流管理水平,促進煙草企業的穩定、健康發展。


煙草行業作為我國經濟發展的支柱型產業,其中煙草物流是煙草配送營銷的關鍵環節。尤其隨著“數字煙草”戰略推進和建設,各地煙草公司逐漸建立了半自動或全自動的物流倉儲、分揀系統,通過信息化和工業化的不斷深化融合,推動煙草企業在物流領域不斷提質增效。


以某煙草企業的物流中心管理系統為例,主要包含物流管理信息系統、倉庫管理系統、分揀管理系統、運輸管理系統等核心子系統,工控系統設備主要有PLC、打碼機、掃碼機、自動化標簽機等設備,覆蓋了卷煙出入庫、分類分揀等環節,工控網絡已基本按照業務系統屬性劃分出網絡區域,在工控網與辦公網邊界也具備基本的邏輯隔離技術措施。



啟明星辰通過對該煙草企業物流中心工控系統進行調研分析,發現其信息安全方面存在的突出問題,主要包括以下幾個方面:


1、除基本邏輯隔離措施外,工控網絡內部缺少其他網絡安全防護手段(系統脆弱性識別、異常監測等),日常運維工作外包給網絡集成商,對于所有的運維操作無控制、無審計,出現安全問題時不能進行及時準確定位和追蹤排障,存在日常監測管理的重要缺失和隱患點。


2、缺乏實時有效、全面的安全保障能力,面對網絡攻擊無法有效識別、預警、防范和應急響應,信息安全技術措施部署不到位、運行維護專業化相對滯后,安全保障能力不強,應急響應措施不足。


3、缺乏信息安全數據貫通和網絡安全處置協同能力,各系統間信息安全數據的共享交換和統籌管理能力不足,網絡安全運營模式考慮不充分缺乏安全創新性。


具體安全風險如下:


1、網絡安全風險:各網絡區域間未充分采取安全隔離措施,在通過辦公網訪問物流工控網絡過程中,不能有效攔截辦公網中木馬病毒及針對工控系統開發的惡意軟件,存在網絡攻擊通過一個節點入侵、擴散至整個工控系統風險。對工控網絡流量和訪問關系缺乏有效的監測手段,不能及時提供工控網絡安全風險預警和故障定位,存在發生故障后,排障時間長、原因無法定位的風險,存在第三方人員通過非法IP接入網絡風險。


2、主機安全風險:監控主機和PC等使用windows系統,具有系統、軟件版本低,安全策略不全面等現象,存在病毒防范能力低,易被入侵的風險。


3、控制設備安全風險:控制系統中的PLC及掃碼機、打碼機等設備存在固有漏洞,若修補不及時存在被惡意利用風險。部分控制設備及應用為國外設備,存在安全不可控風險。


4、數據安全風險:數據安全風險:部分工業通訊協議安全機制缺乏、端口與服務不設限使用。


5、管理安全風險:工控系統資產梳理不清,資產脆弱性掌握不充分,易導致系統高價值資產面臨較大威脅。


啟明星辰煙草物流安全解決方案


啟明星辰以該煙草企業的物流工控系統為防護對象,圍繞新場景下網絡安全管理目標,構建一套完整的“事前有防范、事中有應對、事后有追溯”煙草物流安全解決方案,實現行業化、智能化、安全化的典型數字化轉型實踐,有效提升煙草企業的物流管理水平,促進煙草企業的穩定、健康發展。


三大設計思路 構筑煙草行業安全防御體系


1、監管要求為前提。


以煙草行業規范YC/T 580-2019《煙草行業工業控制系統網絡安全基線技術規范》為主線,以YC/T 495-2014《煙草行業信息系統安全等級保護實施規范》、YC/T494-2014《煙草行業工業企業生產網與管理網網絡互聯安全規范》為基礎,綜合考慮等級保護和工業互聯網安全相關標準規范,將行業環境下標準要求有機融入各項安全過程中。


2、解決突出問題為先導。


通過對系統所處環境、相關方的需求和風險分析,確定工控網絡安全管理體系范圍、要求及其過程,按照“先邊界安全加固、后深入內部防護” 的思路,縱向分層,橫向分區構建安全可靠的網絡結構,對各項安全技術措施進行持續監督、評價和改進。


3、管理為先,技術跟隨。


從網絡風險管理角度出發,綜合考慮安全管理一體化、標準化、智能化、可視化要求,初步實現物流安全一張圖、技術管理一平臺、安全監測與響應一條線的綜合安全管理目標,貼近物流中心業務實景,安全為業務保障服務。


四大方面 提升煙草行業物流管理水平



1、梳理系統業務流程 ,夯實結構安全。


綜合考慮物流工控系統的組網結構、業務訪問關系、通信協議、部署環境等多方面因素,沿用原網絡劃分出的區域,確定重要網絡邊界。將辦公網和物流工控網為第一層邊界,通過部署工業網閘,實現網絡安全隔離與訪問控制,保障生產安全。同時,在不改變原組網結構的基礎上,通過在工控網的兩個匯聚交換機處部署工業防火墻,借助工控協議的深度解析能力和基于白名單的安全策略,實現工控行為的合規性控制,實現網絡分層、分域保護。


2、補齊安全基因缺陷,持續性措施保護。


在設置的安全管理區,通過部署工控漏洞掃描系統,定期對SCADA、PLC等工控資產和臨時接入設備進行無損掃描,提供資產漏洞識別、資產漏洞修復評估與管理,在根源上為企業提供安全可靠的工控環境;通過部署工業運維審計(堡壘機)和日志審計系統,集中管理運維賬號,實時控制運維操作權限和命令,阻斷異常行為,對事件進行全面審計,保障系統安全運維。工業主機安全防護在原防護系統的基礎上,進行策略優化,實現對主機安全防護能力的補齊。


3、打造高效安全監測,精準化風險管控。


在出庫和分揀線1區域的匯聚交換機旁路部署工控異常監測與審計系統,實現工控行為識別與合規性檢查、審計與告警。設置安全管理區部署全流量檢測和威脅分析系統,進行物流工控網絡攻擊雙向檢測、APT沙箱檢測、全量數據存儲檢索、應用元數據解析、攻擊回溯取證和數據安全分析。為增強統一管理能力,在辦公網部署工控態勢感知系統,以工控網部署的安全設備為探針,對物流工控網絡的安全設備進行實時檢測與管理,從全局分析、外部攻擊、橫向攻擊、惡意外連多維度主動掌握工控網絡運行的安全狀態。


4、適度引入安全新技術,加強主動防御能力。


基于網絡欺騙防御技術,應用工業蜜罐系統,參照生產業務仿真構建蜜網,延緩攻擊者對實際業務網絡的攻擊,保護真實網絡資產,同時以技術手段實現對攻擊者的追蹤。工業蜜罐系統打破了現有攻防不對稱的局面,結合其他安全系統共同構成主動安全防御體系。


在“數字煙草”建設的大背景下,煙草企業積極推進煙草產業與信息化的深度融合,煙葉復烤、制絲、卷包、物流等各個生產環節均廣泛應用工業控制系統,其和企業管理網進行數據交換的需求愈加緊密。啟明星辰將不斷探索高效、全面的工控網絡安全防護體系,充分整合產品、平臺和服務資源,在企業生產信息化建設持續深入過程中,有效保障企業的正常運行,筑牢行業創新發展“壓艙石”。

上一篇 下一篇