《卷烟厂典型工控安全解决方案》由会员分享,可在线阅读,更多相关《卷烟厂典型工控安全解决方案(8页珍藏版)》请在金锄头文库上搜索。
1、烟草行业在生产系统中大量使用了工业控制系统,在两化融合的大趋势下, 行业中的工业控制网络与办公网络的互联互通是一个必然的趋势。从烟草行业普遍 性角度来看,工业控制网络与办公网络的连接基本上没有进行任何逻辑隔离和检测防护 工业控制网络基本上不具备任何发现、防御外部攻击行为的手段威,胁外源部一旦进入公 司的办公网络,则可以一通到底的连接到工业网络的现场控制层网络,直接影响工业生产。另 一方面工业控制网络内部设备如各类操作站、终端等,大部分采用 Windows 系统,为保证 工业软件的稳定运行无法进行系统升级甚至不能安装杀毒软件,存在着大量漏洞,在自 身安全性不高的情况下运行, 因此工业控制系统的安
2、全风险不言而喻。概述某烟草工业责任有限责任公司在工控安全建设方面存在着一些亟需解决的 问题,在制丝、卷包、物流、动力这几个工控系统网络中针对于工控安全的防护措施存在 不足。工控网络边界访问控制策略缺失服,务器或操作站感染病毒后,很可能迅速通过 工控网络传播到其他设备直接影响 HMI、PLC 等设备的正常运行。此外,针对整 个制丝集控网络中存在的风险情况不能及时掌握缺,少针对工控异常行为的检测手段。综 合上述卷烟厂工控系统实际情况,亟需通过本项目提高工控安全建设以提高防护水平确,保 卷烟生产平安有序进行。某烟厂通过本次工控安全建设项目建设,实现了以下目标:(1)管理人员对目前自身工控系统所存在风
3、险能够精确掌握。(2)在对生产网和管理网边界进行隔离,确保管理网对生产网访问的安全性。(3)技术人员对生产网中入侵、异常行为的及时发现,对现场设备进行深度 防护。(4)管理人员、技术人员对整个工控系统各类设备运行状况安、全状况统一管 理。典型安全风险通过对某烟草工业有限责任公司制丝卷、包、物流、动力四类工控系统现状分析 后,发现 A 烟草工业有限责任公司工控系统目前存在以下一些风险:(1)管理网和生产网互联,管理网风险容易引入生产网。 随着工控系统的集成化越来越高,烟草生产系统各个子系统的互联程度大大高提。 管理网中的 MES 系统需要与制丝、卷包、物流、动力能源各个车间互联,对各个车间下发
4、生产数据。但在管理网和生产网边界访问控制策略缺失等问题导致一旦管理网服务器感染病毒 后,可以迅速通过工控网络传播到现场控制设备, 直接影响操作员站、工程师站故障, 影响正常生产。(2)网络访问关系无审计。 由于工控系统的特殊性,设备之间访问关系以及访问所使用的协议、端口都比较 固定,因此如果出现设备间的异常访问则应及时关注是否为入侵行某为烟。草工业有限 责任公司内有些工控系统经过多次技改建设,存在整个工控系统内设备间访问关系 不明确的现象,目前没有任何在网络层面和业务层面对系统内设备异常访问的发现及 审计。(3)工控设备存在风险。某烟草工业有限责任公司现场所使用的西门子S7-300、S7-20
5、0的PLC以及所使用的主要组态软件Ifix在投产运行后未进行过 更新存在着大量漏洞,时刻威胁着工控设备正常运行。8 1/208)工业删箱!弼仙加町SSemens册矜盅参t曽入螫证JS诃(CVE 2010團emenmlE奔奢冬帕恸加崩确KYE-2tH: 0 Sii5men s JKS Zd&C cv F 2 n 1 :Q Sjemens却和IT遼趾雉还绘过腳 (CVE-2 SifelHem 5IMATICSffiS&tECCVE- 2( C SiemensxiMflR件刖mp旳讷盍竝瑶斜代 C Siemens文慣砸f):!Meh捞口史全翩(CVE- Q Siemens 5lNTl0tU鼾形肆建讨
