概述:2014年4月15日烟草行业开始实施《烟草工业企业生产网与管理网网络互连安全规范》(YCT 494-2014),明确管理网和控制网之间的安全功能包括身份鉴别、访问控制、网络互联控制、恶意行为规范、安全审计、支撑操作系统安全。2018年,国家烟草专卖局发布的《烟草行业工业控制系统网络安全技术规范》送审稿,规定了定级对象、责任主体、保护等级及工控系统安全基线等要求。因此,烟草行业工控网络安全加固势在必行。
烟草行业物流工控系统其面临的主要威胁有如下:
外部网络的攻击渗透:
攻击者利用系统网络自身的脆弱性,通过远程接入方式,远程扫描控制潜入系统办公网络中,利用办公网络作为跳板,逐步渗透到控制网络中。通过对控制网络一系列的渗透和攻击,最终获取控制权限,控制底层仪表控制器等,随意更改控制器参数,恶意修改其控制量,造成重大的安全事故。
APT攻击:
黑客群体或境外敌对势力利用先进的攻击手段对系统进行长期持续性潜伏网络攻击,挖掘系统0day漏洞,利用漏洞进行非法破坏行为,达到不可告人的目的,造成安全事故。
安全漏洞利用:
由于服务器、工作站、控制器和工业通讯协(Modbus、S7、DNP3协议等)等自身存在的安全漏洞,导致攻击者有机可乘,可利用存在的安全漏洞进行攻击渗透,获取控制系统控制权限,窃取重要资料及恶意破坏,造成安全事故。
工业网络病毒感染:
工业网络病毒通过对工程师站及编程服务器的感染,感染(替换)其相关程序,进而把恶意程序下发到控制器上,恶意程序一方面篡改控制器的实际控制流,另一方面将运算好的虚假数据发给控制器的输出,防止报警,通过这种方式造成现场设备的压力、温度、液位等参数失控,且使监测系统不被及时发现,进而造成重大的安全事故。
移动存储介质攻击渗透:
当带有恶意程序的移动存储介质连接到工作站时,移动存储介质自带的病毒会利用移动存储介质自运行功能,自动启动对控制设备进行恶意攻击或恶意指令下达,恶意更改其实际控制量,造成网络病毒在内部各个网络层面自动传播和感染,造成控制系统性能的下降,从而影响监测、统筹、决策能力,进而造成安全事故。
内部管理不到位:
内部运维人员、设备厂家运维人员等的运维操作缺乏安全审计和管控,容易导致操作不当或恶意破坏行为,引入安全威胁,造成安全事件的发生。
安全边界防护在烟草行业物流工控系统管理网和控制网出口处之间边界部署智能工业防火墙,不仅具有访问控制功能的网络设备,实现逻辑隔离、报文过滤、访问控制等功能,还具备智能学习、基于深度数据包解析的黑白名单结合、分布式集中管理、和适应苛刻工业应用场景等技术。即允许生产控制系统只有特定的对象并通过特定的工控协议与系统进行交互,同时对系统之间传输的报文内容做深度检查,识别正常的操作行为并生成白名单,发现其用户节点的行为不符合白名单中的行为特征,对此行为进行阻断或告警。 |
安全审计在烟草行业物流工控系统控制区核心交换机旁路部署工业监测审计系统,通过特定的安全策略,快速识别出企业工业控制系统网络非法操作、异常事件、外部攻击,并实时报警。 |
入侵检测在烟草行业物流工控系统控制区系统边界部署网络入侵检测系统,合理设置检测规则,检测发现隐藏于流经网络边界正常信息流中的入侵行为,分析潜在的威胁并进行安全审计 |
主机安全防护主机安全防护主要在烟草行业物流工控系统的上位机、服务器进行防护,以白名单的技术方式监控工控主机的进程状态、网络端口状态、USB 端口状态,全方位地保护主机的资源使用。根据白名单的配置,主机防护软件会禁止非法进程的运行,禁止非法网络端口的打开与服务,禁止非法USB 设备的接入,从而切断病毒和木马的传播与破坏路径,保证上位机正常指令的顺利下发和生产相关的业务与进程的正常执行,实现对病毒的免疫,保障服务器和工作站的系统安全。 |
USB安全防护外设USB端口接入防护主要通过对烟草行业物流工控系统工程师站、操作员站和数据服务器部署主机外设管理设备(USB安全防御系统)进行防护,利用文件过滤技术,根据用户系统特点及相应配置,过滤所有可疑文件,切断病毒传播途径;通过对U盘的认证、权限设置以及行为记录,从而实现对内网U盘的行为管理,可全面防护USB病毒及攻击,彻底消除了USB使用中的安全威胁;可有效拦截死亡蓝屏攻击、BadUSB攻击、LNK攻击等USB高级攻击;通过单向拷贝技术,防止数据泄露事故。 |
日志集中审计在烟草行业物流工控系统控制区部署工业日志审计系统,实现针对烟草行业物流工控系统网络设备、安全事件、日志信息的收集和集中分析,并提供日志查询、历史日志查询和事件告警功能,能够及时了解网络设备运行状态和识别存在的安全事件,提高系统安全防护能力。 |
安全运维管理在烟草行业物流工控系统控制区部署运维审计与管理设备(堡垒机),实现对设备的集中管控,限制设备的远程登录地址,对用户的操作权限以及操作行为进行审计记录,并提供会话审计和回放功能,同时能够确保审计记录不被破坏或非授权访问。 |
||
集中管控在烟草行业物流工控系统署统一安全管理平台和态势感知平台可以对系统内的防护设备统一进行安全管理,即可以统一控制配置、管理、统一部署安全策略、统一监控通信流量与安全事件,对工控网络内的安全威胁进行分析,消除安全孤岛,从整体视角进行安全事件分析、安全攻击溯源、安全事件 |