近年來，國家煙草專賣局根據(jù)行業(yè)信息安全建設(shè)實際情況和需要，一方面通過發(fā)布信息安全相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范為行業(yè)單位信息安全建設(shè)提供指導(dǎo)和統(tǒng)一要求，另一方面通過每年度一次全面信息安全檢查和專項信息安全檢查，面向全行業(yè)“以查促建、以查促管、以查促改、以查促防” 推動行業(yè)整體信息安全建設(shè)水平的提高。

    在“兩化”融合的行業(yè)發(fā)展需求下，現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進步主要表現(xiàn)在兩大方面：信息化與工業(yè)化的深度融合，為了提高煙草行業(yè)生產(chǎn)高效運行、生產(chǎn)管理效率，行業(yè)大力推進信息系統(tǒng)的集成化，集中化管理，工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)的互聯(lián)互通成為重要前提。

    近幾年行業(yè)總局根據(jù)行業(yè)特點陸續(xù)制訂發(fā)布了《煙草行業(yè)等級保護基本要求》、《煙草行業(yè)移動應(yīng)用安全規(guī)范》、《煙草行業(yè)網(wǎng)絡(luò)安全基線管理技術(shù)規(guī)范》、《煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南》、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》和《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》，為行業(yè)的信息安全規(guī)劃、建設(shè)提供了依據(jù)與標(biāo)準(zhǔn)。

行業(yè)需求

安全配置核查需求

    煙草行業(yè)通過對安全事件的分析，發(fā)現(xiàn)安全事件主要由3個方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。由安全配置的不足可能帶來非常多的安全隱患，因此對安全配置進行有效的檢查和加固成為整體安全體系建設(shè)中的重要一環(huán)。

    同時根據(jù)國家煙草局制定的《煙草行業(yè)信息安全基線管理技術(shù)規(guī)范》作為煙草行業(yè)各單位信息安全保障體系建設(shè)和管理工作的基線要求。 

工業(yè)控制系統(tǒng)安全需求

    煙草行業(yè)工業(yè)控制系統(tǒng)由于長期缺乏安全需求的推動，現(xiàn)有的工業(yè)自動化控制系統(tǒng)在設(shè)計、研發(fā)、部署、運維中沒有充分考慮安全問題，一旦被無意或惡意利用就會造成各種信息安全事件。整體工業(yè)控制系統(tǒng)安全趨勢不容樂觀，行業(yè)工控安全建設(shè)迫在眉睫。

煙草行業(yè)工業(yè)控制系統(tǒng)安全需求：

1、 車間內(nèi)安全域劃分及安全域訪問控制需求；

2、 車間內(nèi)未知資產(chǎn)、未知IP發(fā)現(xiàn)需求；
3、 上位機安全防護需求；
4、 工控設(shè)備、工控協(xié)議安全漏洞發(fā)現(xiàn)需求；
5、 無線通信安全防護需求；
6、 統(tǒng)一監(jiān)控管理需求；
7、 安全配置檢查需求；
8、 第三方運維安全審計需求；

行業(yè)解決方案及優(yōu)勢

煙草行業(yè)“三全”檢查評估系統(tǒng)解決方案

系統(tǒng)概述

    煙草行業(yè)“三全”檢查評估系統(tǒng)是按照煙草行業(yè)信息安全基線管理技術(shù)規(guī)范的要求，實現(xiàn)具有煙草行業(yè)特點的三全業(yè)務(wù)梳理、診斷等功能，具備安全運維、巡檢、檢查的自動化實現(xiàn)。

系統(tǒng)在研究煙草行業(yè)的基線安全需求后，制定了針對行業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫的安全配置核查和功能測試規(guī)范，包括各品牌路由器、通用操作系統(tǒng)、AIX主機系統(tǒng)、Windows主機系統(tǒng)，通用數(shù)據(jù)庫、Oracle數(shù)據(jù)庫等設(shè)備、系統(tǒng)的安全配置規(guī)范和安全功能測試規(guī)范。

    系統(tǒng)策略庫的研究內(nèi)容主要包括賬號、口令、授權(quán)、日志、IP地址以及其它方面的內(nèi)容。這些內(nèi)容涉及可能會影響設(shè)備或系統(tǒng)安全性的方面，比如口令的復(fù)雜性，生存期、歷史口令、口令修改、口令存放等方面的內(nèi)容。規(guī)范中的配置核查部分明確了設(shè)備的基本配置安全要求，為在設(shè)備入網(wǎng)測試、工程驗收和設(shè)備運行維護環(huán)節(jié)明確相關(guān)安全要求提供指南。

