01
背景介绍
20世纪80年代初期我国卷烟企业开始引进国外先进的生产设备,全自动的进口生产线(设备)反衬出国产烟机设备在自动化水平上与国际先进水平的巨大差距。经过10多年的努力,不断采用新的自动控制技术,从继电逻辑控制,到PLC控制,再到集中监控,发展到现在的工业现场总线控制技术和智能化一体化生产管理控制系统,快速达到国际行业先进水平。
同时,烟草行业借力国家政策,为谋求自身发展、提高企业市场竞争力,大力发展信息化建设,主要体现在ERP和MES建设上。随着烟草信息化和工业化“深度融合”的加快,信息化系统与生产系统的边界被打破,原有的信息孤岛暴露在办公网甚至互联网上,为保障生产安全的相关制度和措施已经难以满足现有的网络安全形势,一旦发生网络安全事件,不仅将直接影响卷包系统生产业务的稳定运行,更可能对整个卷烟厂的业务网络造成连锁反应,带来不可估量的损失。
鉴于此,国家烟草总局密集发布了多项行业规范和自查表,如《烟草行业信息系统安全等级保护实施规范》《烟草行业网络安全等级保护管理规定》以及《烟草工业企业生产网与管理网网络互联安全规范》等,对烟草行业的网络安全建设提出了明确而具体的目标要求。这些行业规范的出台,为卷烟企业加强网络安全防护、提升整体安全防护能力提供了有力的政策支持和指导方向。
02
卷烟厂卷包车间现状
卷烟厂的卷包车间是负责将制丝车间生产好的烟丝经过卷烟和包装工序,生产为香烟成品的关键车间。该车间根据生产工序的不同,配备了包括包装机、卷烟机、成型机、封箱机等设备,以及滤棒输送机等辅助设备。卷包成型车间主要包含嘴棒成型输送、烟丝卷包、烟支输送与缓存、烟支包装质检及烟丝回收等工艺。卷包车间的工作特点是设备半自动化生产,需要人工不断加材料,工作较为繁重且噪音大。
图2-1 卷烟厂卷包车间生产网络示意
卷烟厂卷包系统逻辑层次分为:
现场控制层
由现场进行生产工作的嘴棒输送装置、卷烟机、条烟输送、高速包装机等设备完成加工工作。
图2-2 成品烟输送系统
过程监控层
卷包数采系统是对卷包车间、成型车间、质检系统以及条烟输送系统等相关设备卷包生产过程数据进行实时采集处理的关键系统,是联系卷包底层自动化控制设备和MES系统的枢纽。
卷包车间数据采集系统一般由现场数采站、数采网络、数据库服务器、数采服务器、WEB 服务器、集控终端 PC、管理终端 PC 组成。
卷包数采系统通过现场部署的 MES 数采站实时获取现场卷包系统、嘴棒成型系统、输送系统、质检及回收系统的生产相关原始数据,并通过环形数采网传输到MES系统中。同时通过卷包管理环网中的管理终端实现对卷包生产、烟丝风送和集中除尘、条烟输送和装封箱等生产、工艺、设备的控制及管理。
各工艺段主要采用SIEMENS S7系列,AB CompactLogix、ControlLogix系列等控制设备,工控主机操作系统主要采用Windows系统,应用软件主要采用SIEMENS WinCC、GE IFix、施耐德Intouch等产品。
MES(生产执行)层
数据库服务器、MES应用服务器通过以太网进行数据交换。
卷烟厂的制造执行系统(MES)在卷包业务中扮演着核心角色。该系统实时收集、分析生产现场数据,确保卷包过程的监控、调度和控制的精准性。通过与生产现场设备和上层管理系统的紧密集成,MES系统不仅提高了卷包业务的效率和稳定性,还确保了产品质量的可追溯性。实时数据的采集和分析为生产决策提供了有力支持,使卷烟厂能够更快速地响应市场需求,优化资源配置,提升整体竞争力。
企业资源层(办公网)
ERP系统在卷烟厂卷包车间中的应用至关重要。该系统能够实时监控生产进度,协调原材料采购与库存管理,确保生产流程的顺畅进行。同时,通过数据分析,优化生产调度,提高生产效率,为卷烟厂卷包车间带来显著的运营效益。
五大隐患
工业安全风险