6、翩 Q Slemen&龍横尅生超届麹CVE-i013-S70 :黄 Sjentens 57 - HOD PLCf& Sl7( 111 Q SifelHCn i WC CVE-2D11- 45 29) *更盞时月飙平fl除mwis腸聲辭鹹軽iiE翻 匕 锻1M51E201d-Cg-1EOOMtieFSiemefim /.nee n 5xi r e200- Eons.zor.an-: ?oce bercr? epj; winGC vn 归旳 th portal tjetore SP2 Update中泊曲5.G图 35 漏洞扫描结果 1更斬时冃蚩啕半白 仁時数蝉 CVSSfKECVESg 号GEJa
7、nuc i曲類过询可阻tfjg颐CE.200dD凸切侈皿总(wfipvfi2014-12-Q3Q0Q330BBGE Fanuc iFMSO and earlier离低雄10.0CiE200g02茁_|刊乐IWW-I-_ Hffei(J/8)Qld J 1.1,11! JI JrayF T:igjin(* G E Pr&flcv I Fix HM/SCAPAftS ft 码虫行琵洞 (I GEP roficv I Fix HHI/ WCflD A任駆找讯益问 (1 G E Profit i Fix H Ml/赢肌血任創帯狀行届种 0 ge FanutifixSaiJjisiBRWEfifcvE-
8、saas-o;1 C E Profity i Fix H Ml/宾眩血任創朋痕f届种 * GEProHcy iFlit HMl/SCADAff吏代玛血行岳知L (1 G E Proficv i Fix H Ml/宾吧血任創卯竝行届种图 36 漏洞扫描结果 2(4) 工业协议存在风险。目前A烟草工业有限责任公司工控系统中所使用的OPC、Profinet 等工业协议更多的是考虑协议传输的实时性等符合工业需求, 但 是在安全性方面考虑不足,存在着泄露信息或指令被篡改等风险(5) 缺乏统一监控管理。目前在某烟草工业有限责任公司缺乏统一有效的信息安全监控工具对工 业控制系统中的网络设备、服务器、数据库等
9、进行有效安全监控和管理,在工业控 制系统和控制网络的设备出现故障时,不能提供及时的预警和故障定位,造成排障时间 较长。安全解决方案本方案的整体思路主要依据行业网络安全“分级分域、整体保护、积极预防、动态管理”的总体策略。首先对某烟厂整个工控系统进行全面风险评估掌握目前工控系统风险现状;通过管理网和生产网隔离确保生产网不会引入来自管理网风险,保证生产网边界安全;在各车间内部工控系统进行一定手段的监测、防保护证,车间内部 安全;最后对整个工控系统进行统一安全呈现将,各个防护点组成一个全面的防护体系, 保障其整个工业控制系统安全稳定运行。(1)全面风险评估对某烟厂整个工控网的评估,整体思路如下图所示
10、:网络层憎冈险童理戏;兄纽织与人员应用层術上位机加祖卷因4詞网弟也業jatata駅書MS去全认id证问擔制叭 hJfeP怎识和SB别ESH筑冏if理业夯运行逹谕运存曲急计划托三方懺睚舍规肯理图 37 风险测评思路图技术方面是从应用、网络、上位机、下位机几个层面展开。管理方面是从合规、组织与人员、风险管理、安全策略、业务连续性、第三方管 理等方面展开。最终通过风险评估准确了解工控网络系统安全现状,详细掌握工控系统威胁和 风险;通过评估结果,找出工控安全的具体建设需求,以便真正满足企业的实际情况, 为进一步提出安全建议提供有力支撑;通过评估找出安全隐患的轻重缓急,以确保 工控安全建设的阶段,合理规
