烟草行业信息安全解决方案

1、 启明星辰 烟草行业信息安全解决方案 近年来，国家烟草专卖局根据行业信息安全建设实际情况和需要，一方面通过发布信息安全相关行业标准规范为行业单位信息安全建设提供指导和统一要求，另一方面通过每年度一次全面信息安全检查和专项信息安全检查，面向全行业“以查促建、以查促管、以查促改、以查促防” 推动行业整体信息安全建设水平的提高。在“两化”融合的行业发展需求下，现代工业控制系统的技术进步主要表现在两大方面：信息化与工业化的深度融合，为了提高烟草行业生产高效运行、生产管理效率，行业大力推进信息系统的集成化，集中化管理，工控网络与办公网、互联网的互联互通成为重要前提。近几年行业总局根据行业特点陆续制订发布

2、了烟草行业等级保护基本要求、烟草行业移动应用安全规范、烟草行业网络安全基线管理技术规范、烟草行业网络与信息安全检查自查指南、烟草工业企业生产网与管理网网络互联安全规范和烟草行业工业控制系统网络安全基线技术规范，为行业的信息安全规划、建设提供了依据与标准。行业需求安全配置核查需求烟草行业通过对安全事件的分析，发现安全事件主要由3个方面引起，安全漏洞方面、安全配置方面，以及异常事件等方面。安全配置通常都是由于人为的疏忽造成，主要包括了账号、口令、授权、日志、IP通信等方面内容，反映了系统自身的安全脆弱性。由安全配置的不足可能带来非常多的安全隐患，因此对安全配置进行有效的检查和加固成为整体安全体系建

3、设中的重要一环。同时根据国家烟草局制定的烟草行业信息安全基线管理技术规范作为烟草行业各单位信息安全保障体系建设和管理工作的基线要求。工业控制系统安全需求烟草行业工业控制系统由于长期缺乏安全需求的推动，现有的工业自动化控制系统在设计、研发、部署、运维中没有充分考虑安全问题，一旦被无意或恶意利用就会造成各种信息安全事件。整体工业控制系统安全趋势不容乐观，行业工控安全建设迫在眉睫。烟草行业工业控制系统安全需求：1、 车间内安全域划分及安全域访问控制需求；2、 车间内未知资产、未知IP发现需求；3、 上位机安全防护需求；4、 工控设备、工控协议安全漏洞发现需求；5、 无线通信安全防护需求；6、 统一监

4、控管理需求；7、 安全配置检查需求；8、 第三方运维安全审计需求；行业解决方案及优势烟草行业“三全”检查评估系统解决方案系统概述烟草行业“三全”检查评估系统是按照烟草行业信息安全基线管理技术规范的要求，实现具有烟草行业特点的三全业务梳理、诊断等功能，具备安全运维、巡检、检查的自动化实现。系统在研究烟草行业的基线安全需求后，制定了针对行业信息系统中的网络设备、操作系统和数据库的安全配置核查和功能测试规范，包括各品牌路由器、通用操作系统、AIX主机系统、Windows主机系统，通用数据库、Oracle数据库等设备、系统的安全配置规范和安全功能测试规范。系统策略库的研究内容主要包括账号、口令、授权、

5、日志、IP地址以及其它方面的内容。这些内容涉及可能会影响设备或系统安全性的方面，比如口令的复杂性，生存期、历史口令、口令修改、口令存放等方面的内容。规范中的配置核查部分明确了设备的基本配置安全要求，为在设备入网测试、工程验收和设备运行维护环节明确相关安全要求提供指南。“三全”检查评估系统架构图功能介绍三全工作可视化：按照行业总局三全要求对业务系统进行核查，并生成报表。如下图所示，从系统必要达标率以及参考达标率进行数据统计。并且按照“三全”要求显示出安全技术、安全管理的详细指标统计。自定义填报： 按照自身业务系统的特点进行自定义的填报年、月报表。三全工作自动检查：可实现三全工作的定期执行KPI考

