煙草行業(yè)信息安全解決方案

1、 啟明星辰 煙草行業(yè)信息安全解決方案 近年來，國家煙草專賣局根據(jù)行業(yè)信息安全建設(shè)實(shí)際情況和需要，一方面通過發(fā)布信息安全相關(guān)行業(yè)標(biāo)準(zhǔn)規(guī)范為行業(yè)單位信息安全建設(shè)提供指導(dǎo)和統(tǒng)一要求，另一方面通過每年度一次全面信息安全檢查和專項(xiàng)信息安全檢查，面向全行業(yè)“以查促建、以查促管、以查促改、以查促防” 推動(dòng)行業(yè)整體信息安全建設(shè)水平的提高。在“兩化”融合的行業(yè)發(fā)展需求下，現(xiàn)代工業(yè)控制系統(tǒng)的技術(shù)進(jìn)步主要表現(xiàn)在兩大方面：信息化與工業(yè)化的深度融合，為了提高煙草行業(yè)生產(chǎn)高效運(yùn)行、生產(chǎn)管理效率，行業(yè)大力推進(jìn)信息系統(tǒng)的集成化，集中化管理，工控網(wǎng)絡(luò)與辦公網(wǎng)、互聯(lián)網(wǎng)的互聯(lián)互通成為重要前提。近幾年行業(yè)總局根據(jù)行業(yè)特點(diǎn)陸續(xù)制訂發(fā)布

2、了煙草行業(yè)等級保護(hù)基本要求、煙草行業(yè)移動(dòng)應(yīng)用安全規(guī)范、煙草行業(yè)網(wǎng)絡(luò)安全基線管理技術(shù)規(guī)范、煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南、煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范和煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范，為行業(yè)的信息安全規(guī)劃、建設(shè)提供了依據(jù)與標(biāo)準(zhǔn)。行業(yè)需求安全配置核查需求煙草行業(yè)通過對安全事件的分析，發(fā)現(xiàn)安全事件主要由3個(gè)方面引起，安全漏洞方面、安全配置方面，以及異常事件等方面。安全配置通常都是由于人為的疏忽造成，主要包括了賬號、口令、授權(quán)、日志、IP通信等方面內(nèi)容，反映了系統(tǒng)自身的安全脆弱性。由安全配置的不足可能帶來非常多的安全隱患，因此對安全配置進(jìn)行有效的檢查和加固成為整體安全體系建

3、設(shè)中的重要一環(huán)。同時(shí)根據(jù)國家煙草局制定的煙草行業(yè)信息安全基線管理技術(shù)規(guī)范作為煙草行業(yè)各單位信息安全保障體系建設(shè)和管理工作的基線要求。工業(yè)控制系統(tǒng)安全需求煙草行業(yè)工業(yè)控制系統(tǒng)由于長期缺乏安全需求的推動(dòng)，現(xiàn)有的工業(yè)自動(dòng)化控制系統(tǒng)在設(shè)計(jì)、研發(fā)、部署、運(yùn)維中沒有充分考慮安全問題，一旦被無意或惡意利用就會(huì)造成各種信息安全事件。整體工業(yè)控制系統(tǒng)安全趨勢不容樂觀，行業(yè)工控安全建設(shè)迫在眉睫。煙草行業(yè)工業(yè)控制系統(tǒng)安全需求：1、 車間內(nèi)安全域劃分及安全域訪問控制需求；2、 車間內(nèi)未知資產(chǎn)、未知IP發(fā)現(xiàn)需求；3、 上位機(jī)安全防護(hù)需求；4、 工控設(shè)備、工控協(xié)議安全漏洞發(fā)現(xiàn)需求；5、 無線通信安全防護(hù)需求；6、 統(tǒng)一監(jiān)

4、控管理需求；7、 安全配置檢查需求；8、 第三方運(yùn)維安全審計(jì)需求；行業(yè)解決方案及優(yōu)勢煙草行業(yè)“三全”檢查評估系統(tǒng)解決方案系統(tǒng)概述煙草行業(yè)“三全”檢查評估系統(tǒng)是按照煙草行業(yè)信息安全基線管理技術(shù)規(guī)范的要求，實(shí)現(xiàn)具有煙草行業(yè)特點(diǎn)的三全業(yè)務(wù)梳理、診斷等功能，具備安全運(yùn)維、巡檢、檢查的自動(dòng)化實(shí)現(xiàn)。系統(tǒng)在研究煙草行業(yè)的基線安全需求后，制定了針對行業(yè)信息系統(tǒng)中的網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)和數(shù)據(jù)庫的安全配置核查和功能測試規(guī)范，包括各品牌路由器、通用操作系統(tǒng)、AIX主機(jī)系統(tǒng)、Windows主機(jī)系統(tǒng)，通用數(shù)據(jù)庫、Oracle數(shù)據(jù)庫等設(shè)備、系統(tǒng)的安全配置規(guī)范和安全功能測試規(guī)范。系統(tǒng)策略庫的研究內(nèi)容主要包括賬號、口令、授權(quán)、

