烟草行业是中国的支柱产业之一,行业年税收占国家总税收的10%左右。烟草制造是典型的混合流程制造,从上世纪八十年代开始引入自动化生产控制和管理信息化概念,先后经历了生产自动化、管理信息化和基于企业资源计划的CIMS为主要特点的发展阶段。
据中国智能化网(http://www.zgznh.com)了解,近十几年来,我国烟草制造历经多次大规模的技术改造,其各个工艺环节的自动化技术水平已经走在国内制造业,甚至是国际烟草企业的前列。很多国际领先的自动化技术和工控网络技术,像PROFINET、EthernetIP等进入中国都是率先在烟草制造业中应用。这些先进技术的应用在巨大提升烟草企业生产力的同时也埋下了极大的安全隐患。
随着中国制造2025的逐步推进,信息化和工业化深度融合,控制网、生产网、管理网、互联网互联互通成为常态,烟草制造生产网络的集成度越来越高,越来越多采用通用协议、通用硬件和通用软件,工业控制系统信息安全问题日益突出,面临更加复杂的信息安全威胁。
行业特点
1、生产数量的强制计划性-烟草工业企业的生产数量是由国家烟草专卖局统一制定计划指标,企业按照计划组织生产,企业无权对产量进行调整,只能在指标总量范围内,对相应的价格类别产品和品牌的生产结构作局部调整。
2、产品供销的计划与市场的限制。
3、投资经营的多元化。
4、产品结构与利润的相关性-卷烟企业生产实行的是流水线作业工作,具有不同产品结构类别的生产成本基本趋近的特点,处于产品结构“高低”端的卷烟产品成本差异不大,但调拨价格差异较大。
5、高度自动化生产线的应用,信息化集成程度越来越高。
安全关注点
1、配方安全:在制烟生产过程中,对已经醇化的烟叶配方制丝、加香料蜂蜜发酵、卷接包(卷制包装),这其中针对配方的安全是重点关注的,这直接会影响产品品质,事关企业存亡;
2、设备漏洞:国内烟草生产线,大量采用西门子产品,但由于该系列产品存在漏洞,可利用漏洞,进行脚本攻击改变配方参数,可能面临恶意的网络攻击;
3、设备非停:产线的计划性很强,导致生产线一个月运行时间也就在很短时间内,但是一旦生产,不允许设备出现频繁非停事故,但是由于西门子产品漏洞的原因,就有可能发生类似伊朗核电站离心机频繁启停最终损坏的可能,这个可以通过循环攻击脚本很轻易地实现。虽然烟草企业效益相对较好,但也不能承受设备频繁损坏带来的损失。
其他安全风险
根据2015年烟草行业对全行业单位,尤其是生产企业工业控制系统网络安全的调研统计,几乎90%的企业对工控网络安全没有完整的认识和防控意识。目前烟草行业主要存在以下工控安全问题。
1、通信协议漏洞
自动化和信息化的高度融合和物联网的发展使得ModBus协议、ProfiBus协议、OPC协议等工业协议越来越广泛地应用在工业控制网络中,协议的公开性导致极易遭受攻击,而传统IT防火墙无法发现和防范出现的安全问题。
2、工业设备漏洞
国内烟草生产线大量采用西门子产品,但由于该系列产品存在漏洞,可利用漏洞进行脚本攻击改变操作指令,进而影响生产正常进行。
3、操作系统漏洞
烟草生产线上的工程师站/操作站/HMI都是Windows平台的,为保证过程控制系统的相对独立性,同时考虑到系统的稳定运行,通常现场工程师在系统开车后不会对Windows平台安装任何补丁,存在很大的安全隐患。
4、安全策略和管理流程漏洞
追求可用性而牺牲安全,是很多工业控制系统存在的普遍现象,缺乏完整有效的安全策略与管理流程也给工业控制系统信息安全带来了一定的威胁。例如工业控制系统中移动存储介质包括笔记本电脑、U盘等设备的使用和不严格的访问控制策略。
5、杀毒软件漏洞
为了保证工控应用软件的可用性,许多工控系统操作站通常不会安装杀毒软件。即使安装了杀毒软件,在使用过程中也有很大的局限性,原因在于使用杀毒软件很关键的一点是,其病毒库需要不定期的经常更新,这一要求尤其不适合于工业控制环境。
6、应用软件漏洞
由于应用软件多种多样,很难形成统一的防护规范以应对安全问题;另外当应用软件面向网络应用时,就必须开放其应用端口。因此常规的IT防火墙等安全设备很难保障其安全性。
解决方案
重点设备防护是保护重要资产的最好办法!