厂级生产网与卷包系统之间、卷包系统内部卷包数采网和卷包管理网之间连通,非法攻击容易以生产网其他系统为跳板,对卷包系统网络进行攻击,从而影响卷包系统正常运行;在关键网络节点处缺少检测、防止或限制从外部发起的网络攻击行为,缺少网络病毒检测手段。
卷烟厂为了保证生产网工业应用软件的可用性,卷包系统的各类操作员站、历史站,在主机层面缺乏病毒防御及告警能力,在受到病毒入侵时无法进行阻断及及时告警。另外当应用软件面向卷包系统生产工业网络应用时,需要使用专用的工业控制网络协议及端口,因此常规的信息安全保护产品很难保障其安全性。
卷包数采、卷包管理网针对工业环境中的网络流量缺乏集中监测,无法对网络中的攻击行为、数据流量、重要操作等进行实时监测和异常告警,缺少网络安全防护手段及措施,无法对异常流量、病毒攻击、网络攻击、误操作、非法接入等安全问题进行监控及预防,运维人员因此难以第一时间了解工业生产系统的网络安全状态,一旦安全事故发生,也往往缺乏有效的事后审计手段来追溯问题根源。
勒索病毒威胁
卷烟厂的日常运营离不开敏感数据如客户信息、生产计划、销售数据等。若这些数据被勒索病毒等恶意软件加密或窃取,将对卷烟厂造成不可估量的损失。然而,在追求生产效率和系统高可用性时,部分卷烟厂却忽视了信息安全。
特别是在卷包系统中,缺乏完善的安全策略和管理流程,导致安全隐患凸显。移动存储介质的随意使用和不严格的访问控制策略成为两大风险点。这些设备可能携带病毒,而宽松的访问控制则可能导致数据泄露。
此外,操作系统配置管理问题也不容忽视。例如,勒索病毒“永恒之蓝”便利用微软系统的445端口进行攻击,而该端口因文件共享等功能需要常被开启,为恶意软件传播提供了条件。
生产网络中断
生产网络中断对卷烟厂卷包系统来说是一个极为严重的问题,其背后的原因复杂多样。首要问题聚焦于工业交换机的硬件故障,尤其是接口损坏这一顽疾,它如同血管中的血栓,直接阻断了数据传输的通道,导致网络瘫痪,生产停滞。其次,软件版本或配置问题,如Bootrom(无盘启动ROM接口)或VRP版本不匹配,同样可能引发交换机工作异常,威胁网络稳定性。
此外,环境因素亦是一大挑战。现场生产环境也会对电子元件构成严峻考验,不仅加速了它们的老化过程,还显著提升了故障发生的概率。如果未正确配置或使用冗余技术,如环网冗余和链路聚合,一旦发生设备或链路故障,网络恢复将变得缓慢,严重影响生产连续性。
最后,工业交换机还面临着广播风暴攻击和MAC欺骗等安全威胁,这些攻击可能导致交换机性能下降或网络拥堵,将进一步加剧生产网络中断的风险。
重要数据丢失
卷烟厂的重要数据分类及数据丢失的影响如下:
表 2-1
数据分类 | 重要数据示例 | 丢失影响 |
生产数据 | 产量统计:包括各型号、各批次卷烟的生产数量、合格率等。 原料使用:详细记录原料的消耗、库存、进货等信息。 生产工艺参数:如温度、湿度、压力等关键工艺参数,对卷烟品质有重要影响。 | 导致生产计划中断,影响生产效率和交货期。 无法准确评估原料使用情况,可能导致原料浪费或短缺。 |
销售数据 | 销售量:各地区、各型号卷烟的销售数量。 销售渠道:包括线上、线下销售渠道的数据。 客户关系管理:包括客户基本信息、订单记录、售后服务等。 | 失去对销售情况的准确掌握,影响销售策略的制定。 客户关系管理混乱,可能导致客户流失。 |
财务数据 | 成本核算:包括原料成本、生产成本、销售成本等。 收入与利润:详细记录各业务板块的收入和利润情况。 资金管理:包括现金流、银行存款、应收账款等。 | 严重影响企业的财务管理和决策。 可能导致税务申报错误、资金流失等问题。 |
研发数据 | 新产品配方:包括新开发的卷烟配方、添加剂比例等。 研发过程数据:如试验记录、测试数据等。 知识产权信息:如专利、商标等。 | 可能导致研发项目中断或失败,影响新产品开发进度。 知识产权信息泄露,给企业带来重大损失。 |