5、日志、IP地址以及其它方面的內(nèi)容。這些內(nèi)容涉及可能會(huì)影響設(shè)備或系統(tǒng)安全性的方面，比如口令的復(fù)雜性，生存期、歷史口令、口令修改、口令存放等方面的內(nèi)容。規(guī)范中的配置核查部分明確了設(shè)備的基本配置安全要求，為在設(shè)備入網(wǎng)測試、工程驗(yàn)收和設(shè)備運(yùn)行維護(hù)環(huán)節(jié)明確相關(guān)安全要求提供指南?！叭睓z查評估系統(tǒng)架構(gòu)圖功能介紹三全工作可視化：按照行業(yè)總局三全要求對業(yè)務(wù)系統(tǒng)進(jìn)行核查，并生成報(bào)表。如下圖所示，從系統(tǒng)必要達(dá)標(biāo)率以及參考達(dá)標(biāo)率進(jìn)行數(shù)據(jù)統(tǒng)計(jì)。并且按照“三全”要求顯示出安全技術(shù)、安全管理的詳細(xì)指標(biāo)統(tǒng)計(jì)。自定義填報(bào)： 按照自身業(yè)務(wù)系統(tǒng)的特點(diǎn)進(jìn)行自定義的填報(bào)年、月報(bào)表。三全工作自動(dòng)檢查：可實(shí)現(xiàn)三全工作的定期執(zhí)行KPI考

6、核：上下級單位的級聯(lián)，可實(shí)現(xiàn)上級單位對下級單位的達(dá)標(biāo)率的查看、分析以及考核。部署模式系統(tǒng)常見的部署方式依據(jù)客戶的組織架構(gòu)的不同主要有單級部署和級聯(lián)部署兩種方式。而單級部署的結(jié)構(gòu)上又可依據(jù)客戶的網(wǎng)絡(luò)的分布情況主要分為單點(diǎn)部署和分布式部署兩種方式。以下就分別對單級部署和級聯(lián)部署分別介紹。單級部署：單級部署系統(tǒng)的組網(wǎng)模式比較簡單，可以將其旁路部署在既有網(wǎng)絡(luò)中。管理員通過WEB頁面登錄系統(tǒng)下達(dá)核查任務(wù)，檢查任務(wù)既可以遠(yuǎn)程執(zhí)行也可以本地執(zhí)行。多級部署：總部（如省級單位）部署一套系統(tǒng)，根據(jù)各個(gè)地市的實(shí)際情況同樣也部署一套系統(tǒng)。實(shí)現(xiàn)對地市、省級單位的二級級聯(lián)。而各下屬各分支機(jī)構(gòu)為了實(shí)現(xiàn)對各自信息系統(tǒng)的安全配

7、置管理、“三全”工作統(tǒng)計(jì)，分別部署了各自的安全配置核查系統(tǒng)?？偛颗c分支機(jī)構(gòu)的安全管理平臺(tái)進(jìn)行通信，實(shí)現(xiàn)總部對分支機(jī)構(gòu)系統(tǒng)的查看和管理，如年度“三全”完成指標(biāo)情況，橫向地市與地市之間的“三全”指標(biāo)完成度的對比情況。方案優(yōu)勢- 提高安全掌控- 提高工作效率- 降低管理成本煙草行業(yè)工業(yè)控制系統(tǒng)安全解決方案本方案的整體思路主要依據(jù)行業(yè)網(wǎng)絡(luò)安全“分級分域、整體保護(hù)、積極預(yù)防、動(dòng)態(tài)管理”的總體策略。首先對整個(gè)工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評估掌握目前工控系統(tǒng)風(fēng)險(xiǎn)現(xiàn)狀；通過管理網(wǎng)和生產(chǎn)網(wǎng)隔離確保生產(chǎn)網(wǎng)不會(huì)引入來自管理網(wǎng)風(fēng)險(xiǎn)，保證生產(chǎn)網(wǎng)邊界安全；在各車間內(nèi)部工控系統(tǒng)進(jìn)行一定手段的監(jiān)測、防護(hù)，保證車間內(nèi)部安全；最后對整個(gè)

8、工控系統(tǒng)進(jìn)行統(tǒng)一安全呈現(xiàn)，將各個(gè)防護(hù)點(diǎn)組成一個(gè)全面的防護(hù)體系，保障其整個(gè)工業(yè)控制系統(tǒng)安全穩(wěn)定運(yùn)行。工業(yè)控制系統(tǒng)安全防護(hù)模型全面風(fēng)險(xiǎn)評估所有工控安全建設(shè)都應(yīng)該是基于對自身工控安全現(xiàn)狀的精確掌握，本方案首先采用工業(yè)無損檢查評估的方式對整個(gè)工控系統(tǒng)進(jìn)行全面風(fēng)險(xiǎn)評估。主要內(nèi)容包括：工控設(shè)備安全性評估、工控軟件安全性評估、各類操作站安全性評估以及工控網(wǎng)絡(luò)安全性評估。風(fēng)險(xiǎn)評估思路圖工業(yè)控制系統(tǒng)不間斷運(yùn)行，任何意外停機(jī)故障都會(huì)造成重大損失。工控系統(tǒng)風(fēng)險(xiǎn)評估首先強(qiáng)調(diào)風(fēng)險(xiǎn)控制，從項(xiàng)目管理和技術(shù)實(shí)施的層面，必須做到零風(fēng)險(xiǎn)。工業(yè)無損檢查評估管理網(wǎng)和生產(chǎn)網(wǎng)隔離管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)互通存在安全風(fēng)險(xiǎn)，根據(jù)國際國內(nèi)的各類工控

