构建“数字烟草” 物流工控信息安全体系

近年来，随着两化融合加速发展，工业控制系统信息安全事件不断发生，网络信息安全形势也越来越严峻，烟草工业企业在响应互联互通号召时，工控网络也越来越多地与管理网、办公网进行连接，给工业控制系统带来的网络安全威胁与日俱增。

烟草行业商业物流系统主要由仓储、分拣、配送三大功能部分组成；包含物流管理信息系统，仓库管理系统、分拣管理系统、运输管理系统等。

主要存在以下特点：

1、各工控子系统主要采用SIEMENS、AB等品牌PLC控制产品；

2、网络设备主要采用SIEMENS、华为、H3C等工业级产品；

3、各工控系统主机操作系统主要采用『Windows』系统，应用软件主要采用SIEMENS、GE、施耐德等公司产品；

4、系统中资产类型众多，很多设备采用无线🛜接入的方式接入网络。

网络示意图如下所示：

2014年国家烟草专卖局颁发的《烟草工业企业生产网与管理网络互联安全规范》，对身份鉴别、访问控制、网络互联控制、恶意行为防范、安全审计、操作系统安全等提出明确要求，规范了烟草工业企业生产网与管理网的连接架构。

2014年国家烟草专卖局颁发的《烟草行业信息系统安全等级保护实施规范》，明确指出了文件防护类别，安全运维管控系统建设内容和安全责任、管理制度体系要求。

2019年国家烟草专卖局颁发的《烟草行业工业控制系统网络安全基线技术规范》，规定了烟草行业典型工业控制系统的分类以及系统定级、安全域划分和保护要求，确定等级为一、二、三级的工控系统均应满足本标准的工控系统安全基线要求，并应满足国家工控安全标准规范相应等级的安全要求。

依据烟草行业政策要求，结合各烟草公司物流园区网络现状，主要有以下几个方面需求：

需求1：网络结构风险处理，强化边界防护，保障区域安全

物流中心的办公内网、生产管理网、生产控制网、物流系统的无线🛜网、视频网等网络边界不清晰，生产网内部并未根据网络层级、系统属性、工艺流程等划分不同安全域，且无任何安全防护技术措施。

需求2：控制协议和无线🛜接入风险，内网流量检测，消除安全隐患

对分拣系统和物流系统的工控网络协议传输情况不可知，缺少安全审计机制，无法对网络中的恶意攻击、误操作、违规行为、非法设备接入等恶意软件的传播进行监测和审计，需对内网流量进行审计并详实记录日志信息，为安全事故调查取证提供技术支撑。

需求3：应用设备风险，加固主机系统，提高安全基线

主机类设备系统自身存在漏洞和病毒木马问题，但为了保障生产稳定性，并未提升恶意代码防范能力；也未对设备的安全策略进行配置优化，如密码策略、USB防护、注册表防护、安全加固策略等。

需求4：安全运营风险，建立安全管理中心，提高威胁应对效率

对生产内网的工控资产安全状况无法及时掌握，往往只能发生问题再处理问题，安全运营管理非常被动，未针对生产控制系统中的网络设备、安全设备、主机操作系统，以及各种应用系统的日志、事件、告警等进行采集和存储；未针对业务系统『服务器』、所有操作进行审计记录，缺乏追查机制，需建立安全管理中心，对日志进行收集，对『服务器』操作过程进行审记录，提高威胁应对能力和事后追溯能力。

基于上述安全现状及行业规范要求，立足目前的网络现状，同时能满足GB/T22239-2019《信息安全技术网络安全等级保护基本要求》的第三级安全要求，威努特以“分区分域、整体保护 、积极预防、动态管理”为总体策略，围绕“纵深防御+白环境”,打造烟草商业物流控制系统安全技术体系。部署架构如下图所示：

根据业务功能划分不同区域，按照“先边界安全加固、后深入内部防护” 的思路，构建安全可靠的网络安全结构：

首先实现办公网（网建管理层）与物流中心网络的区域划分，再将物流内网按照业务层级划分为管理层、监控层等不同的安全域，实现分区管控，其次现场执行层按照工艺场景划分不同的安全域；同时，针对立库系统现场有无线🛜应用场景的情况，划分出单独的无线🛜安全域，对无线🛜区域的接入设备进行流量审查和接入管控；

在网建管理层、物流管理层、调度监控层和控制执行层各层级之间部署工业网闸、工业互联防火墙、工业防火墙进行区域安全边界防护，在各现场办公电脑、操作员站部署工控主机卫士对主机进行安全防护；在调度监控层和控制执行层部署入侵检测系统、工控安全监测与审计系统实现对流量审计、工控协议识别；在物流管理层建立安全管理中心，部署态势感知平台、日志审计设备、堡垒机、统一安全管理平台、数据库审计、高级威胁检测系统，通过安全管理中心建设实现日志审计、『服务器』操作过程审计、资产漏洞扫描和工控流量异常分析，对发现的问题及时预警并对攻击信息进行分析留存，方便事后处置。

通过自主知识产权的安全防护产品配合“白环境”的工控安全解决方案，可以帮助用户解决工业控制系统网络安全防护问题。工业防火墙、工控安全监测与审计系统、工控主机卫士、统一安全管理平台等一系列安全产品及工业控制系统“白环境”的安全解决方案具备以下优势：

完全自主的知识产权

本次工控安全建设方案采用威努特生产的工业防火墙、工控安全监测与审计系统、工控主机卫士、统一安全管理平台均具有完全自主的知识产权，已经申请到多项发明专利，威努特公司的安全产品能够帮助关系国计民生的大型工控企业对工控网络、网络内工作站、『服务器』进行安全防护和安全加固，杜绝安全后门隐患。

安全设备的统一管理

统一安全管理平台将工控网络中的所有安全设备和系统统一集中管理，减少管理人员的工作量，降低企业人力资源的投入成本。

统一安全管理平台具有丰富的管理功能，友好的用户界面，人性化的统计报表，极大地提高企业工控安全管理的效率。

化繁为简的安全防护体系

统一安全管理平台可以通过对工控网络内全部安全产品进行集中管理、全网安全信息的可视化展示、安全设备的统一配置等功能，简化工业控制网络内网络安全的防护工作流程，提升工控安全防护工作效率。

全面体系化的方案

覆盖工业网络边界、主机、PLC及DCS工控设备、工控组态软件等全方位安全的纵深防护体系，覆盖检测、防护、响应、审计的全过程，不留安全死角。

高可靠低时延的工业级硬件平台设计

方案中所采用的工控安全防护类设备，产品的硬件平台设计遵循工控行业标准，采用无风扇设计，关键部件冗余，软硬件支持Bypass、双机热备，硬件平台达到工业三级B以上品质，能够满足工业环境下低功耗、宽温、防尘、防潮及高可靠的使用要求，支持导轨式、壁挂式、机柜式等多种安装方式。

高度适配工控系统

方案实施无需改造现有工业网络和频繁升级工控系统；无需频繁升级安全特征库；安全设备符合工控环境标准，可靠实用。

深度理解工控协议和操作行为

深度理解工控系统广泛使用的Modbus、 DNP3、IEC104、 Profinet、OPC等数十种应用通信协议，智能学习各类操作行为和参数，更好地识别攻击行为。