登录 / 注册
IT168信息化频道
IT168首页 > 信息化 > 信息化资讯 > 正文

助力烟草行业信息安全 看匡恩的数与术

2017-04-10 22:01    it168网站原创  作者: 厂商投稿 编辑: 陶然

  【IT168 资讯】“互联网+”的浪潮,推动着各行业的改革,烟草行业也不例外。在“两化融合”的过程中,卷烟工业企业着手构建智能化工厂,建设信息化的“数字烟草”。

  目前,卷烟工业企业生产管控的应用系统形成了从上到下的三层结构:管理协同层、生产执行层及工业控制层,这种多层次结构也使得工业控制信息系统的机密性、完整性,特别是可用性保障成为目前需要亟待解决的问题。

  工业控制系统安全与传统的信息系统安全不同,以往工控系统安全关注更多的是物理安全及生产设备功能的高可用性,随着信息化与工业化技术的深度融合以及潜在网络威胁的影响,工业控制系统也将从传统的仅关注物理安全、功能高可用性转向更为关注生产网中的信息安全,和工业控制网络的安全。

  立足源头 心中有“数”

  为了帮助烟草工业企业构建“数字烟草”,匡恩网络对烟草制造企业生产环节的动力能源监控、物流自动化、卷包自动化、制丝集控等系统进行了需求调研,充分掌握系统建设第一手资料,确保紧贴烟草行业信息化安全管理建设要求。通过调研分析,发现如下问题:

  网络层面安全防护不全面。近几年,大部分卷烟生产企业对内部网络进行了重新规划设计,普遍使用安全域的理念,仅限于考虑生产网与管理网的安全隔离要求,但对生产网内部生产执行层安全域的划分仍然不全面,生产网内部的安全防御机制仍然没有建立起来,假如系统感染病毒,很容易进行内部网络扩散,从而影响整个生产系统的安全运行。另外还存在管理网和生产网之间安全隔离机制不合理、控制指令数据通信明文传输,易被攻击者窃听和解析、网络设备安全性配置不完善、工业控制安全审计机制缺失等问题。

  设备存在安全隐患。目前烟草行业工业控制系统使用的PLC控制器主要是 Siemens S7 系列,存在安全后门。黑客或维护人员可以远程登录PLC控制器,修改或窃取PLC程序,获取工控系统的控制权,从而干扰、破坏安全生产。在整个生产网络内部的工程师站、操作员站、监控终端和业务服务器均为 Windows 系统,而出于稳定性考虑,服务器未做补丁安装和升级工作,主机系统安全监控防护体系几乎失效。系统的访问权限也存在安全隐患。

  安全人才缺少,安全意识不足。工业控制系统网络安全是一个跨部门、跨学科领域,在卷烟生产企业中工业控制系统由生产部门负责,信息安全由信息部门负责,生产部门对信息安全知之甚少,安全意识薄弱,而信息部门对工业控制系统的理解不深,给工控安全建设与安全运维带来挑战。企业应建立常态的工控安全培训机制,提高全员的工控安全意识,规范安全操作流程,培养工控安全专业人才,建立工控系统网络安全应急保障机制,为安全生产保驾护航。

  手中有“术”守护烟草生产信息安全

  基于对烟草行业的探索,匡恩网络利用工业物联网安全防护“4+1”的工控安全保障理念,即“结构安全、本体安全、行为安全、基因安全,加时间持续性”五个安全维度设计相应的安全防护方案。帮助卷烟生产企业建设工控安全防护体系,以满足日益增长的安全防护诉求与安全管理需要。

助力烟草行业信息安全 看匡恩的数与术

  结构安全。根据匡恩网络“4+1”工控安全保障理念,烟草企业工控网络结构安全应参照“安全分区、网络专用、横向隔离、纵向认证”的基本原则,通过系统梳理来理顺烟草企业工业控制系统组网与控制逻辑关系,优化网络结构,根据业务属性划分安全域,并在重要的网络节点上串行部署工控安全防护设备,建立分层、分域安全防护,实现基于白名单工控行为的合规性控制。

  本体安全。本体安全防护是工控网络安全防范的重点,当前烟草企业通常通过部署防火墙来防范外来的网络安全威胁,却忽视了设备本体如主机、底层控制器等的安全风险。由于这些工控系统和设备普遍存在漏洞、后门等安全隐患,企业内部人员安全意识薄弱,再加上第三方运维人员流动性大,致使内部因素导致的风险远大于外部攻击带来的风险。本体安全防护主要内容涉及主机安全防护、设备安全防护、USB攻击防护以及漏洞挖掘与检测。

  行为安全。工控系统的访问途径一般是有限的,在设计防护的时候应采取白名单应对机制。匡恩网络将行为安全分为内部行为安全隐患、外部攻击安全隐患,因此为实现工控行为安全防护,采取部署具备感知能力的安全产品,对网络流量、指令传输、数据采集等行为进行合规性检查,实现全局安全态势和局部安全态势的感知,同时与其他安全设备联动,形成主动防御网。过滤异常行为流量,实现生产数据安全。

  基因安全。对于烟草企业的基因改造,匡恩网络认为要依情况而定,在有条件的情况下,可采用经过基因安全性改造的自主工控系统与设备,和经过基因安全性加固的进口系统与设备。在条件暂不具备的情况下,应采用安全补偿机制,借助安全防护体系的纵深防御技术实现应用安全加固,实现一定的安全免疫能力。

  持续安全。工控系统具有漫长的生命周期,应加强工控网络安全防护体系建设,形成工控安全纵深防御能力。匡恩网络基于“4+1”工控安全防护体系和防护框架,以安全大数据分析为支撑,可构建多级管理的安全运营平台,实现安全风险的动态管理,安全事件快速响应处置,安全态势准确判断预警,安全隐患准确定位与修复,实现面向工控系统全生命周期的安全运维与管控能力建设。匡恩网络可帮助用户完善安全管理体系建设,加强生产人员安全意识培训,建立应急保障机制,长期有效的保障烟草企业的安全。

助力烟草行业信息安全 看匡恩的数与术

  烟草企业工控安全防护体系建设不仅仅包括技术防护体系建设,同时也包括安全管理体系的建设与完善。匡恩网络以“4+1”的安全防护理念为支撑,为烟草企业提供工业控制系统全生命周期安全解决方案,为企业安全生产保驾护航。

标签: 信息安全
相关文章
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫码送文库金币

实时热点
编辑推荐
系统架构师大会
系统架构师大会
点击或扫描关注
IT168企业级微信关注送礼
IT168企业级微信关注送礼
扫描关注
首页 评论 返回顶部