匡恩“数”与“术” 助力烟草行业信息安全

本篇文章2225字，读完约6分钟

互联网的浪潮推动了各行各业的改革，烟草业也不例外。在两个产业融合的过程中，卷烟工业企业着手建设智能工厂和信息化的数字烟草。

目前，卷烟工业企业生产控制应用系统自上而下形成了三层结构:管理协作层、生产执行层和工业控制层。这种多层结构也使得工业控制信息系统的保密性和完整性，尤其是可用性保证成为一个亟待解决的问题。

工业控制系统安全不同于传统的信息系统安全。过去，工业控制系统安全性更注重物理安全性和生产设备功能的高可用性。随着信息化与工业化技术的深度融合和潜在网络威胁的影响，工业控制系统将从传统的注重物理安全和功能高可用性转向更加注重生产网络和工业控制网络的信息安全。

根据消息来源，我相当清楚

为了帮助烟草行业企业建设数字化烟草，匡恩网络对烟草制造企业生产过程中的电力能源监控、物流自动化、包装自动化、丝绸生产集中控制等系统进行了需求调研，充分掌握了系统建设的第一手信息，确保了与烟草行业信息安全管理建设的要求紧密结合。通过调查分析，发现以下问题:

网络级安全防护不全面。近年来，大多数卷烟制造企业对内部网络进行了重新规划和设计，普遍采用安全域的概念，只考虑生产网络和管理网络的安全隔离要求。然而，生产网络中生产执行层安全域的划分还不完善，生产网络内部安全防御机制尚未建立。如果系统感染了病毒，很容易通过内部网络传播，从而影响整个生产系统的安全运行。此外，还存在管理网络与生产网络之间的安全隔离机制不合理、控制指令数据通信的文本传输清晰、容易被攻击者窃听和分析、网络设备安全配置不完善、缺乏工控安全审计机制等问题。

设备存在安全隐患。目前，烟草行业工业控制系统中使用的plc控制器主要是西门子s7系列，并且有一个安全后门。黑客或维护人员可以远程登录plc控制器，修改或窃取plc程序，控制工业控制系统，从而干扰和破坏安全生产。整个生产网络中的工程师站、操作员站、监控终端和业务服务器都是windows系统，但为了稳定起见，服务器没有进行补丁和升级，主机系统安全监控和保护系统几乎已经失效。系统的访问权限也有潜在的安全隐患。

缺乏安全人才和安全意识。工业控制系统的网络安全是一个跨部门、跨学科的领域。在卷烟制造企业中，生产部门负责工业控制系统，而信息部门负责信息安全。生产部门对信息安全知之甚少，安全意识薄弱，而信息部门对工控系统了解不深，给工控安全建设和安全运行维护带来挑战。企业应建立正常的工控安全培训机制，提高全体员工的工控安全意识，规范安全操作流程，培养工控安全专业人才，建立工控系统网络安全应急保障机制，保障安全生产。

具备保护烟草生产信息安全的技能

基于对烟草行业的探索，匡恩网络运用工业物联网4+1安全保护的工业控制安全理念，即结构安全、本体安全、行为安全、遗传安全和时间连续性，设计了相应的安全保护方案。帮助卷烟生产企业建立工业控制安全防护体系，满足日益增长的安全防护和安全管理需求。

结构安全。根据匡恩的4+1工控安全理念，烟草企业工控网络的结构安全应参照安全分区、网络专用、横向隔离和纵向认证的基本原则，理顺烟草企业工控系统联网与控制的逻辑关系，优化网络结构，根据业务属性划分安全域，在重要网络节点上串联部署工控安全防护设备，建立分级和子域安全防护，实现基于白名单工控行为的合规控制。

本体安全性。本体安全是工业控制网络安全的重点。目前，烟草企业通常部署防火墙来防范外部网络安全威胁，但忽略了主机和底层控制器等设备本体的安全风险。由于这些工业控制系统和设备普遍存在漏洞、后门等安全隐患，内部人员安全意识薄弱，加上第三方操作和维护人员的流动性，内部因素造成的风险远远大于外部攻击造成的风险。本体安全保护主要涉及主机安全保护、设备安全保护、usb攻击保护和漏洞挖掘与检测。

行为安全。工业控制系统的访问方式一般是有限的，在设计保护时应采用白名单响应机制。匡恩网络将行为安全分为内部行为安全风险和外部攻击安全风险。因此，为了实现工业控制行为的安全防护，部署具有感知能力的安全产品来检查网络流量、指令传输、数据采集等行为的符合性，从而实现对全局安全态势和局部安全态势的感知，同时通过与其他安全设备的链接形成主动防御网络。过滤异常行为流量实现生产数据安全。

遗传安全。对于烟草企业的基因改造，匡恩网认为应该根据情况来确定。在这种情况下，可以采用经过基因安全改造的独立工业控制系统和设备，以及经过基因安全强化的进口系统和设备。当条件暂时不具备时，应采用安全补偿机制，并借助安全防护系统的纵深防御技术实现应用安全加固，以实现一定的安全免疫力。

持续安全。工业控制系统具有较长的生命周期，应加强工业控制网络安全防护体系建设，形成工业控制安全纵深防御能力。基于4+1工控安全防护体系和防护框架，以安全大数据分析为支撑，匡恩网络可以构建多层次管理的安全运行平台，实现安全风险的动态管理、安全事件的快速响应和处置，准确判断和预警安全形势，准确定位和修复安全隐患，实现工控系统全生命周期安全运行维护和管理能力建设。匡恩网络可以帮助用户完善安全管理体系建设，加强生产人员的安全意识培训，建立应急保障机制，从而长期有效地保障烟草企业的安全。

烟草企业工业控制安全防护体系的建设不仅包括技术防护体系的建设，还包括安全管理体系的建设和完善。在4+1安全保护理念的支持下，匡恩网络为烟草企业提供了工业控制系统的全生命周期安全解决方案，为企业的安全生产保驾护航。