功能介紹

三全工作可視化：按照行業(yè)總局三全要求對業(yè)務(wù)系統(tǒng)進行核查，并生成報表。如下圖所示，從系統(tǒng)必要達(dá)標(biāo)率以及參考達(dá)標(biāo)率進行數(shù)據(jù)統(tǒng)計。并且按照“三全”要求顯示出安全技術(shù)、安全管理的詳細(xì)指標(biāo)統(tǒng)計。

自定義填報：  按照自身業(yè)務(wù)系統(tǒng)的特點進行自定義的填報年、月報表。

三全工作自動檢查：可實現(xiàn)三全工作的定期執(zhí)行

KPI考核：上下級單位的級聯(lián)，可實現(xiàn)上級單位對下級單位的達(dá)標(biāo)率的查看、分析以及考核。

部署模式

    系統(tǒng)常見的部署方式依據(jù)客戶的組織架構(gòu)的不同主要有單級部署和級聯(lián)部署兩種方式。而單級部署的結(jié)構(gòu)上又可依據(jù)客戶的網(wǎng)絡(luò)的分布情況主要分為單點部署和分布式部署兩種方式。以下就分別對單級部署和級聯(lián)部署分別介紹。

    單級部署：單級部署系統(tǒng)的組網(wǎng)模式比較簡單，可以將其旁路部署在既有網(wǎng)絡(luò)中。管理員通過WEB頁面登錄系統(tǒng)下達(dá)核查任務(wù)，檢查任務(wù)既可以遠(yuǎn)程執(zhí)行也可以本地執(zhí)行。

    多級部署：總部（如省級單位）部署一套系統(tǒng)，根據(jù)各個地市的實際情況同樣也部署一套系統(tǒng)。實現(xiàn)對地市、省級單位的二級級聯(lián)。而各下屬各分支機構(gòu)為了實現(xiàn)對各自信息系統(tǒng)的安全配置管理、“三全”工作統(tǒng)計，分別部署了各自的安全配置核查系統(tǒng)?？偛颗c分支機構(gòu)的安全管理平臺進行通信，實現(xiàn)總部對分支機構(gòu)系統(tǒng)的查看和管理，如年度“三全”完成指標(biāo)情況，橫向地市與地市之間的“三全”指標(biāo)完成度的對比情況。

方案優(yōu)勢

- 提高安全掌控

- 提高工作效率
- 降低管理成本

煙草行業(yè)工業(yè)控制系統(tǒng)安全解決方案

    本方案的整體思路主要依據(jù)行業(yè)網(wǎng)絡(luò)安全“分級分域、整體保護、積極預(yù)防、動態(tài)管理”的總體策略。首先對整個工控系統(tǒng)進行全面風(fēng)險評估掌握目前工控系統(tǒng)風(fēng)險現(xiàn)狀；通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會引入來自管理網(wǎng)風(fēng)險，保證生產(chǎn)網(wǎng)邊界安全；在各車間內(nèi)部工控系統(tǒng)進行一定手段的監(jiān)測、防護，保證車間內(nèi)部安全；最后對整個工控系統(tǒng)進行統(tǒng)一安全呈現(xiàn)，將各個防護點組成一個全面的防護體系，保障其整個工業(yè)控制系統(tǒng)安全穩(wěn)定運行。

工業(yè)控制系統(tǒng)安全防護模型

全面風(fēng)險評估

    所有工控安全建設(shè)都應(yīng)該是基于對自身工控安全現(xiàn)狀的精確掌握，本方案首先采用工業(yè)無損檢查評估的方式對整個工控系統(tǒng)進行全面風(fēng)險評估。主要內(nèi)容包括：工控設(shè)備安全性評估、工控軟件安全性評估、各類操作站安全性評估以及工控網(wǎng)絡(luò)安全性評估。

工業(yè)控制系統(tǒng)不間斷運行，任何意外停機故障都會造成重大損失。工控系統(tǒng)風(fēng)險評估首先強調(diào)風(fēng)險控制，從項目管理和技術(shù)實施的層面，必須做到零風(fēng)險。

工業(yè)無損檢查評估

管理網(wǎng)和生產(chǎn)網(wǎng)隔離

管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通存在安全風(fēng)險，根據(jù)國際國內(nèi)的各類工控安全相關(guān)標(biāo)準(zhǔn)以及行業(yè)內(nèi)部于2014年下發(fā)的《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》中，都對管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)安全問題進行了著重關(guān)注。