6、核：上下级单位的级联，可实现上级单位对下级单位的达标率的查看、分析以及考核。部署模式系统常见的部署方式依据客户的组织架构的不同主要有单级部署和级联部署两种方式。而单级部署的结构上又可依据客户的网络的分布情况主要分为单点部署和分布式部署两种方式。以下就分别对单级部署和级联部署分别介绍。单级部署：单级部署系统的组网模式比较简单，可以将其旁路部署在既有网络中。管理员通过WEB页面登录系统下达核查任务，检查任务既可以远程执行也可以本地执行。多级部署：总部（如省级单位）部署一套系统，根据各个地市的实际情况同样也部署一套系统。实现对地市、省级单位的二级级联。而各下属各分支机构为了实现对各自信息系统的安全配

7、置管理、“三全”工作统计，分别部署了各自的安全配置核查系统。总部与分支机构的安全管理平台进行通信，实现总部对分支机构系统的查看和管理，如年度“三全”完成指标情况，横向地市与地市之间的“三全”指标完成度的对比情况。方案优势- 提高安全掌控- 提高工作效率- 降低管理成本烟草行业工业控制系统安全解决方案本方案的整体思路主要依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。首先对整个工控系统进行全面风险评估掌握目前工控系统风险现状；通过管理网和生产网隔离确保生产网不会引入来自管理网风险，保证生产网边界安全；在各车间内部工控系统进行一定手段的监测、防护，保证车间内部安全；最后对整个

8、工控系统进行统一安全呈现，将各个防护点组成一个全面的防护体系，保障其整个工业控制系统安全稳定运行。工业控制系统安全防护模型全面风险评估所有工控安全建设都应该是基于对自身工控安全现状的精确掌握，本方案首先采用工业无损检查评估的方式对整个工控系统进行全面风险评估。主要内容包括：工控设备安全性评估、工控软件安全性评估、各类操作站安全性评估以及工控网络安全性评估。风险评估思路图工业控制系统不间断运行，任何意外停机故障都会造成重大损失。工控系统风险评估首先强调风险控制，从项目管理和技术实施的层面，必须做到零风险。工业无损检查评估管理网和生产网隔离管理网和生产网互联互通存在安全风险，根据国际国内的各类工控

9、安全相关标准以及行业内部于2014年下发的烟草工业企业生产网与管理网网络互联安全规范中，都对管理网和生产网互联安全问题进行了着重关注。管理网和生产网互联接口安全模型针对这一问题，本解决方案在各车间工业控制系统生产网和管理网边界都应该部署工业防火墙进行管理网和生产网的逻辑隔离，对两网间数据交换进行安全防护，确保生产网不会引入管理网所面临的风险。各车间内监测与防护在管理网和生产网隔离中已经对生产执行层和各个车间生产网络进行了逻辑隔离，确保管理网风险不会引入各车间生产网。在各车间内部针对行业工业控制系统各方面风险采取对应的防护手段如下：在操作员站、工程师站、HMI等各类操作站部署操作站安全系统对主机

10、的进程、软件、流量、U盘的使用等进行监控，防范主机非法访问网络其它节点；部署工业异常监测系统，监测工控网络的相关业务异常和入侵行为，通过工控网络中的流量关系图形化展示梳理发现网络中的故障，出现异常及时报警；部署工业漏洞扫描系统，发现各类操作系统、组态软件、以及工业交换机、PLC等存在的漏洞，为车间内各类设备、软件提供完善的漏洞分析检测。在PLC前端部署工业防火墙，对PLC进行防护。在车间现场通过部署Wifi入侵检测设备，对烟草工业控制系统中的AGV小车等其他无线网络进行安全防护。部署现场运维审计与管理系统防范现场运维带来的风险。工业异常监测统一安全呈现对于管理人员，面对整个企业各个车间内繁多的各类工控网络设备、服务器、操作站以及安全设备，如何高效管理，掌握各个点的风险现状，对整个工控系统安全现状能够统一掌握，及时处理各类设备故障与威胁同样是工控安全建设至关重要的一环。针对这一情况，通过在生产执行层部署工业控制信息安全管理系统，对烟草生产中各车间工控系统进行可用性、性能和服务水平的统一监控管理。包括各类主机、服务器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应，风险及态势的度量与评估，对整个系统面向业务进行主动化、智能化安全管理，保障烟草工业控制系统整体持续安全运