2022烟草行业工业控制系统网络安全等级保护解决方案

烟草行业工业控制系统02烟草行业工控网络现状及安全风险分析CONT02烟草行业工控网络现状及安全风险分析01工控网络安全形势概述01工控网络安全形势概述目录03烟草行业工控网络安全解决方案03烟草行业工控网络安全解决方案01工控网络安全形势概述01安全趋势 安全政策PAGE4PAGE4伊朗核电站举世闻名的“震网”事件伊朗核电站举世闻名的“震网”事件2014年波兰航空公司操作系统遭遇黑客攻击，导致长达5个小时的系统瘫痪2016年Wannacry病毒席卷全球2018年飞机零部件供应商之一ASCO遭遇勒索病毒，已造成四个国家的工厂停产2010年“德国钢厂遭网络攻击造成巨大破坏2015年乌克兰最大机场遭网络攻击2017年台积电事件，影响金额超1亿美元损失2019年铝业巨头NorskHydro全球IT网络遭新勒索软件攻击封闭网络，不再是安全的绿洲 2012-2019年全球工控安全事件报告数量 2019年工控安全事件所属行业细分针对烟草行业工业控制系统的攻击持续不断针对烟草行业工业控制系统的攻击持续不断PAGE5PAGE5 某卷烟厂物流系统 某卷烟厂制丝系统 某卷烟厂制丝系统2017.05 2018.07 2019.04国内多家卷烟厂工业控制系统遭受“永恒之蓝”攻击！国家顶层设计，行业规范驱动安全建设国家顶层设计，行业规范驱动安全建设PAGE6PAGE6工业控制系统信息安全防护指南烟草行业网络安全标准工业控制系统信息安全防护指南烟草行业网络安全标准网络安全法与工业制造网络安全法与工业制造PAGE7PAGE7《中华人民共和国网络安全法《中华人民共和国网络安全法》第十二届全国人民代表大会常务委员会第二十四次会议通过《《国家网络安全检查操作指南》中央网信办网络安全协调局2016年6月等级保护2.0—基本要求等级保护2.0—基本要求PAGE8PAGE8工业控制系统信息安全防护指南工业控制系统信息安全防护指南PAGE9PAGE9工业控制系统信息安全防护指南一、安全软件选择与管理二、配置和补丁管理工业控制系统信息安全防护指南三、边界安全防护四、物理和环境安全防护五、身份认证六、远程访问安全七、安全监测和应急预案演练八、资产安全九、数据安全烟草行业网络安全标准规范烟草行业网络安全标准规范PAGE10PAGE10烟草行业网络安全标准 烟草行业网络安全标准生产网与管理网网络互联安全规范生产网与管理网网络互联安全规范1111《YC/T494-2014烟草工业企业生产网与管理网网络互联安全规范》身份鉴别访问控制网络互联控制恶意行为防范安全审计操作系统安全基于IP口号、MAC地址或数字证书对请求的主机进行身份鉴别访问控制到IP址和端口号，MAC地址及应用协议的控制对SQL为进行阻断审计记录行分析安全加固络服务执行改02烟草行业工控网络现状安全风险分析02系统现状 安全风险分析XX卷烟厂鸟瞰图XX卷烟厂鸟瞰图PAGE13PAGE13卷烟厂工控系统现状卷烟厂工控系统现状PAGE14PAGE14动力能管、物流四个子系统组成。主要存在以下特点：各工控子系统主要采用SIEMENSCPU315-2PN/DP、CPU416-3、1513-2PN，ABCompactLogix、ControlLogix系列等控制产品；Windows统、应用软件主要采用SIEMENS、GE、施耐德等公司产品；设备；

光纤 网线制丝系统工艺组成及流程制丝系统工艺组成及流程PAGE15PAGE15制丝集控系统网络结构制丝集控系统网络结构制丝集控系统主要采用控制环网和管理环网冗余结构设计；控制环网：实现对现场设备的数据采集、报警、控制、连锁等功能，以及与设备层和管理层的数据交换。管理环网：实现生产管理、工艺管理、设备管理、质量管理及系统管理等；服务器采用虚拟化设计。16卷包系统工艺组成及流程卷包系统工艺组成及流程1717卷包数采系统网络结构卷包数采系统网络结构卷包数采系统主要采用数采环网和管理环网冗余设计；数采环网：实现对车间有关产量、消耗、质量、物流以及设备本身的数据进行采集、存储、查询分析；管理环网：实现生产数据查询分析、生产调度、现场管理、工单管理、质量查询、监控与异常报警、系统管理等功能；18服务器采用虚拟化设计；18动力能管系统工艺及组成动力能管系统工艺及组成实时监测、控制能源设备的自动化运行统计、分析能源数据集中管理、分散控制

