1、行業安全現狀:
煙草公司整體業務流程核心為物流配送,客戶可通過網站訂購,手機網頁與電話等多種形式向煙草公司訂貨,煙草公司將這部分數據信息經各服務器處理后傳至各個服務器,并下發給倉儲系統和分揀系統,分揀系統PLC運行,將煙草分揀并打包,由此可見工控網絡安全將會影響整個物流的正常運作,目前控制系統存在以下安全隱患:
1)整個物流網絡中未進行明確的分域分級管理,整個網絡區域邊界不明確,缺乏必要的網絡隔離防護手段,導致物流網極易遭到管理網的病毒攻擊和入侵。
2)網絡邊界防護措施薄弱,管理區網絡與生產區網絡未對數據交換進行安全控制,給生產網增加了風險。
3)缺乏有效的網絡監控和日志審計。當前煙草的工業控制系統中幾乎沒有考慮到應有的網絡狀態監控和操作日志行為審計需求。在日志安全方面,大部分服務器在日志審計方面都沒有比較完善的保障機制。
2、解決方案:
煙草公司物流工控系統面臨各種安全風險,僅僅采用被動防御和修補是不可靠的,需要的是整體解決方案,針對煙草物流工控系統的特點,需要從以下幾個方面來解決安全問題:
1)威脅管理:部署威脅管理平臺,對煙草物流工業控制系統進行風險評估,漏洞分析,安全性分析以便正確、及時的了解目前系統的安全現狀,方便根據實際情況有計劃有步驟的完成風險評估以及后續安全數據收集分析工作。
2)互聯接口安全功能設計:在管理區網絡與生產區網絡之間部署IAD智能保護平臺,滿足互聯接口的安全功能特性,包括身份鑒別、訪問控制、網絡互聯控制、惡意行為防范、安全審計等。
3)安全審計設計:在生產執行層和分揀系統之間部署監測審計平臺,對網絡系統中的網絡設備運行狀況、網絡流量、用戶行為等進行日志記錄;
4)入侵防范設計:在生產執行層邊界處部署監測審計平臺,監視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區溢出攻擊等,當檢測到嚴重入侵事件時提供報警。
5)惡意代碼防范設計: 在分揀系統邊界以及分揀系統內部部署IAD智能保護產品,啟用惡意代碼檢測及阻斷功能。
3、業務價值:
針對煙草物流工控網絡系統各層級可能存在的威脅進行評估,以便正確、及時的了解目前工控系統的安全現狀,為后期進行整改、修補工作提供依據,以使工控系統更安全、穩定的運行。