烟草行业工控系统安全防护思路

烟草行业工控安全防护背景

烟草行业在两化融合的进程中，已经逐步形成以“数字化、智能化、网络化”为特点的工业信息化建设目标。为同步加强行业工业控制系统安全建设，行业卷烟生产企业都需要重新梳理工业控制系统的类别与范围，确定安全等级进行相对应的安全防护工作。

在《国家烟草专卖局办公室关于转发公安部2016年公安机关网络安全执法检查工作方案的通知》（国烟办综2016-257号）文件中，烟草行业重新明确了行业工业控制系统的定义及分类，其中涉及卷烟厂、商业物流分拣中心、烟叶复烤厂、醋酸纤维公司、烟机公司等。

 烟草行业工控安全防护思路

防护思路

为确保烟草行业工业控制系统安全可控，绿盟科技结合国内外工业控制系统安全现状，并依据《工业控制系统安全指南》(NIST-SP800-82)与《IEC 62443工控网络与系统信息安全标准综述》等国际标准，以卷烟工业企业为试点，总结适合烟草行业的工业控制系统安全防护体系。协助行业单位建立完善适合烟草行业的信息化应用体系架构：管理协同层、生产执行层、操作监控层、物理执行层。

具体防护设计

针对行业安全防护原则与要求，将烟草行业工业控制系统安全防护工作划分为安全隔离、分级分域、区域防护、安全管理四个阶段，并且提出每个阶段的具体安全防护方案。

安全隔离

生产网与管理网因其通讯协议以及安全性能的不同，面临的安全风险也有较大差异，因此生产网与管理网的安全隔离是工控系统安全防护工作的基础，依据《烟草工业企业生产网与管理网网络互联安全规范》中具体要求，通过建立生产网与管理网唯一的互联接口实现网络隔离、访问控制、工控协议及传统协议的恶意行为检测及数据流分析等内容。

分级分域

伴随着《等级保护工作要求-第五部分扩展要求》（工控版）的出台，绿盟科技将协助行业各单位完成工控系统的分类及定级工作，并且帮助各行业单位完成生产网的安全域划分规划，将生产网划分为操作监控域、物理执行域以及安全管理域，并设计每个区域的域间及域内安全防护工作。

区域防护

为确保能够全面的加强生产网的安全防护能力，可从域间防护及域内防护两个方面开展安全域防护工作。域间安全防护模型，主要包括确定各个安全域边界，建立区域隔离、访问控制、攻击检测及防御、数据分析及预警等安全机制，在此区域之间安全防护的基础上，加强区域内安全防护建设，针对不同安全域特点进行安全设计，主要包括设备监控、协议检测、PLC安全防护、无线安全、安全审计等。

绿盟科技通过域内防护、域间防护的相互协调与互补，共同确保生产网安全防护工作的全面性和落地性。

1) 域间防护：

• 区域隔离: 不同于生产网与管理网的隔离机制，绿盟科技协助各个单位对不同区域之间采用技术措施进行逻辑隔离工作。

• 访问控制: 区域之间建立白名单机制，仅设置必要的工控系统操作、管理和维护策略

• 攻击检测：不同区域之间的数据流访问需要进行攻击检测机制，及时发现攻击行为并进行防护与阻断。

• 数据分析及预警：在安全管理域建立其中审计及预警机制，对生产网安全进行统筹管控。

1) 域内防护：

• 异常监控:在区域内建立域内数据异常监控机制，对传统协议和工控协议的异常流量、异常协议和入侵行为等进行监控。

• 工控机安全：加强工控机系统本身安全，对使用、安装、组态软件、病毒查杀、进行安全管控。

• 安全审计：建立区域内安全审计机制，对工业控制网络内设备之间的访问数据、服务、端口和协议等进行分析。

• 无线安全：建立无线安全机制，加强身份鉴别、无线授权、无线攻击防护等工作。

安全管理

为确保工业控制系统安全防护措施的良好开展与后期的安全可控，绿盟科技将从技术和管理两个方面设计工业控制系统安全防护方案，除了以上技术体系设计以外，绿盟科技将协助行业各个单位设计并建立完善的工业控制系统安全管理规范，包括运维流程规范、风险评估规范、应急演练规范、人员培训规范等内容。

方案收益

综上，烟草行业工业控制系统安全防护工作将从安全隔离、分级分域、区域防护三个阶段进行，然后通过有效的安全管理措施贯穿整个安全防护体系，实现工业控制系统整体的安全防护与加固的目标。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP