2022煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)解決方案

煙草行業(yè)工業(yè)控制系統(tǒng)02煙草行業(yè)工控網(wǎng)絡(luò)現(xiàn)狀及安全風(fēng)險(xiǎn)分析CONT02煙草行業(yè)工控網(wǎng)絡(luò)現(xiàn)狀及安全風(fēng)險(xiǎn)分析01工控網(wǎng)絡(luò)安全形勢概述01工控網(wǎng)絡(luò)安全形勢概述目錄03煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案03煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案01工控網(wǎng)絡(luò)安全形勢概述01安全趨勢 安全政策PAGE4PAGE4伊朗核電站舉世聞名的“震網(wǎng)”事件伊朗核電站舉世聞名的“震網(wǎng)”事件2014年波蘭航空公司操作系統(tǒng)遭遇黑客攻擊，導(dǎo)致長達(dá)5個(gè)小時(shí)的系統(tǒng)癱瘓2016年Wannacry病毒席卷全球2018年飛機(jī)零部件供應(yīng)商之一ASCO遭遇勒索病毒，已造成四個(gè)國家的工廠停產(chǎn)2010年“德國鋼廠遭網(wǎng)絡(luò)攻擊造成巨大破壞2015年烏克蘭最大機(jī)場遭網(wǎng)絡(luò)攻擊2017年臺(tái)積電事件，影響金額超1億美元損失2019年鋁業(yè)巨頭NorskHydro全球IT網(wǎng)絡(luò)遭新勒索軟件攻擊封閉網(wǎng)絡(luò)，不再是安全的綠洲 2012-2019年全球工控安全事件報(bào)告數(shù)量 2019年工控安全事件所屬行業(yè)細(xì)分針對煙草行業(yè)工業(yè)控制系統(tǒng)的攻擊持續(xù)不斷針對煙草行業(yè)工業(yè)控制系統(tǒng)的攻擊持續(xù)不斷PAGE5PAGE5 某卷煙廠物流系統(tǒng) 某卷煙廠制絲系統(tǒng) 某卷煙廠制絲系統(tǒng)2017.05 2018.07 2019.04國內(nèi)多家卷煙廠工業(yè)控制系統(tǒng)遭受“永恒之藍(lán)”攻擊！國家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)國家頂層設(shè)計(jì)，行業(yè)規(guī)范驅(qū)動(dòng)安全建設(shè)PAGE6PAGE6工業(yè)控制系統(tǒng)信息安全防護(hù)指南煙草行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)工業(yè)控制系統(tǒng)信息安全防護(hù)指南煙草行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)網(wǎng)絡(luò)安全法與工業(yè)制造網(wǎng)絡(luò)安全法與工業(yè)制造PAGE7PAGE7《中華人民共和國網(wǎng)絡(luò)安全法《中華人民共和國網(wǎng)絡(luò)安全法》第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過《《國家網(wǎng)絡(luò)安全檢查操作指南》中央網(wǎng)信辦網(wǎng)絡(luò)安全協(xié)調(diào)局2016年6月等級保護(hù)2.0—基本要求等級保護(hù)2.0—基本要求PAGE8PAGE8工業(yè)控制系統(tǒng)信息安全防護(hù)指南工業(yè)控制系統(tǒng)信息安全防護(hù)指南PAGE9PAGE9工業(yè)控制系統(tǒng)信息安全防護(hù)指南一、安全軟件選擇與管理二、配置和補(bǔ)丁管理工業(yè)控制系統(tǒng)信息安全防護(hù)指南三、邊界安全防護(hù)四、物理和環(huán)境安全防護(hù)五、身份認(rèn)證六、遠(yuǎn)程訪問安全七、安全監(jiān)測和應(yīng)急預(yù)案演練八、資產(chǎn)安全九、數(shù)據(jù)安全煙草行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范煙草行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范PAGE10PAGE10煙草行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn) 煙草行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范1111《YC/T494-2014煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》身份鑒別訪問控制網(wǎng)絡(luò)互聯(lián)控制惡意行為防范安全審計(jì)操作系統(tǒng)安全基于IP口號、MAC地址或數(shù)字證書對請求的主機(jī)進(jìn)行身份鑒別訪問控制到IP址和端口號，MAC地址及應(yīng)用協(xié)議的控制對SQL為進(jìn)行阻斷審計(jì)記錄行分析安全加固絡(luò)服務(wù)執(zhí)行改02煙草行業(yè)工控網(wǎng)絡(luò)現(xiàn)狀安全風(fēng)險(xiǎn)分析02系統(tǒng)現(xiàn)狀 安全風(fēng)險(xiǎn)分析XX卷煙廠鳥瞰圖XX卷煙廠鳥瞰圖PAGE13PAGE13卷煙廠工控系統(tǒng)現(xiàn)狀卷煙廠工控系統(tǒng)現(xiàn)狀PAGE14PAGE14動(dòng)力能管、物流四個(gè)子系統(tǒng)組成。主要存在以下特點(diǎn)：各工控子系統(tǒng)主要采用SIEMENSCPU315-2PN/DP、CPU416-3、1513-2PN，ABCompactLogix、ControlLogix系列等控制產(chǎn)品；Windows統(tǒng)、應(yīng)用軟件主要采用SIEMENS、GE、施耐德等公司產(chǎn)品；設(shè)備；

光纖 網(wǎng)線制絲系統(tǒng)工藝組成及流程制絲系統(tǒng)工藝組成及流程PAGE15PAGE15制絲集控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)制絲集控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)制絲集控系統(tǒng)主要采用控制環(huán)網(wǎng)和管理環(huán)網(wǎng)冗余結(jié)構(gòu)設(shè)計(jì)；控制環(huán)網(wǎng)：實(shí)現(xiàn)對現(xiàn)場設(shè)備的數(shù)據(jù)采集、報(bào)警、控制、連鎖等功能，以及與設(shè)備層和管理層的數(shù)據(jù)交換。管理環(huán)網(wǎng)：實(shí)現(xiàn)生產(chǎn)管理、工藝管理、設(shè)備管理、質(zhì)量管理及系統(tǒng)管理等；服務(wù)器采用虛擬化設(shè)計(jì)。16卷包系統(tǒng)工藝組成及流程卷包系統(tǒng)工藝組成及流程1717卷包數(shù)采系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)卷包數(shù)采系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)卷包數(shù)采系統(tǒng)主要采用數(shù)采環(huán)網(wǎng)和管理環(huán)網(wǎng)冗余設(shè)計(jì)；數(shù)采環(huán)網(wǎng)：實(shí)現(xiàn)對車間有關(guān)產(chǎn)量、消耗、質(zhì)量、物流以及設(shè)備本身的數(shù)據(jù)進(jìn)行采集、存儲(chǔ)、查詢分析；管理環(huán)網(wǎng)：實(shí)現(xiàn)生產(chǎn)數(shù)據(jù)查詢分析、生產(chǎn)調(diào)度、現(xiàn)場管理、工單管理、質(zhì)量查詢、監(jiān)控與異常報(bào)警、系統(tǒng)管理等功能；18服務(wù)器采用虛擬化設(shè)計(jì)；18動(dòng)力能管系統(tǒng)工藝及組成動(dòng)力能管系統(tǒng)工藝及組成實(shí)時(shí)監(jiān)測、控制能源設(shè)備的自動(dòng)化運(yùn)行統(tǒng)計(jì)、分析能源數(shù)據(jù)集中管理、分散控制

匯聚數(shù)據(jù)、形成辦法，轉(zhuǎn)換為工作流程19設(shè)備控制系統(tǒng)實(shí)現(xiàn)動(dòng)力設(shè)備的穩(wěn)定、高效運(yùn)行19動(dòng)力能管系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)動(dòng)力能管系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)PAGE20PAGE20動(dòng)力能管系統(tǒng)采用光纖環(huán)網(wǎng)結(jié)構(gòu)設(shè)計(jì)；服務(wù)器采用虛擬化設(shè)計(jì)；系統(tǒng)中采用了大量的通信儀表設(shè)備；主要的通信方式：Modbus-RTU/TCP、ProfiNet、Profibus-DP/PA、FF基金會(huì)總線、HART總線。物流系統(tǒng)工藝及組成物流系統(tǒng)工藝及組成PAGEPAGE21原料庫物流子系統(tǒng)；備品備件庫物流子系統(tǒng)；物流集控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)物流集控系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)PAGE22PAGE22物流系統(tǒng)主要分為倉儲(chǔ)管理系統(tǒng)、自動(dòng)分揀系統(tǒng)和調(diào)度系統(tǒng)組成；系統(tǒng)中采用了大量的無線設(shè)備，如：堆垛機(jī)、穿梭車、AGV小車等；服務(wù)器采用虛擬化設(shè)計(jì)；卷煙廠工控系統(tǒng)主要安全隱患（卷煙廠工控系統(tǒng)主要安全隱患（PAGE1/4）PAGEPAGE23網(wǎng)絡(luò)邊界無隔離1的病毒、木馬攻擊等風(fēng)險(xiǎn)。12香糖料，整柜物料報(bào)廢的風(fēng)險(xiǎn)。2卷煙廠工控系統(tǒng)主要安全隱患（卷煙廠工控系統(tǒng)主要安全隱患（PAGE2/4）網(wǎng)絡(luò)異常無監(jiān)測無法發(fā)現(xiàn)來自外部網(wǎng)絡(luò)入侵行為。1 2新慢、工單下發(fā)不成功等問題，致使產(chǎn)線停機(jī)或系統(tǒng)重啟。224324卷煙廠工控系統(tǒng)主要安全隱患卷煙廠工控系統(tǒng)主要安全隱患工程師站、服務(wù)器等主機(jī)無防護(hù)1 、木馬攻擊的風(fēng)險(xiǎn)。2病毒。23 25等信息。25卷煙廠工控系統(tǒng)主要安全隱患卷煙廠工控系統(tǒng)主要安全隱患2626安全運(yùn)維管理不完善1 運(yùn)維人員安全管理制度執(zhí)行不到位，存在著違規(guī)操作的行為。安全管理措施不完善。03煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案03解決思路 解決方案PAGE28PAGE28基于“白環(huán)境”的“縱深防御安全防護(hù)技術(shù)體系”①網(wǎng)絡(luò)分區(qū)分域②強(qiáng)化安全區(qū)域邊界訪問控制能力③提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力工控系統(tǒng)④提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力工控系統(tǒng)⑤提高系統(tǒng)內(nèi)主機(jī)病毒防范能力⑥提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制⑦一鍵式安全加固，提高主機(jī)安全基線⑧關(guān)閉不必要的服務(wù)端口，提高入侵防范能力⑨利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改⑩提高日志審計(jì)能力，審計(jì)日志至少保存6個(gè)月?加強(qiáng)運(yùn)維人員行為管理?建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力?技術(shù)手段輔助業(yè)主完成定期自檢PAGE29PAGE29切入點(diǎn)—全面風(fēng)險(xiǎn)評估，尋找問題癥結(jié)點(diǎn)風(fēng)險(xiǎn)評估分析是對煙草行業(yè)制絲集控系統(tǒng)網(wǎng)絡(luò)內(nèi)各資產(chǎn)進(jìn)行安全管理的先決條件，其目的在于識(shí)別和評估不同用戶所面臨的生產(chǎn)安全風(fēng)險(xiǎn)和網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)分析的典型內(nèi)容：工控系統(tǒng)資產(chǎn)梳理，分析價(jià)值；識(shí)別已有的安全防護(hù)措施；資產(chǎn)脆弱性及面臨的威脅分析；安全風(fēng)險(xiǎn)綜合分析。1.生產(chǎn)網(wǎng)網(wǎng)絡(luò)分區(qū)分域1.生產(chǎn)網(wǎng)網(wǎng)絡(luò)分區(qū)分域PAGE30PAGE30外部區(qū)域內(nèi)部區(qū)域外部區(qū)域內(nèi)部區(qū)域內(nèi)部區(qū)域內(nèi)部區(qū)域按照個(gè)安全域進(jìn)行管理。2.強(qiáng)化安全區(qū)域邊界訪問控制能力2.強(qiáng)化安全區(qū)域邊界訪問控制能力PAGE31PAGE31生產(chǎn)辦公邊界隔離流量及威脅可視全面的web防護(hù)生產(chǎn)辦公邊界隔離流量及威脅可視全面的web防護(hù)強(qiáng)大的應(yīng)用識(shí)別能力ACL+應(yīng)用級白名單工控協(xié)議合規(guī)性驗(yàn)證ACL+應(yīng)用級白名單工控協(xié)議合規(guī)性驗(yàn)證協(xié)議功能碼、點(diǎn)值控制控制邏輯合理性驗(yàn)證工業(yè)互聯(lián)防火墻 工業(yè)防火墻3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力(3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力(PAGE1/2)關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)基于流量的未知威脅監(jiān)測監(jiān)控中心核心網(wǎng)絡(luò)對APT攻擊的實(shí)時(shí)檢測網(wǎng)絡(luò)威脅感知系統(tǒng)32工控安全監(jiān)測與審計(jì)系統(tǒng)323.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力(3.提高網(wǎng)絡(luò)內(nèi)、外入侵和惡意代碼防御能力(PAGE2/2)虛擬化平臺(tái)網(wǎng)絡(luò)、安全、應(yīng)用可視化虛擬化平臺(tái)東西向流量全防護(hù)33虛擬化微隔離系統(tǒng)334.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力4.提高違規(guī)內(nèi)聯(lián)、外聯(lián)檢測能力關(guān)閉網(wǎng)絡(luò)設(shè)備不必要的端口交換機(jī)進(jìn)行IP/MAC綁定工控主機(jī)衛(wèi)士開啟非法外聯(lián)策略34工控主機(jī)衛(wèi)士345.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力5.提高系統(tǒng)內(nèi)主機(jī)病毒防范能力切斷惡意代碼/病毒通過U盤擺渡到系統(tǒng)內(nèi)部的途徑啟動(dòng)文件級白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行啟動(dòng)文件級白名單策略，防止惡意代碼/病毒/非法軟件執(zhí)行解決方案難以及時(shí)更新、打補(bǔ)丁。件存在短板。殺毒軟件或?qū)I(yè)務(wù)軟件誤識(shí)為病毒而刪除。35工控主機(jī)衛(wèi)士356.提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制6.提高主機(jī)身份認(rèn)證能力，采用雙因子認(rèn)證機(jī)制關(guān)鍵服務(wù)器、工程師站采用雙因子認(rèn)證靜態(tài)密碼+UKEY36工控主機(jī)衛(wèi)士367.一鍵式安全加固，提高主機(jī)安全基線7.一鍵式安全加固，提高主機(jī)安全基線內(nèi)置42條安全基線規(guī)則一鍵式配置，降低手動(dòng)加固成本37工控主機(jī)衛(wèi)士378.關(guān)閉不必要的服務(wù)端口，提高入侵防范能力8.關(guān)閉不必要的服務(wù)端口，提高入侵防范能力內(nèi)置防火墻功能，關(guān)閉不必要端口一鍵式配置，降低手動(dòng)加固成本38工控主機(jī)衛(wèi)士389.利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改9.利用訪問控制策略，保證業(yè)務(wù)配置文件不被篡改基于標(biāo)記的強(qiáng)制訪問控制自主訪問控制39工控主機(jī)衛(wèi)士3910.提高日志審計(jì)能力，審計(jì)日志至少保存6個(gè)月10.提高日志審計(jì)能力，審計(jì)日志至少保存6個(gè)月泛化多種類設(shè)備（主機(jī)、網(wǎng)絡(luò)、安全）日志快速準(zhǔn)確的識(shí)別安全事件，發(fā)現(xiàn)違規(guī)行為日志審計(jì)與分析系統(tǒng)

