新闻动态

News information

数字烟草,安全赋能丨六方云助力华东某省烟草物流系统安全全面升级

<<返回

2023年08月17日 08:00


案例概述:


烟草物流分拣系统是一种利用现代信息技术和自动化技术,实现烟草产品的自动化分拣、打包、码垛、出库等作业的系统。它可以提高烟草物流的效率和质量,降低人力成本和错误率,满足烟草市场的需求。然而,随着网络技术的发展,烟草物流分拣系统一旦遭受网络攻击或者误操作,可能导致系统故障、数据泄露、生产中断等严重后果,给烟草企业带来巨大的损失。

 

为了保障烟草物流分拣系统的安全运行,同时响应国家烟草专卖局《烟草行业网络安全和信息化领导小组办公室关于加强行业网络安全等级保护工作的通知》的要求,华东地区多个地市烟草专卖局选择采用六方云的工控安全产品及方案提升等级保护级别,以全面落实“三化六防”措施和“一个中心、三重防护”要求为目标,开展网络安全总体设计和安全建设,构建了全方位、多层次的工控网络安全防护体系。

 

安全风险与现状分析:


以某市烟草企业的物流分拣系统为例,其主要设备包括打标机、备货工控机、合单机、分拣电控柜、工业交换机、PLC控制器、操作员站等,通过网络进行连接和通信,覆盖了卷烟出入库、分类分拣等环节,形成一个完整的工控网络。该网络存在以下安全风险:

 

1、工控系统网络缺乏控制隔离机制

各网络区域间未充分采取安全隔离措施,在通过办公网访问物流工控网络过程中,不能有效拦截办公网中木马病毒及针对工控系统开发的恶意软件,存在网络攻击通过一个节点入侵、扩散至整个工控系统风险。

 

2、缺乏对违规操作、越权访问等行为的审计能力

工业控制系统属于相对封闭的环境,对工控网络流量和访问关系缺乏有效的监测手段,不能及时提供工控网络安全风险预警和故障定位,发生故障后容易存在排障时间长、原因无法定位的风险,同时也存在第三方人员通过非法IP接入等网络风险。


3、工控系统严重漏洞难以及时处理

工控系统设备种类广泛,配置参差不齐,长期不更新,存在大量漏洞;由于系统通信协议种类繁多、系统软件难以及时升级、设备使用周期长以及系统补丁兼容性差、发布周期长等现实问题,工控系统补丁管理困难,难以及时处理威胁严重的漏洞。

 

4、外部运维带来的安全风险

工控系统采用的控制器和设备的种类繁多,外部人员运维成为一个潜在的安全风险点。某些烟草企业虽然从管理上保障运维过程,但缺乏有效技术手段支撑,本地管理人员很难监测到外部人员的越权操作或故意改变运行逻辑的行为,在出现问题时,难以追踪。

 

5、缺乏完整的安全管理工作闭环

当网络出现攻击行为或网络受到其它一些安全威胁时,无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,缺乏对网络的可控性与可审查性。

 

解决方案:


                                              1.png

1、从源头防范风险,提升系统安全能力

根据物流分拣工控系统的网络架构、业务连接、通信协议、部署环境等多个因素,保持原有的网络区域划分,确定重要的网络边界,接着通过部署工业网闸,实现网络安全隔离与访问控制,保障生产安全。

 

在不改变原组网结构的基础上,通过在分拣线的汇聚交换机串接部署工业防火墙,借助工控协议的深度解析能力,实现工控行为的合规性控制,实现网络分层、分域保护。

 

在操作员站、工程师站及服务器安装基于“白名单+”的主机防护软件,实现工业主机从启动、加载到持续运行全生命周期的安全保障,避免病毒、木马和违规软件等恶意程序对其造成破坏和影响。


2、实时监测威胁行为,保障信息安全无忧

核心交换机旁路部署入侵检测系统,实现攻击回溯取证和数据安全分析。

 

在分拣线区域的汇聚交换机旁路部署工业审计系统,实现工控行为识别与合规性检查、审计与告警。

 

通过解析工控网络流量、深度分析工控协议、与系统内置的协议特征库和设备对象进行智能匹配,实现实时流量监测及威胁活动告警,帮助用户实时掌握网络运行状况,发现潜在的网络安全威胁。


3、全面审计安全事件,提高管理效率和水平

在设置的安全管理区,通过部署工业运维审计(堡垒机)集中管理运维账号,实时控制运维操作权限和命令,阻断异常行为,并记录运维过程的详细日志,提升运维合规性。

 

部署日志审计系统,负责收集、存储、分析、展示和保护日志数据,并提供告警通知、事件查询、图形回放等功能,方便对运维事件进行审计和追责。

 

4、完善快速响应处置方案,降低损失和影响

通过工业监管平台,打造一个集中管理、配置、部署、监测、分析、处置的一体化工业网络安全解决方案,对所属网络的安全设备和工业卫士软件进行统一管理,提高运维效率,降低出错风险。

 

通过安全态势大屏,贴近用户场景,展示当前网络的资产分布和威胁态势,对工控网络内的安全威胁进行实时监测和智能分析,并实现从发现到预警、到处置的流程闭环,保障工业网络的安全运行。

 

应用效果


1、满足国家和行业的合规政策要求

依据等保2.0“一个中心、三重防护”的要求,综合考虑《烟草行业工业控制系统网络安全基线技术规范》、《烟草行业信息系统安全等级保护实施规范》等相关标准规范,构建安全合规的网络及业务系统。

 

2、构建纵深安全防护体系

通过采用六方云的工控安全产品和方案,烟草物流分拣系统实现了从源头防范风险、实时监测威胁行为、全面审计安全事件、完善快速响应处置方案等多个方面的安全能力提升,有效保障了物流分拣系统的安全运行。

 

3、助力烟草行业安全升级

本方案经过多个地市的实践检验,有效保障了物流分拣系统的安全运行。同时,本方案也适用于烟叶复烤、制丝、卷包、物流等各个生产环节的工业控制系统,为其他工业领域提供了一个值得借鉴的工控网络安全解决方案,展示了六方云在工控安全领域的专业水平和技术优势。