管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)接口安全模型

針對這一問題，本解決方案在各車間工業(yè)控制系統(tǒng)生產(chǎn)網(wǎng)和管理網(wǎng)邊界都應(yīng)該部署工業(yè)防火墻進行管理網(wǎng)和生產(chǎn)網(wǎng)的邏輯隔離，對兩網(wǎng)間數(shù)據(jù)交換進行安全防護，確保生產(chǎn)網(wǎng)不會引入管理網(wǎng)所面臨的風(fēng)險。

各車間內(nèi)監(jiān)測與防護

在管理網(wǎng)和生產(chǎn)網(wǎng)隔離中已經(jīng)對生產(chǎn)執(zhí)行層和各個車間生產(chǎn)網(wǎng)絡(luò)進行了邏輯隔離，確保管理網(wǎng)風(fēng)險不會引入各車間生產(chǎn)網(wǎng)。在各車間內(nèi)部針對行業(yè)工業(yè)控制系統(tǒng)各方面風(fēng)險采取對應(yīng)的防護手段如下：

在操作員站、工程師站、HMI等各類操作站部署操作站安全系統(tǒng)對主機的進程、軟件、流量、U盤的使用等進行監(jiān)控，防范主機非法訪問網(wǎng)絡(luò)其它節(jié)點；

部署工業(yè)異常監(jiān)測系統(tǒng)，監(jiān)測工控網(wǎng)絡(luò)的相關(guān)業(yè)務(wù)異常和入侵行為，通過工控網(wǎng)絡(luò)中的流量關(guān)系圖形化展示梳理發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，出現(xiàn)異常及時報警；

部署工業(yè)漏洞掃描系統(tǒng)，發(fā)現(xiàn)各類操作系統(tǒng)、組態(tài)軟件、以及工業(yè)交換機、PLC等存在的漏洞，為車間內(nèi)各類設(shè)備、軟件提供完善的漏洞分析檢測。

在PLC前端部署工業(yè)防火墻，對PLC進行防護。

在車間現(xiàn)場通過部署Wifi入侵檢測設(shè)備，對煙草工業(yè)控制系統(tǒng)中的AGV小車等其他無線網(wǎng)絡(luò)進行安全防護。

部署現(xiàn)場運維審計與管理系統(tǒng)防范現(xiàn)場運維帶來的風(fēng)險。

工業(yè)異常監(jiān)測

統(tǒng)一安全呈現(xiàn)

    對于管理人員，面對整個企業(yè)各個車間內(nèi)繁多的各類工控網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站以及安全設(shè)備，如何高效管理，掌握各個點的風(fēng)險現(xiàn)狀，對整個工控系統(tǒng)安全現(xiàn)狀能夠統(tǒng)一掌握，及時處理各類設(shè)備故障與威脅同樣是工控安全建設(shè)至關(guān)重要的一環(huán)。

    針對這一情況，通過在生產(chǎn)執(zhí)行層部署工業(yè)控制信息安全管理系統(tǒng)，對煙草生產(chǎn)中各車間工控系統(tǒng)進行可用性、性能和服務(wù)水平的統(tǒng)一監(jiān)控管理。包括各類主機、服務(wù)器、現(xiàn)場控制設(shè)備、以及各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備的配置及事件分析、審計、預(yù)警與響應(yīng)，風(fēng)險及態(tài)勢的度量與評估，對整個系統(tǒng)面向業(yè)務(wù)進行主動化、智能化安全管理，保障煙草工業(yè)控制系統(tǒng)整體持續(xù)安全運營。

部署方案

安全措施部署圖

煙草行業(yè)工業(yè)控制系統(tǒng)安全防護優(yōu)勢

- 第一家在煙草行業(yè)卷煙廠進行全面工控安全建設(shè)的工控安全廠商，完成了煙草行業(yè)工控安全的破冰行動。 
- 提供了煙草行業(yè)工控安全標(biāo)準(zhǔn)調(diào)研、編制支持。 
- 工控產(chǎn)品進行了煙草行業(yè)生產(chǎn)線環(huán)境測試。
- 在煙草行業(yè)工控安全風(fēng)險評估、咨詢、解決方案、項目經(jīng)驗等方面具備領(lǐng)先優(yōu)勢 。