安全管理中心4011.加強(qiáng)運(yùn)維人員行為管理11.加強(qiáng)運(yùn)維人員行為管理運(yùn)維人員身份鑒別運(yùn)維人員身份鑒別運(yùn)維人員操作授權(quán)運(yùn)維人員行為審計(jì)

安全管理中心安全運(yùn)維管理系統(tǒng)4112.建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力12.建立統(tǒng)一安全管理中心，強(qiáng)化集中管控能力雙機(jī)熱備，高度可靠雙機(jī)熱備，高度可靠安全產(chǎn)品集中管理安全產(chǎn)品集中管理加密傳輸通道加密傳輸通道高度可視化 安全管理中心高度可視化安全管理中心統(tǒng)一安全管理平臺(tái)42制絲集控系統(tǒng)總體技術(shù)安全防護(hù)方案制絲集控系統(tǒng)總體技術(shù)安全防護(hù)方案安全管理中心

工業(yè)防火墻工控安全監(jiān)測與審計(jì)系統(tǒng)工控主機(jī)衛(wèi)士安全運(yùn)維管理系統(tǒng)日志審計(jì)與分析系統(tǒng)43工業(yè)互聯(lián)防火墻43卷包數(shù)采系統(tǒng)總體技術(shù)安全防護(hù)方案卷包數(shù)采系統(tǒng)總體技術(shù)安全防護(hù)方案安全管理中心

工業(yè)防火墻監(jiān)測與審計(jì)系統(tǒng)網(wǎng)絡(luò)威脅感知系統(tǒng)工控主機(jī)衛(wèi)士運(yùn)維管理系統(tǒng)虛擬化微隔離系統(tǒng)44工業(yè)互聯(lián)防火墻44動(dòng)力能管系統(tǒng)總體技術(shù)安全防護(hù)方案動(dòng)力能管系統(tǒng)總體技術(shù)安全防護(hù)方案安全管理中心

工業(yè)防火墻工控安全監(jiān)測與審計(jì)系統(tǒng)工控主機(jī)衛(wèi)士運(yùn)維管理系統(tǒng)日志審計(jì)與分析系統(tǒng)45工業(yè)互聯(lián)防火墻45物流控制系統(tǒng)總體安全防護(hù)方案物流控制系統(tǒng)總體安全防護(hù)方案工業(yè)互聯(lián)防火墻安全管理中心

工業(yè)防火墻網(wǎng)絡(luò)威脅感知系統(tǒng)虛擬化微隔離系統(tǒng)工控主機(jī)衛(wèi)士46日志審計(jì)與分析系統(tǒng)46健全卷煙廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全制度與標(biāo)準(zhǔn)健全卷煙廠工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全制度與標(biāo)準(zhǔn)絡(luò)安全工作的順利開展；一級文件二級文件一級文件二級文件三級文件規(guī)定、手冊1規(guī)定、手冊1執(zhí)行模板3管理辦法執(zhí)行模板3管理辦法247三層文件：各種體系運(yùn)行所需的規(guī)范文檔模板。47借鑒國家等級保護(hù)制度安全管理制度要求借鑒國家等級保護(hù)制度安全管理制度要求管理要求管理要求安全管理制度 安全管理機(jī)構(gòu) 安全管理人員 安全建設(shè)管理 安全運(yùn)維管理安全策略管理制度制定和發(fā)布評審和修訂

崗位設(shè)置人員配置授權(quán)和審批溝通和合作審核和檢查

人員錄用人員離崗安全意識(shí)和培訓(xùn)外部訪問人員

定級和備案自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施

環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備維護(hù)管理網(wǎng)絡(luò)安全管理系統(tǒng)和網(wǎng)絡(luò)安全管理惡意代碼防范管理等級保護(hù)合規(guī)性要求的實(shí)施，使工控網(wǎng)絡(luò)信息化建設(shè)與應(yīng)用滿足國家頂層設(shè)計(jì)要求。

等級測評服務(wù)商選擇

密碼管理變更管理48安全事件