2022煙草行業(yè)工業(yè)控制系統網絡安全等級保護解決方案

煙草行業(yè)工業(yè)控制系統02煙草行業(yè)工控網絡現狀及安全風險分析CONT02煙草行業(yè)工控網絡現狀及安全風險分析01工控網絡安全形勢概述01工控網絡安全形勢概述目錄03煙草行業(yè)工控網絡安全解決方案03煙草行業(yè)工控網絡安全解決方案01工控網絡安全形勢概述01安全趨勢 安全政策PAGE4PAGE4伊朗核電站舉世聞名的“震網”事件伊朗核電站舉世聞名的“震網”事件2014年波蘭航空公司操作系統遭遇黑客攻擊，導致長達5個小時的系統癱瘓2016年Wannacry病毒席卷全球2018年飛機零部件供應商之一ASCO遭遇勒索病毒，已造成四個國家的工廠停產2010年“德國鋼廠遭網絡攻擊造成巨大破壞2015年烏克蘭最大機場遭網絡攻擊2017年臺積電事件，影響金額超1億美元損失2019年鋁業(yè)巨頭NorskHydro全球IT網絡遭新勒索軟件攻擊封閉網絡，不再是安全的綠洲 2012-2019年全球工控安全事件報告數量 2019年工控安全事件所屬行業(yè)細分針對煙草行業(yè)工業(yè)控制系統的攻擊持續(xù)不斷針對煙草行業(yè)工業(yè)控制系統的攻擊持續(xù)不斷PAGE5PAGE5 某卷煙廠物流系統 某卷煙廠制絲系統 某卷煙廠制絲系統2017.05 2018.07 2019.04國內多家卷煙廠工業(yè)控制系統遭受“永恒之藍”攻擊！國家頂層設計，行業(yè)規(guī)范驅動安全建設國家頂層設計，行業(yè)規(guī)范驅動安全建設PAGE6PAGE6工業(yè)控制系統信息安全防護指南煙草行業(yè)網絡安全標準工業(yè)控制系統信息安全防護指南煙草行業(yè)網絡安全標準網絡安全法與工業(yè)制造網絡安全法與工業(yè)制造PAGE7PAGE7《中華人民共和國網絡安全法《中華人民共和國網絡安全法》第十二屆全國人民代表大會常務委員會第二十四次會議通過《《國家網絡安全檢查操作指南》中央網信辦網絡安全協調局2016年6月等級保護2.0—基本要求等級保護2.0—基本要求PAGE8PAGE8工業(yè)控制系統信息安全防護指南工業(yè)控制系統信息安全防護指南PAGE9PAGE9工業(yè)控制系統信息安全防護指南一、安全軟件選擇與管理二、配置和補丁管理工業(yè)控制系統信息安全防護指南三、邊界安全防護四、物理和環(huán)境安全防護五、身份認證六、遠程訪問安全七、安全監(jiān)測和應急預案演練八、資產安全九、數據安全煙草行業(yè)網絡安全標準規(guī)范煙草行業(yè)網絡安全標準規(guī)范PAGE10PAGE10煙草行業(yè)網絡安全標準 煙草行業(yè)網絡安全標準生產網與管理網網絡互聯安全規(guī)范生產網與管理網網絡互聯安全規(guī)范1111《YC/T494-2014煙草工業(yè)企業(yè)生產網與管理網網絡互聯安全規(guī)范》身份鑒別訪問控制網絡互聯控制惡意行為防范安全審計操作系統安全基于IP口號、MAC地址或數字證書對請求的主機進行身份鑒別訪問控制到IP址和端口號，MAC地址及應用協議的控制對SQL為進行阻斷審計記錄行分析安全加固絡服務執(zhí)行改02煙草行業(yè)工控網絡現狀安全風險分析02系統現狀 安全風險分析XX卷煙廠鳥瞰圖XX卷煙廠鳥瞰圖PAGE13PAGE13卷煙廠工控系統現狀卷煙廠工控系統現狀PAGE14PAGE14動力能管、物流四個子系統組成。主要存在以下特點：各工控子系統主要采用SIEMENSCPU315-2PN/DP、CPU416-3、1513-2PN，ABCompactLogix、ControlLogix系列等控制產品；Windows統、應用軟件主要采用SIEMENS、GE、施耐德等公司產品；設備；

