项目背景需求
该项目是我司为主要编写单位的中国烟草总公司《烟草行业工业控制系统网络安全技术规范》的示范项目,该卷烟厂在多年自动化建设过程中不断遇到由于信息安全问题对工控系统正常运行产生影响,逐渐发现自身对于工控安全的建设方面存在着一些亟需解决的问题。在制丝、卷包、物流、动力这几个工控系统网络中针对于工控安全的防护措施存在不足。
通过本项目建设解决如下问题:
(1)完成了两个车间生产网和管理网间的安全隔离,确保生产网避免遭受管理网风险;
(2)在生产网内部及时检测工控设备所存在的安全漏洞,实时监测业务异常、入侵行为;
(3)对于现场控制设备进行安全防护;
(4)对工控系统所有安全设备、工控设备安全状况统一进行安全监控、管理,全方位,多层次对烟厂工控系统进行保护。
防护方案及涉及安全产品
本方案的整体思路主要依据烟草行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。首先对某烟厂整个工控系统进行全面风险评估掌握目前工控系统风险现状;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网边界安全;在各车间内部工控系统进行一定手段的监测、防护,保证车间内部安全;最后对整个工控系统进行统一安全呈现,将各个防护点组成一个全面的防护体系,保障其整个工业控制系统安全稳定运行。安全措施部署位置如下图所示:
在烟厂各车间工业控制系统生产网和管理网边界部署工业防火墙进行管理网和生产网的逻辑隔离,对两网间数据交换进行安全防护,确保生产网不会引入管理网所面临风险。
除通用防火墙基本防护功能外,着重实现对MES系统与工控系统的OPC协议的动态端口防护及完整性检查、碎片检查等细粒度防护,并可以深度解析协议,做到深入item值的防护。
在生产执行层部署工业控制信息安全管理系统,对烟草生产中各车间工控系统进行可用性、性能和服务水平的统一监控管理。包括各类主机、服务器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应,风险及态势的度量与评估,对整个系统面向业务进行主动化、智能化安全管理,保障烟草工业控制系统整体持续安全运营。
实现对操作站、服务器、现场控制设备、工业交换机等设备性能的监测。
按照实际设备位置实现拓扑展示、并实时显示安全状况的监测。
在过程监控层主要交换机旁路部署工业异常监测系统,监测工控网络的相关业务异常和入侵行为,通过工控网络中的流量关系图形化展示梳理发现网络中的故障,出现异常及时报警;
通过白名单的自学习实现从制丝集控系统的操作站到PLC的异常操作的发现。
实现对工控网内从制丝集控上位机I/O服务器PLC等设备间网络流秩序连接关系的梳理。
实现针对工控系统中存在的已知木马后门、蠕虫病毒的入侵行为以及网络扫描探测行为的检测。
在生产环网一台主PLC与上联交换机之间前端部署工业防火墙,对PLC进行防护。
本项目中防护方案中涉及安全产品如下表:
产品名称 | 数量 |
工业防火墙 | 3台 |
工控异常监测系统 | 1台 |
工控信息安全管理平台 | 1套 |
项目效果
某卷烟厂在本次工控安全建设项目中,通过生产网和管理网隔离实现了对MES系统到某两个车间的访问控制,阻断来自管理网的非法行为;经过多项安全防护措施后,能够有效的保障工控网中网络、主机应用、数据等各层面的多数安全问题发生,降低公司生产业务中断的风险;通过统一安全管理平台建设对某卷烟厂中各车间工控系统进行安全性、可用性、性能和服务水平的统一监控管理减少可能潜在的风险隐患,减少信息系统故障、人员流失带来的经济损失。
该烟厂工控安全项目作为中国烟草公司的试点项目,具有很大的示范效果,该项目3月底验收,届时将会对整个烟草工控安全项目形式推动作用。并且烟厂工控环境比较类似,所以该项目完全可以复制。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