9、安全相關(guān)標(biāo)準(zhǔn)以及行業(yè)內(nèi)部于2014年下發(fā)的煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范中，都對管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)安全問題進(jìn)行了著重關(guān)注。管理網(wǎng)和生產(chǎn)網(wǎng)互聯(lián)接口安全模型針對這一問題，本解決方案在各車間工業(yè)控制系統(tǒng)生產(chǎn)網(wǎng)和管理網(wǎng)邊界都應(yīng)該部署工業(yè)防火墻進(jìn)行管理網(wǎng)和生產(chǎn)網(wǎng)的邏輯隔離，對兩網(wǎng)間數(shù)據(jù)交換進(jìn)行安全防護(hù)，確保生產(chǎn)網(wǎng)不會(huì)引入管理網(wǎng)所面臨的風(fēng)險(xiǎn)。各車間內(nèi)監(jiān)測與防護(hù)在管理網(wǎng)和生產(chǎn)網(wǎng)隔離中已經(jīng)對生產(chǎn)執(zhí)行層和各個(gè)車間生產(chǎn)網(wǎng)絡(luò)進(jìn)行了邏輯隔離，確保管理網(wǎng)風(fēng)險(xiǎn)不會(huì)引入各車間生產(chǎn)網(wǎng)。在各車間內(nèi)部針對行業(yè)工業(yè)控制系統(tǒng)各方面風(fēng)險(xiǎn)采取對應(yīng)的防護(hù)手段如下：在操作員站、工程師站、HMI等各類操作站部署操作站安全系統(tǒng)對主機(jī)

10、的進(jìn)程、軟件、流量、U盤的使用等進(jìn)行監(jiān)控，防范主機(jī)非法訪問網(wǎng)絡(luò)其它節(jié)點(diǎn)；部署工業(yè)異常監(jiān)測系統(tǒng)，監(jiān)測工控網(wǎng)絡(luò)的相關(guān)業(yè)務(wù)異常和入侵行為，通過工控網(wǎng)絡(luò)中的流量關(guān)系圖形化展示梳理發(fā)現(xiàn)網(wǎng)絡(luò)中的故障，出現(xiàn)異常及時(shí)報(bào)警；部署工業(yè)漏洞掃描系統(tǒng)，發(fā)現(xiàn)各類操作系統(tǒng)、組態(tài)軟件、以及工業(yè)交換機(jī)、PLC等存在的漏洞，為車間內(nèi)各類設(shè)備、軟件提供完善的漏洞分析檢測。在PLC前端部署工業(yè)防火墻，對PLC進(jìn)行防護(hù)。在車間現(xiàn)場通過部署Wifi入侵檢測設(shè)備，對煙草工業(yè)控制系統(tǒng)中的AGV小車等其他無線網(wǎng)絡(luò)進(jìn)行安全防護(hù)。部署現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng)防范現(xiàn)場運(yùn)維帶來的風(fēng)險(xiǎn)。工業(yè)異常監(jiān)測統(tǒng)一安全呈現(xiàn)對于管理人員，面對整個(gè)企業(yè)各個(gè)車間內(nèi)繁多的各類工控網(wǎng)絡(luò)設(shè)備、服務(wù)器、操作站以及安全設(shè)備，如何高效管理，掌握各個(gè)點(diǎn)的風(fēng)險(xiǎn)現(xiàn)狀，對整個(gè)工控系統(tǒng)安全現(xiàn)狀能夠統(tǒng)一掌握，及時(shí)處理各類設(shè)備故障與威脅同樣是工控安全建設(shè)至關(guān)重要的一環(huán)。針對這一情況，通過在生產(chǎn)執(zhí)行層部署工業(yè)控制信息安全管理系統(tǒng)，對煙草生產(chǎn)中各車間工控系統(tǒng)進(jìn)行可用性、性能和服務(wù)水平的統(tǒng)一監(jiān)控管理。包括各類主機(jī)、服務(wù)器、現(xiàn)場控制設(shè)備、以及各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備的配置及事件分析、審計(jì)、預(yù)警與響應(yīng)，風(fēng)險(xiǎn)及態(tài)勢的度量與評估，對整個(gè)系統(tǒng)面向業(yè)務(wù)進(jìn)行主動(dòng)化、智能化安全管理，保障煙草工業(yè)控制系統(tǒng)整體持續(xù)安全運(yùn)