汇聚数据、形成办法，转换为工作流程19设备控制系统实现动力设备的稳定、高效运行19动力能管系统网络结构动力能管系统网络结构PAGE20PAGE20动力能管系统采用光纤环网结构设计；服务器采用虚拟化设计；系统中采用了大量的通信仪表设备；主要的通信方式：Modbus-RTU/TCP、ProfiNet、Profibus-DP/PA、FF基金会总线、HART总线。物流系统工艺及组成物流系统工艺及组成PAGEPAGE21原料库物流子系统；备品备件库物流子系统；物流集控系统网络结构物流集控系统网络结构PAGE22PAGE22物流系统主要分为仓储管理系统、自动分拣系统和调度系统组成；系统中采用了大量的无线设备，如：堆垛机、穿梭车、AGV小车等；服务器采用虚拟化设计；卷烟厂工控系统主要安全隐患（卷烟厂工控系统主要安全隐患（PAGE1/4）PAGEPAGE23网络边界无隔离1的病毒、木马攻击等风险。12香糖料，整柜物料报废的风险。2卷烟厂工控系统主要安全隐患（卷烟厂工控系统主要安全隐患（PAGE2/4）网络异常无监测无法发现来自外部网络入侵行为。1 2新慢、工单下发不成功等问题，致使产线停机或系统重启。224324卷烟厂工控系统主要安全隐患卷烟厂工控系统主要安全隐患工程师站、服务器等主机无防护1 、木马攻击的风险。2病毒。23 25等信息。25卷烟厂工控系统主要安全隐患卷烟厂工控系统主要安全隐患2626安全运维管理不完善1 运维人员安全管理制度执行不到位，存在着违规操作的行为。安全管理措施不完善。03烟草行业工控网络安全解决方案03解决思路 解决方案PAGE28PAGE28基于“白环境”的“纵深防御安全防护技术体系”①网络分区分域②强化安全区域边界访问控制能力③提高网络内、外入侵和恶意代码防御能力工控系统④提高违规内联、外联检测能力工控系统⑤提高系统内主机病毒防范能力⑥提高主机身份认证能力，采用双因子认证机制⑦一键式安全加固，提高主机安全基线⑧关闭不必要的服务端口，提高入侵防范能力⑨利用访问控制策略，保证业务配置文件不被篡改⑩提高日志审计能力，审计日志至少保存6个月⑪加强运维人员行为管理⑫建立统一安全管理中心，强化集中管控能力⑬技术手段辅助业主完成定期自检PAGE29PAGE29切入点—全面风险评估，寻找问题症结点风险评估分析是对烟草行业制丝集控系统网络内各资产进行安全管理的先决条件，其目的在于识别和评估不同用户所面临的生产安全风险和网络安全风险。风险分析的典型内容：工控系统资产梳理，分析价值；识别已有的安全防护措施；资产脆弱性及面临的威胁分析；安全风险综合分析。1.生产网网络分区分域1.生产网网络分区分域PAGE30PAGE30外部区域内部区域外部区域内部区域内部区域内部区域按照个安全域进行管理。2.强化安全区域边界访问控制能力2.强化安全区域边界访问控制能力PAGE31PAGE31生产办公边界隔离流量及威胁可视全面的web防护生产办公边界隔离流量及威胁可视全面的web防护强大的应用识别能力ACL+应用级白名单工控协议合规性验证ACL+应用级白名单工控协议合规性验证协议功能码、点值控制控制逻辑合理性验证工业互联防火墙 工业防火墙3.提高网络内、外入侵和恶意代码防御能力(3.提高网络内、外入侵和恶意代码防御能力(PAGE1/2)关键网络节点基于流量的未知威胁监测监控中心核心网络对APT攻击的实时检测网络威胁感知系统32工控安全监测与审计系统323.提高网络内、外入侵和恶意代码防御能力(3.提高网络内、外入侵和恶意代码防御能力(PAGE2/2)虚拟化平台网络、安全、应用可视化虚拟化平台东西向流量全防护33虚拟化微隔离系统334.提高违规内联、外联检测能力4.提高违规内联、外联检测能力关闭网络设备不必要的端口交换机进行IP/MAC绑定工控主机卫士开启非法外联策略34工控主机卫士345.提高系统内主机病毒防范能力5.提高系统内主机病毒防范能力切断恶意代码/病毒通过U盘摆渡到系统内部的途径启动文件级白名单策略，防止恶意代码/病毒/非法软件执行启动文件级白名单策略，防止恶意代码/病毒/非法软件执行解决方案难以及时更新、打补丁。件存在短板。杀毒软件或将业务软件误识为病毒而删除。35工控主机卫士356.提高主机身份认证能力，采用双因子认证机制6.提高主机身份认证能力，采用双因子认证机制关键服务器、工程师站采用双因子认证静态密码+UKEY36工控主机卫士367.一键式安全加固，提高主机安全基线7.一键式安全加固，提高主机安全基线内置42条安全基线规则一键式配置，降低手动加固成本37工控主机卫士378.关闭不必要的服务端口，提高入侵防范能力8.关闭不必要的服务端口，提高入侵防范能力内置防火墙功能，关闭不必要端口一键式配置，降低手动加固成本38工控主机卫士389.利用访问控制策略，保证业务配置文件不被篡改9.利用访问控制策略，保证业务配置文件不被篡改基于标记的强制访问控制自主访问控制39工控主机卫士3910.提高日志审计能力，审计日志至少保存6个月10.提高日志审计能力，审计日志至少保存6个月泛化多种类设备（主机、网络、安全）日志快速准确的识别安全事件，发现违规行为日志审计与分析系统