作为国内专业的工控安全厂商,威努特公司致力于为客户提供工控安全整体解决方案与产品服务,结合烟草制造的现状及特点,推出了覆盖烟草制造生产流程的“白环境”安全解决方案,帮助客户建立自主可控、安全可靠的工控安全整体防护体系。
威努特防护策略中基于工业协议深度解析所独有的阀值控制功能,能够很好地实现对关键参数重点防护,配合独有的可视化管理平台,从而彻底解决客户忧虑!(欢迎来电咨询)
1) 方案架构
烟草制造工控安全整体防护方案涵盖烟草制丝、卷接、包装等主要流程,安全防护产品包括威努特可信网关、工控主机卫士、监测审计平台、安全管理平台,方案架构图如下所示:
方案通过将网络划分为不同的安全区,在安全区之间按照一定规则部署工业安全防护设备,构建纵深防护体系,保障生产网络安全稳定运行。
网络安全:威努特可信网关通过对工业专有协议的深度解析,学习工控操作指令和参数建立网络和通讯“白环境”,阻止来自不同区域之间的越权访问,病毒、蠕虫恶意软件扩散和入侵攻击,保护控制系统安全运行。
主机安全:威努特工控主机卫士通过扫描上位机程序和进程,构建白名单安全基线,实现系统安全加固,有效防范已知未知病毒的入侵和攻击。
安全审计:威努特工控监测审计平台基于工业协议深度解析生产网络流量,智能监测和识别网络中的入侵攻击、异常操作、生产数据、重要操作等行为,并进行统计和分析。安全管理:威努特统一安全管理平台能够发现网络中所有安全产品,进行统一管理、统一策略调整下发、统一日志收集分析、统一实时的监控,极大简化安全运维流程。
1) 方案特点
严格遵循《工业控制系统信息安全防护指南》指导要求;
智能主动防护,抗击安全风险;
白名单机制,符合生产控制网络实际情况;
纵深防御,整体安全保障;
重点防护,重点保护;
多种安全产品有机结合,覆盖生产制造全流程;
集中统一管理,简化运维。
2) 客户价值
全面提高烟草制造生产网络的整体安全性,确保设备、系统、网络的可靠性、稳定性和安全性,为安全生产保驾护航。
全面改进烟草制造业务人员的安全水平和安全意识,提高安全生产管理水平、工作效率和管理效率。
全面提升烟草制造网络安全防护管理的合规性,符合国家主管部门、行业监管部门管理要求及工控安全防护要求。
小结
工业控制系统信息安全问题已迫在眉睫,本文针对企业流程工业的特点,同时结合工业控制系统网络结构和安全需求,提出工业控制系统信息安全的纵深防御策略,将工业系统网络划分为不同的安全区域,在区域之间执行管道通信,从而通过管控区域间管道中的通信内容,实现保证工厂控制网络安全稳定运行的三个目标:通讯可控、区域隔离和报警追踪,进而全方位地保障工业控制系统信息安全。
威努特致力于为烟草制造企业提供“确定的安全”,深入研究烟草制造生产网络存在的安全风险,确定安全问题出现的根源,针对症结提供基于白名单机制的安全产品,构建符合烟草制造生产特点的工控安全“白环境”。