光纖 網線制絲系統工藝組成及流程制絲系統工藝組成及流程PAGE15PAGE15制絲集控系統網絡結構制絲集控系統網絡結構制絲集控系統主要采用控制環(huán)網和管理環(huán)網冗余結構設計；控制環(huán)網：實現對現場設備的數據采集、報警、控制、連鎖等功能，以及與設備層和管理層的數據交換。管理環(huán)網：實現生產管理、工藝管理、設備管理、質量管理及系統管理等；服務器采用虛擬化設計。16卷包系統工藝組成及流程卷包系統工藝組成及流程1717卷包數采系統網絡結構卷包數采系統網絡結構卷包數采系統主要采用數采環(huán)網和管理環(huán)網冗余設計；數采環(huán)網：實現對車間有關產量、消耗、質量、物流以及設備本身的數據進行采集、存儲、查詢分析；管理環(huán)網：實現生產數據查詢分析、生產調度、現場管理、工單管理、質量查詢、監(jiān)控與異常報警、系統管理等功能；18服務器采用虛擬化設計；18動力能管系統工藝及組成動力能管系統工藝及組成實時監(jiān)測、控制能源設備的自動化運行統計、分析能源數據集中管理、分散控制

匯聚數據、形成辦法，轉換為工作流程19設備控制系統實現動力設備的穩(wěn)定、高效運行19動力能管系統網絡結構動力能管系統網絡結構PAGE20PAGE20動力能管系統采用光纖環(huán)網結構設計；服務器采用虛擬化設計；系統中采用了大量的通信儀表設備；主要的通信方式：Modbus-RTU/TCP、ProfiNet、Profibus-DP/PA、FF基金會總線、HART總線。物流系統工藝及組成物流系統工藝及組成PAGEPAGE21原料庫物流子系統；備品備件庫物流子系統；物流集控系統網絡結構物流集控系統網絡結構PAGE22PAGE22物流系統主要分為倉儲管理系統、自動分揀系統和調度系統組成；系統中采用了大量的無線設備，如：堆垛機、穿梭車、AGV小車等；服務器采用虛擬化設計；卷煙廠工控系統主要安全隱患（卷煙廠工控系統主要安全隱患（PAGE1/4）PAGEPAGE23網絡邊界無隔離1的病毒、木馬攻擊等風險。12香糖料，整柜物料報廢的風險。2卷煙廠工控系統主要安全隱患（卷煙廠工控系統主要安全隱患（PAGE2/4）網絡異常無監(jiān)測無法發(fā)現來自外部網絡入侵行為。1 2新慢、工單下發(fā)不成功等問題，致使產線停機或系統重啟。224324卷煙廠工控系統主要安全隱患卷煙廠工控系統主要安全隱患工程師站、服務器等主機無防護1 、木馬攻擊的風險。2病毒。23 25等信息。25卷煙廠工控系統主要安全隱患卷煙廠工控系統主要安全隱患2626安全運維管理不完善1 運維人員安全管理制度執(zhí)行不到位，存在著違規(guī)操作的行為。安全管理措施不完善。03煙草行業(yè)工控網絡安全解決方案03解決思路 解決方案PAGE28PAGE28基于“白環(huán)境”的“縱深防御安全防護技術體系”①網絡分區(qū)分域②強化安全區(qū)域邊界訪問控制能力③提高網絡內、外入侵和惡意代碼防御能力工控系統④提高違規(guī)內聯、外聯檢測能力工控系統⑤提高系統內主機病毒防范能力⑥提高主機身份認證能力，采用雙因子認證機制⑦一鍵式安全加固，提高主機安全基線⑧關閉不必要的服務端口，提高入侵防范能力⑨利用訪問控制策略，保證業(yè)務配置文件不被篡改⑩提高日志審計能力，審計日志至少保存6個月?加強運維人員行為管理?建立統一安全管理中心，強化集中管控能力?技術手段輔助業(yè)主完成定期自檢PAGE29PAGE29切入點—全面風險評估，尋找問題癥結點風險評估分析是對煙草行業(yè)制絲集控系統網絡內各資產進行安全管理的先決條件，其目的在于識別和評估不同用戶所面臨的生產安全風險和網絡安全風險。風險分析的典型內容：工控系統資產梳理，分析價值；識別已有的安全防護措施；資產脆弱性及面臨的威脅分析；安全風險綜合分析。1.生產網網絡分區(qū)分域1.生產網網絡分區(qū)分域PAGE30PAGE30外部區(qū)域內部區(qū)域外部區(qū)域內部區(qū)域內部區(qū)域內部區(qū)域按照個安全域進行管理。2.強化安全區(qū)域邊界訪問控制能力2.強化安全區(qū)域邊界訪問控制能力PAGE31PAGE31生產辦公邊界隔離流量及威脅可視全面的web防護生產辦公邊界隔離流量及威脅可視全面的web防護強大的應用識別能力ACL+應用級白名單工控協議合規(guī)性驗證ACL+應用級白名單工控協議合規(guī)性驗證協議功能碼、點值控制控制邏輯合理性驗證工業(yè)互聯防火墻 工業(yè)防火墻3.提高網絡內、外入侵和惡意代碼防御能力(3.提高網絡內、外入侵和惡意代碼防御能力(PAGE1/2)關鍵網絡節(jié)點基于流量的未知威脅監(jiān)測監(jiān)控中心核心網絡對APT攻擊的實時檢測網絡威脅感知系統32工控安全監(jiān)測與審計系統323.提高網絡內、外入侵和惡意代碼防御能力(3.提高網絡內、外入侵和惡意代碼防御能力(PAGE2/2)虛擬化平臺網絡、安全、應用可視化虛擬化平臺東西向流量全防護33虛擬化微隔離系統334.提高違規(guī)內聯、外聯檢測能力4.提高違規(guī)內聯、外聯檢測能力關閉網絡設備不必要的端口交換機進行IP/MAC綁定工控主機衛(wèi)士開啟非法外聯策略34工控主機衛(wèi)士345.提高系統內主機病毒防范能力5.提高系統內主機病毒防范能力切斷惡意代碼/病毒通過U盤擺渡到系統內部的途徑啟動文件級白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行啟動文件級白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行解決方案難以及時更新、打補丁。件存在短板。殺毒軟件或將業(yè)務軟件誤識為病毒而刪除。35工控主機衛(wèi)士356.提高主機身份認證能力，采用雙因子認證機制6.提高主機身份認證能力，采用雙因子認證機制關鍵服務器、工程師站采用雙因子認證靜態(tài)密碼+UKEY36工控主機衛(wèi)士367.一鍵式安全加固，提高主機安全基線7.一鍵式安全加固，提高主機安全基線內置42條安全基線規(guī)則一鍵式配置，降低手動加固成本37工控主機衛(wèi)士378.關閉不必要的服務端口，提高入侵防范能力8.關閉不必要的服務端口，提高入侵防范能力內置防火墻功能，關閉不必要端口一鍵式配置，降低手動加固成本38工控主機衛(wèi)士389.利用訪問控制策略，保證業(yè)務配置文件不被篡改9.利用訪問控制策略，保證業(yè)務配置文件不被篡改基于標記的強制訪問控制自主訪問控制39工控主機衛(wèi)士3910.提高日志審計能力，審計日志至少保存6個月10.提高日志審計能力，審計日志至少保存6個月泛化多種類設備（主機、網絡、安全）日志快速準確的識別安全事件，發(fā)現違規(guī)行為日志審計與分析系統