安全管理中心4011.加强运维人员行为管理11.加强运维人员行为管理运维人员身份鉴别运维人员身份鉴别运维人员操作授权运维人员行为审计

安全管理中心安全运维管理系统4112.建立统一安全管理中心，强化集中管控能力12.建立统一安全管理中心，强化集中管控能力双机热备，高度可靠双机热备，高度可靠安全产品集中管理安全产品集中管理加密传输通道加密传输通道高度可视化 安全管理中心高度可视化安全管理中心统一安全管理平台42制丝集控系统总体技术安全防护方案制丝集控系统总体技术安全防护方案安全管理中心

工业防火墙工控安全监测与审计系统工控主机卫士安全运维管理系统日志审计与分析系统43工业互联防火墙43卷包数采系统总体技术安全防护方案卷包数采系统总体技术安全防护方案安全管理中心

工业防火墙监测与审计系统网络威胁感知系统工控主机卫士运维管理系统虚拟化微隔离系统44工业互联防火墙44动力能管系统总体技术安全防护方案动力能管系统总体技术安全防护方案安全管理中心

工业防火墙工控安全监测与审计系统工控主机卫士运维管理系统日志审计与分析系统45工业互联防火墙45物流控制系统总体安全防护方案物流控制系统总体安全防护方案工业互联防火墙安全管理中心

工业防火墙网络威胁感知系统虚拟化微隔离系统工控主机卫士46日志审计与分析系统46健全卷烟厂工业控制系统网络安全制度与标准健全卷烟厂工业控制系统网络安全制度与标准络安全工作的顺利开展；一级文件二级文件一级文件二级文件三级文件规定、手册1规定、手册1执行模板3管理办法执行模板3管理办法247三层文件：各种体系运行所需的规范文档模板。47借鉴国家等级保护制度安全管理制度要求借鉴国家等级保护制度安全管理制度要求管理要求管理要求安全管理制度 安全管理机构 安全管理人员 安全建设管理 安全运维管理安全策略管理制度制定和发布评审和修订

岗位设置人员配置授权和审批沟通和合作审核和检查

人员录用人员离岗安全意识和培训外部访问人员

定级和备案自行软件开发外包软件开发工程实施

环境管理资产管理介质管理设备维护管理网络安全管理系统和网络安全管理恶意代码防范管理等级保护合规性要求的实施，使工控网络信息化建设与应用满足国家顶层设计要求。

等级测评服务商选择

密码管理变更管理48安全事件