精选案例|中烟工业云南某卷烟厂工控系统安全防护提升方案

2021-04-02 09:22:26来源:深圳融安网络科技有限公司

一、行业背景

2014年4月15日,烟草行业开始实施《烟草工业企业生产网与管理网网络互连安全规范》(YCT 494-2014),明确管理网和控制网之间的安全功能包括身份鉴别、访问控制、网络互联控制、恶意行为规范、安全审计、支撑操作系统安全。

2018年,国家烟草专卖局发布的《烟草行业工业控制系统网络安全技术规范》送审稿,规定了定级对象、责任主体、保护等级及工控系统安全基线等要求。因此,烟草行业工控网络安全加固势在必行。


二、需求分析

中烟工业云南某卷烟厂是中烟公司旗下的一家大型的卷烟厂,为了进一步加强信息安全管理,保障信息系统安全稳定运行,按照国家烟草总局的要求,需要对厂内制丝集控系统进行风险评估,主要需求如下:

Ø 对整个制丝集控系统工控网络进行安全风险评估,发现目前制丝工控系统中潜在的风险;

Ø 基于风险评估结果对全网进行安全加固,对现阶段可行的安全改造与持续性的安全维护提供建议方案。


三、解决方案

建设目标:符合等级保护三级基本要求。

体系框架:基于“一个中心、三重防护”纵深防御。

结合实际情况,按照“一个中心,三重防护”纵深防御的原则,从外到内构成“纵深防御、分区防护”策略,从安全区域边界、安全通信网络、安全计算环境、安全管理中心四个方面加以实现:

安全区域边界

边界防护:在烟草厂工控系统管理网和控制网出口处之间边界部署智能工业防火墙,进行访问控制,逻辑隔离、报文过滤等功能。通过智能学习和深度数据包解析的黑白名单结合、只允许特定的对象通过,特定的工控协议与系统进行交互。

同时,对系统之间传输的报文内容,做深度的检查,识别正常的操作行为并生成白名单,发现用户的行为,如果不符合白名单中的行为特征,会进行阻断或告警。


安全通信网络

安全审计:在烟草厂工控系统控制区核心交换机旁路部署工业监测审计系统,通过特定的安全策略,快速识别出企业工业控制系统网络非法操作、异常事件、外部攻击,并实时报警。

入侵检测:在烟草厂工控系统控制区系统边界部署网络入侵检测系统,合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在的威胁并进行安全审计。

安全计算环境

主机防护:对烟草厂工控系统的上位机、服务器进行防护,以白名单的技术方式监控工控主机的进程状态、网络端口状态、USB 端口状态,全方位地保护主机的资源使用。根据白名单的配置,禁止非法进程的运行,切断病毒和木马的传播与破坏路径,保障服务器和工作站的系统安全;

防护提升:在烟草厂工控系统工程师站、操作员站和数据服务器部署USB安全防御系统进行防护,通过对U盘的权限设置及行为管理,全面防护USB病毒及攻击,利用过滤技术,过滤可疑文件,切断病毒传播途径,有效拦截攻击,防止数据泄露事故。

安全管理中心

日志审计:在烟草内制丝工控系统控制区部署工业日志审计系统,实现针对工控系统网络设备、安全事件、日志信息的收集和集中分析,并提供日志查询、历史日志查询和事件告警功能,能够及时了解网络设备运行状态和识别存在的安全事件,提高系统安全防护能力;

运维管理:在工控系统控制区部署运维审计与管理设备(堡垒机),实现对设备的集中管控,限制设备的远程登录地址,对用户的操作权限以及操作行为进行审计记录,并提供会话审计和回放功能,同时能够确保审计记录不被破坏或非授权访问;

集中管控:在烟草厂工控系统部署统一安全管理平台,对系统内的防护设备统一进行安全管理,对全网流量和安全事件进行实时监控,通过数据建模分析内网安全威胁,并对全网设备状态实时监控和统一管理,实现统一的策略下发。

                                                                                                              部署示意图

四、客户价值

1、安全合规建设,能够有效履行《网络安全法》,满足等级保护2.0的要求,以及烟草行业的规范要求;

2、弥补现有生产系统网络安全层面的缺陷,构建安全的工业控制安全防御体系,提高安全防护,助力企业安全生产,降低造成国家关键基础设施遭到破坏的可能性;

3、遵循最小化影响原则,对网络行为进行监测、审计、控制和预警,实现“事前监控、事中控制、事后溯源”,静态和动态的主动防御体系,对保障生产控制系统的安全稳定运行起至关重要的作用。

分享:

微博
微信公众号