设备信息 | 设备运行数据:如设备运行状态、故障记录等。 设备维护记录:包括维护计划、维护过程、维护结果等。 | 无法准确了解设备运行状态,可能导致设备故障率升高。 失去对设备维护记录的跟踪,可能导致设备维护不及时、不充分。 |
运营信息分散
在卷烟厂的日常运营中,运营信息的分散性已成为一个不容忽视的严峻挑战。
首先,卷烟厂的网络架构通常相当复杂,涵盖了生产网络、办公网络、外网等多个子网,这些网络之间由于缺乏有效的隔离和防护措施,使得网络安全运营信息如同散落在不同岛屿的珍珠,难以被集中监控和管理。
与此同时,卷烟厂为确保网络安全,往往考虑部署多种安全设备,包括工业防火墙、工业安全监测与审计系统等。然而,这些安全设备可能分散在厂房的不同位置,彼此之间缺乏高效的集成和协同工作机制。这种分散部署的方式不仅增加了管理的难度,还使得网络安全运营信息难以被有效整合和利用,形成统一的安全防线。
更为关键的是,卷烟厂内部的网络设备、安全设备以及各类信息系统在运行过程中都会产生大量的日志信息。这些日志信息记录了系统的运行状态、安全事件等重要数据,对于分析潜在的安全威胁和应对网络攻击至关重要。然而,由于这些日志信息分散存储在各自的系统或设备中,缺乏一个统一的收集和分析机制,导致安全事件难以及时发现和处理,给卷烟厂的业务整体运营带来了极大的风险。因此,解决运营信息的分散性问题,构建统一的网络安全运营管理体系,已成为卷烟厂当前亟待解决的重要课题。通过加强网络架构的整合与优化、提升安全设备的集成与协同能力、建立统一的日志收集与分析机制等措施,卷烟厂将能够更有效地应对网络安全挑战,保障生产运营的平稳进行。
03
安全建设方案:构建安全网络“365”体系
根据当前的安全网络现状并结合工控系统运行环境相对稳定、系统更新频率较低的特点,按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中的第三级安全要求,参照《烟草行业信息系统安全等级保护实施规范》《烟草行业网络安全等级保护管理规定》《烟草工业企业生产网与管理网网络互联安全规范》《烟草行业网络安全重点工作落实情况自查自评项目表》等行业规范和自查表相关要求,威努特提出基于“白名单”机制的“白环境”解决方案,形成“三重防护、六个过程、五大能力”的防护体系,提升卷烟厂生产系统整体安全防护能力,切实满足等级保护“一个中心,三重防护”合规建设要求。
图3-1 威努特安全网络“365”体系示意
其中,三重防护是等级保护2.0安全防护体系的基础,共同构成了信息系统的安全防线;六个过程是实现动态安全防护的关键环节,贯穿于安全防护的全生命周期,确保系统能够及时发现并应对安全威胁;五大能力是提升安全防护水平的重要手段,针对不同类型的安全威胁和场景,提供了专门的安全防护措施和解决方案。三者之间相辅相成,共同构成了等级保护2.0的全方位安全防护体系。
将卷包系统网络从分区分域设计、安全分域边界防护、安全通信网络防护、安全计算环境防护、安全管理中心建设规划以及工业安全态势感知平台建设等方面给出详细设计规划,部署情况如下图:
图3-2 卷烟厂卷包车间安全网络建设示意
Part.1
三重防护
网络架构防护
卷包车间内部生产,分别划分出办公网区域、外网区域、生产网-生产管理区域、生产网-生产过程监控区域、安全管理中心区域、卷包数采网区域、卷包管理网区域,采用威努特工业交换机组建环网,更适用卷包车间生产现场高可靠性要求。
图3-3 卷烟厂卷包车间网络区域划分示意
区域边界防护
合理划分安全区域后,在形成的新边界基础上,按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全区域边界防护要求,从边界防护、访问控制、入侵防范、恶意代码防范、安全审计等方面开展整体安全区域边界防护规划设计。
