行業(yè)背景

近年來，在國家政策的大力扶持和業(yè)內(nèi)企業(yè)的不斷努力下，煙草行業(yè)持續(xù)良好發(fā)展勢頭，市場規(guī)模持續(xù)擴(kuò)張，經(jīng)濟(jì)效益顯著。在我國煙草行業(yè)中，卷煙生產(chǎn)主要由各卷煙廠生產(chǎn)完成。在卷煙生產(chǎn)過程中會廣泛使用到各類工業(yè)控制系統(tǒng)，國家煙草專賣局發(fā)布《YC/T 494-2014 煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》，明確了管理網(wǎng)與生產(chǎn)網(wǎng)網(wǎng)絡(luò)連接架構(gòu)、安全功能要求及性能要求。在卷煙生產(chǎn)車間中，高架庫系統(tǒng)、制絲中控、卷包集控、卷包數(shù)采、動能系統(tǒng)、物流系統(tǒng)等都采用大量的工業(yè)控制系統(tǒng)，形成了PLC環(huán)網(wǎng)、HMI環(huán)網(wǎng)等工業(yè)控制網(wǎng)絡(luò)，有強(qiáng)烈的工控安全防護(hù)需求。

解決方案

長揚(yáng)科技在煙草工業(yè)網(wǎng)絡(luò)中做到如下安全防護(hù)：

1、網(wǎng)絡(luò)邊界安全

在信息網(wǎng)服務(wù)器與控制網(wǎng)網(wǎng)絡(luò)連接處部署工業(yè)網(wǎng)閘，防止來自外部系統(tǒng)的攻擊行為，防止來自不同區(qū)域之間的越權(quán)訪問，同時防止外部病毒入侵和惡意軟件擴(kuò)散，保護(hù)控制系統(tǒng)的安全運(yùn)行。

在控制網(wǎng)服務(wù)器和工程師站與生產(chǎn)網(wǎng)系統(tǒng)間部署工業(yè)防火墻，針對網(wǎng)絡(luò)邊界采用專用的安全通道進(jìn)行安全控制防護(hù)，業(yè)務(wù)數(shù)據(jù)通過物理隔離、協(xié)議隔離、內(nèi)容隔離等措施使控制網(wǎng)絡(luò)數(shù)據(jù)及有害數(shù)據(jù)信息無法進(jìn)入生產(chǎn)網(wǎng)。

2、網(wǎng)絡(luò)流量安全

在控制網(wǎng)核心交換機(jī)處旁路部署網(wǎng)絡(luò)工業(yè)網(wǎng)絡(luò)監(jiān)測審計平臺，對生產(chǎn)網(wǎng)、控制網(wǎng)全網(wǎng)數(shù)據(jù)流量進(jìn)行協(xié)議級審計，實時監(jiān)控控制網(wǎng)絡(luò)安全，發(fā)現(xiàn)異常行為及病毒木馬。

3、統(tǒng)一安全管理

部署統(tǒng)一安全管理平臺，統(tǒng)一管控所有工控網(wǎng)絡(luò)安全設(shè)備與安全防護(hù)手段，將系統(tǒng)的工控網(wǎng)絡(luò)安全現(xiàn)狀實時、全面地進(jìn)行監(jiān)控。

4、主機(jī)安全防護(hù)

在工業(yè)控制上位機(jī)部署工控主機(jī)衛(wèi)士終端安全防護(hù)產(chǎn)品，開啟主機(jī)白名單安全防護(hù)，能使工控網(wǎng)絡(luò)中的上位機(jī)、服務(wù)器等抵御木馬、工控病毒等惡意程序的攻擊。

長揚(yáng)科技煙草行業(yè)物流自動化系統(tǒng)網(wǎng)絡(luò)安全部署示意圖如下所示：

煙草行業(yè)物流自動化系統(tǒng)網(wǎng)絡(luò)安全部署示意圖

長揚(yáng)科技煙草行業(yè)制絲集控系統(tǒng)網(wǎng)絡(luò)安全部署示意圖如下所示：

煙草行業(yè)制絲集控系統(tǒng)網(wǎng)絡(luò)安全部署示意圖