安全管理中心4011.加強運維人員行為管理11.加強運維人員行為管理運維人員身份鑒別運維人員身份鑒別運維人員操作授權運維人員行為審計

安全管理中心安全運維管理系統4112.建立統一安全管理中心，強化集中管控能力12.建立統一安全管理中心，強化集中管控能力雙機熱備，高度可靠雙機熱備，高度可靠安全產品集中管理安全產品集中管理加密傳輸通道加密傳輸通道高度可視化 安全管理中心高度可視化安全管理中心統一安全管理平臺42制絲集控系統總體技術安全防護方案制絲集控系統總體技術安全防護方案安全管理中心

工業(yè)防火墻工控安全監(jiān)測與審計系統工控主機衛(wèi)士安全運維管理系統日志審計與分析系統43工業(yè)互聯防火墻43卷包數采系統總體技術安全防護方案卷包數采系統總體技術安全防護方案安全管理中心

工業(yè)防火墻監(jiān)測與審計系統網絡威脅感知系統工控主機衛(wèi)士運維管理系統虛擬化微隔離系統44工業(yè)互聯防火墻44動力能管系統總體技術安全防護方案動力能管系統總體技術安全防護方案安全管理中心

工業(yè)防火墻工控安全監(jiān)測與審計系統工控主機衛(wèi)士運維管理系統日志審計與分析系統45工業(yè)互聯防火墻45物流控制系統總體安全防護方案物流控制系統總體安全防護方案工業(yè)互聯防火墻安全管理中心

工業(yè)防火墻網絡威脅感知系統虛擬化微隔離系統工控主機衛(wèi)士46日志審計與分析系統46健全卷煙廠工業(yè)控制系統網絡安全制度與標準健全卷煙廠工業(yè)控制系統網絡安全制度與標準絡安全工作的順利開展；一級文件二級文件一級文件二級文件三級文件規(guī)定、手冊1規(guī)定、手冊1執(zhí)行模板3管理辦法執(zhí)行模板3管理辦法247三層文件：各種體系運行所需的規(guī)范文檔模板。47借鑒國家等級保護制度安全管理制度要求借鑒國家等級保護制度安全管理制度要求管理要求管理要求安全管理制度 安全管理機構 安全管理人員 安全建設管理 安全運維管理安全策略管理制度制定和發(fā)布評審和修訂

崗位設置人員配置授權和審批溝通和合作審核和檢查

人員錄用人員離崗安全意識和培訓外部訪問人員

定級和備案自行軟件開發(fā)外包軟件開發(fā)工程實施

環(huán)境管理資產管理介質管理設備維護管理網絡安全管理系統和網絡安全管理惡意代碼防范管理等級保護合規(guī)性要求的實施，使工控網絡信息化建設與應用滿足國家頂層設計要求。

等級測評服務商選擇

密碼管理變更管理48安全事件