数字化转型已成为烟草行业质量变革、效率变革和动力变革的重要驱动力,是“十四五”时期行业高质量发展的必由之路。本文以某地烟草企业为例,通过分析其烟草物流管理存在的安全问题和安全风险,提出了启明星辰烟草物流安全解决方案,有效提升烟草企业的物流管理水平,促进烟草企业的稳定、健康发展。
烟草行业作为我国经济发展的支柱型产业,其中烟草物流是烟草配送营销的关键环节。尤其随着“数字烟草”战略推进和建设,各地烟草公司逐渐建立了半自动或全自动的物流仓储、分拣系统,通过信息化和工业化的不断深化融合,推动烟草企业在物流领域不断提质增效。
以某烟草企业的物流中心管理系统为例,主要包含物流管理信息系统、仓库管理系统、分拣管理系统、运输管理系统等核心子系统,工控系统设备主要有PLC、打码机、扫码机、自动化标签机等设备,覆盖了卷烟出入库、分类分拣等环节,工控网络已基本按照业务系统属性划分出网络区域,在工控网与办公网边界也具备基本的逻辑隔离技术措施。
启明星辰通过对该烟草企业物流中心工控系统进行调研分析,发现其信息安全方面存在的突出问题,主要包括以下几个方面:
1、除基本逻辑隔离措施外,工控网络内部缺少其他网络安全防护手段(系统脆弱性识别、异常监测等),日常运维工作外包给网络集成商,对于所有的运维操作无控制、无审计,出现安全问题时不能进行及时准确定位和追踪排障,存在日常监测管理的重要缺失和隐患点。
2、缺乏实时有效、全面的安全保障能力,面对网络攻击无法有效识别、预警、防范和应急响应,信息安全技术措施部署不到位、运行维护专业化相对滞后,安全保障能力不强,应急响应措施不足。
3、缺乏信息安全数据贯通和网络安全处置协同能力,各系统间信息安全数据的共享交换和统筹管理能力不足,网络安全运营模式考虑不充分缺乏安全创新性。
具体安全风险如下:
1、网络安全风险:各网络区域间未充分采取安全隔离措施,在通过办公网访问物流工控网络过程中,不能有效拦截办公网中木马病毒及针对工控系统开发的恶意软件,存在网络攻击通过一个节点入侵、扩散至整个工控系统风险。对工控网络流量和访问关系缺乏有效的监测手段,不能及时提供工控网络安全风险预警和故障定位,存在发生故障后,排障时间长、原因无法定位的风险,存在第三方人员通过非法IP接入网络风险。
2、主机安全风险:监控主机和PC等使用windows系统,具有系统、软件版本低,安全策略不全面等现象,存在病毒防范能力低,易被入侵的风险。
3、控制设备安全风险:控制系统中的PLC及扫码机、打码机等设备存在固有漏洞,若修补不及时存在被恶意利用风险。部分控制设备及应用为国外设备,存在安全不可控风险。
4、数据安全风险:数据安全风险:部分工业通讯协议安全机制缺乏、端口与服务不设限使用。
5、管理安全风险:工控系统资产梳理不清,资产脆弱性掌握不充分,易导致系统高价值资产面临较大威胁。
启明星辰烟草物流安全解决方案
启明星辰以该烟草企业的物流工控系统为防护对象,围绕新场景下网络安全管理目标,构建一套完整的“事前有防范、事中有应对、事后有追溯”烟草物流安全解决方案,实现行业化、智能化、安全化的典型数字化转型实践,有效提升烟草企业的物流管理水平,促进烟草企业的稳定、健康发展。
三大设计思路
构筑烟草行业安全防御体系
1、监管要求为前提。
以烟草行业规范YC/T 580-2019《烟草行业工业控制系统网络安全基线技术规范》为主线,以YC/T 495-2014《烟草行业信息系统安全等级保护实施规范》、YC/T494-2014《烟草行业工业企业生产网与管理网网络互联安全规范》为基础,综合考虑等级保护和工业互联网安全相关标准规范,将行业环境下标准要求有机融入各项安全过程中。
