近年来,烟草行业制造历经多次大规模的技术改造,其各个工艺环节的自动化技术水平不断提升。随着信息化和工业化深度融合(两化融合),控制网、生产网、管理网、互联网互联互通成为常态,烟草制造生产网络的集成度越来越高,越来越多采用通用协议、通用硬件和通用软件,工业控制系统信息安全问题日益突出,面临更加复杂的信息安全威胁,如通信协议漏洞、工业设备漏洞、操作系统漏洞、安全策略和管理流程漏洞、应用软件漏洞等带来的配方安全、设备漏洞、设备非停等安全风险。
在整个网络边界处,通过入侵防御、防毒墙、WAF等设备的部署实现互联网与内网之间的漏洞防护、恶意代码防护、服务器网站攻击防护,通过日审、堡垒机等实现各设备的集中管理、统一威胁分析。
按照生产需要划分区域,并针对各安全区边界进行隔离保护,在互联网办公管理网和生产网之间部署防火墙,既解决了办公网与生产网之间的流量完全可信不过滤的难点和堵点,又完成了对办公网区流窜的恶意代码、木马的封杀,实现工控网络与非工控网络的访问控制。
在生产过程监控区域部署工控审计,实现网络流量监测、协议分析、资产识别、安全审计等功能;在各生产网络区域内工业主机上部署“白名单”机制的工控专用主机安全防护软件,可为工业主机提供安全可信的运行环境。用于生产和业务办公的服务器同时也安装了服务器安全防护,避免服务器瘫痪造成生产事故。
在制丝、卷包、动能等车间系统的交换机上旁路部署工控IDS,通过采集镜像流量,自动发现针对工业资产漏洞的主流工业控制协议的网络攻击行为并产生实时告警,实现风险可见。