11、划工控安全建设和安全投入;通过评估提高相关人员 安全意识,以便落实国家及行业主管单位的人员安全培训及意识培养的要求。2) 管理网和生产网隔离风险分析中已经分析了管理网和生产网互联互通所存在的风险。根据国际国内 的各类工控安全相关标准以及行业内部于2014 年下发的烟草工业企业生产网与 管理网网络互联安全规范中,都对管理网和生产网互联安全问题进行了着重关注。图38管理网与生产网安全隔离针对这一问题,本解决方案在某烟厂各车间工业控制系统生产网和管理网边界都应 该部署工业防火墙进行管理网和生产网的逻辑隔离,对两网间数据交换进行安全防 护,确保生产网不会引入管理网所面临风险。(3) 各车间内监测与防护
12、 在管理网和生产网隔离中已经对生产执行层和各个车间生产网络进行了 逻辑隔离,确保管理网风险不会引入各车间生产网那。么对于各车间内部的安全风险, 应如何处理来确保各车间内部的安全性?在各车间内部,前面已经分析了包主括以要下 几方面风险: 1)各类操作站的安全风险;2)网络访问关系不明确; 3)PLC 等工 控设备安全风险; 4)通讯协议存在风险; 5)无线通信安全性不足。针对各方 面风险采取对应的防护手段如下:在操作员站、工程师站、 HMI 等各类操作站部署安全系统对主机的进程、 软件、流量、U盘的使用等进行监控,防范主机非法访问网络其它节点;部署工业异常监测系统,监测工控网络的相关业务异常和入
13、侵行为通,过工控网 络中的流量关系图形化展示梳理发现网络中的故障,出现异常及时报警;部署工业漏洞扫描系统,发现各类操作系统、组态软件、以及工业交换机、PLC 等存在的漏洞,为车间内各类设备、软件提供完善的漏洞分析检测。在 PLC 前端部署工业防火墙,对 PLC 进行防护。在车间现场通过部署 WiFi 入侵检测设备,对烟草工业控制系统中的 AGV 小车等其他无线网络进行安全防护。(4)统一安全管理对于管理人员,面对整个企业各个车间内繁多的各类工控网络设备、服务器、操作站以 及安全设备,如何高效管理,掌握各个点的风险现状,对整个工控系统安全现状能够统 一掌握,及时处理各类设备故障与威胁同样是工控安
14、全建设至关重要的一环。针对这一情况,通过在生产执行层部署工业控制信息安全管理系对统烟,草生产中 各车间工控系统进行可用性、性能和服务水平的统一监控管理。包括各类机主、服务 器、现场控制设备、以及各类网络设备、安全设备的配置及事件分析、审计、预警与响应,风险 及态势的度量与评估,对整个系统面向业务进行主动化、智能化安全管理,保障烟草工业 控制系统整体持续安全运营。从管理人员的角度,对于丝叶生产系统整体安全状况以及系统中的操作站、服务器、PLC以及安全设备的运行状态需要及时掌握。防护方案设备部署情况如下图所示:It理博IW生产議議全刖擊援作牯轉 *1工2ik甌火世工ik血弊疊全 ea.sst.採岸
15、站皓工幄柿站Hi互聽财噪作员站监控站帥作诂支全工4k仝抉就斑畀岸垃测东饶_系紀翻緡机按干机切鏗.机图 39 工控安全防护方案设备部署图小结某卷烟厂在本次工控安全建设项目中,通过全面风险评估 可以切实让生产运维人员和管理人员清晰获悉自身工控网络中 的风险,以便提前做到适度防护,提升了运维人员效率,为管理 人员对安全的规划提供了有力的支撑通;过生产网和管理网隔离 实现了对 MES 系统到制丝、卷包等车间的访问控制,阻断 来自管理网的非法行为;经过多项安全防护措施后能,够有效的 保障工控网中网络、主机应用等各层面的多数安全问题发生降, 低公司生产业务中断的风险;通过统一安全管理平台建设对某 卷烟厂中各车间工控系统进行安全性、可用性、性能和服务水 平的统一监控管理减少可能潜在的风险隐患,减少信息系统故 障、人员流失带来的经济损失。