2、解决突出问题为先导。
通过对系统所处环境、相关方的需求和风险分析,确定工控网络安全管理体系范围、要求及其过程,按照“先边界安全加固、后深入内部防护” 的思路,纵向分层,横向分区构建安全可靠的网络结构,对各项安全技术措施进行持续监督、评价和改进。
3、管理为先,技术跟随。
从网络风险管理角度出发,综合考虑安全管理一体化、标准化、智能化、可视化要求,初步实现物流安全一张图、技术管理一平台、安全监测与响应一条线的综合安全管理目标,贴近物流中心业务实景,安全为业务保障服务。
四大方面
提升烟草行业物流管理水平
1、梳理系统业务流程 ,夯实结构安全。
综合考虑物流工控系统的组网结构、业务访问关系、通信协议、部署环境等多方面因素,沿用原网络划分出的区域,确定重要网络边界。将办公网和物流工控网为第一层边界,通过部署工业网闸,实现网络安全隔离与访问控制,保障生产安全。同时,在不改变原组网结构的基础上,通过在工控网的两个汇聚交换机处部署工业防火墙,借助工控协议的深度解析能力和基于白名单的安全策略,实现工控行为的合规性控制,实现网络分层、分域保护。
2、补齐安全基因缺陷,持续性措施保护。
在设置的安全管理区,通过部署工控漏洞扫描系统,定期对SCADA、PLC等工控资产和临时接入设备进行无损扫描,提供资产漏洞识别、资产漏洞修复评估与管理,在根源上为企业提供安全可靠的工控环境;通过部署工业运维审计(堡垒机)和日志审计系统,集中管理运维账号,实时控制运维操作权限和命令,阻断异常行为,对事件进行全面审计,保障系统安全运维。工业主机安全防护在原防护系统的基础上,进行策略优化,实现对主机安全防护能力的补齐。
3、打造高效安全监测,精准化风险管控。
在出库和分拣线1区域的汇聚交换机旁路部署工控异常监测与审计系统,实现工控行为识别与合规性检查、审计与告警。设置安全管理区部署全流量检测和威胁分析系统,进行物流工控网络攻击双向检测、APT沙箱检测、全量数据存储检索、应用元数据解析、攻击回溯取证和数据安全分析。为增强统一管理能力,在办公网部署工控态势感知系统,以工控网部署的安全设备为探针,对物流工控网络的安全设备进行实时检测与管理,从全局分析、外部攻击、横向攻击、恶意外连多维度主动掌握工控网络运行的安全状态。
4、适度引入安全新技术,加强主动防御能力。
基于网络欺骗防御技术,应用工业蜜罐系统,参照生产业务仿真构建蜜网,延缓攻击者对实际业务网络的攻击,保护真实网络资产,同时以技术手段实现对攻击者的追踪。工业蜜罐系统打破了现有攻防不对称的局面,结合其他安全系统共同构成主动安全防御体系。
在“数字烟草”建设的大背景下,烟草企业积极推进烟草产业与信息化的深度融合,烟叶复烤、制丝、卷包、物流等各个生产环节均广泛应用工业控制系统,其和企业管理网进行数据交换的需求愈加紧密。启明星辰将不断探索高效、全面的工控网络安全防护体系,充分整合产品、平台和服务资源,在企业生产信息化建设持续深入过程中,有效保障企业的正常运行,筑牢行业创新发展“压舱石”。
通讯地址:北京市海淀区海淀南路甲21号中关村知识产权大厦A座2层206、207室 邮政编码:100080
电话:010-62565314 刘莉 京ICP证16064523号-2 版权所有:北京软件和信息服务业协会
技术支持:中科服 内容支持:鑫网安