通过工业防火墙、工业互联防火墙、工业安全隔离与交换系统,来分别实现工业现场指令深度解析的白名单防护、IT与OT融合的业务网络防护、协议剥离的“物理隔离”防护,完善网络层面的访问控制及安全防护。
通过工业监测与审计、入侵检测、高级威胁检测系统,来分别实现工业现场指令识别、已知恶意代码检测、未知恶意代码检测,完善网络层面的恶意代码攻击检测及安全审计。
图3-4 威努特安全产品
计算环境防护
按照GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》安全计算环境防护要求,解决工控主机在身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范等方面的防护需求。
通过在工控主机中部署威努特工控主机卫士,实现对计算环境的安全防护,同时解决传统防病毒软件不适用于工控现场,导致工控主机运行缓慢、无法升级病毒库、关键配置文件及授权文件等被误杀的问题。
图3-5 威努特工业主机卫士
Part.2
六个过程
识别阶段
过程内容:在烟草卷包生产系统中,识别阶段的主要任务是全面识别系统内的所有网络资产,包括硬件设备、软件应用、数据资源等,并进行漏洞风险扫描和安全配置检查。
实施措施:
利用网络资产识别工具,对烟草卷包生产系统的网络资产进行全面盘点,确保无遗漏。
采用先进的漏洞扫描技术,对识别出的资产进行漏洞扫描,发现潜在的安全隐患。
对系统的安全配置进行细致检查,确保各项配置符合安全标准和行业要求。
图3-6 威努特工业漏洞扫描系统
实施效果:通过识别阶段的工作,我们能够清晰地掌握烟草卷包生产系统的网络资产状况,及时发现并修复漏洞,提高系统的安全性。
评估阶段
过程内容:评估阶段主要是对烟草卷包生产系统的安全风险进行评估,包括安全风险评估、等保差距评估和行业标准评估。
实施措施:
采用科学的风险评估方法,对系统的安全风险进行全面评估,确定风险等级。
对比国家等级保护要求,找出系统与等级保护要求的差距,明确改进方向。
参照行业标准和最佳实践,对系统的安全性进行客观评价,提出改进建议。
实施效果:通过评估阶段的工作,我们能够准确评估烟草卷包生产系统的安全风险,为后续的保护工作提供有力支持。
保护阶段
过程内容:保护阶段的主要任务是加强烟草卷包生产系统的安全防护能力,包括部署安全设备、优化安全策略、加固安全配置等。
实施措施:
根据评估结果,部署合适的安全设备,如工业防火墙、入侵检测系统、工业主机安全卫士系统等。
对现有的安全策略进行优化,确保策略的有效性和针对性。
对系统的安全配置进行加固,消除安全隐患,提高系统的整体安全性。
图3-7 威努特工业主机安全加固
实施效果:通过保护阶段的工作,我们能够显著提升烟草卷包生产系统的安全防护能力,有效抵御外部攻击和内部威胁。
检测阶段
过程内容:检测阶段主要是对烟草卷包生产系统的网络活动进行实时监测,包括网络设备巡检、网络流量检测和终端安全检测。
实施措施:
建立完善的网络设备巡检制度,定期对网络设备进行巡检和维护。
利用网络流量监测工具(工业监测与审计系统),实时监测网络流量,发现异常流量及时报警。
对终端设备进行安全检测,及时发现并处理终端上的安全隐患。
图3-8 威努特工业监测与审计系统
实施效果:通过检测阶段的工作,我们能够及时发现并处理烟草卷包生产系统中的安全隐患,确保系统的稳定运行。
预警阶段
过程内容:预警阶段的主要任务是建立有效的预警机制,对烟草卷包生产系统的资产安全、网络攻击和运行状态进行预警。
实施措施:
建立资产安全预警机制,对资产的异常变化进行实时监测和预警。
部署网络攻击预警机制,及时发现并预警网络攻击行为。
建立运行状态预警机制,对系统的运行状态进行实时监测和预警。
图3-9 威努特态势感知-资产态势大屏
图3-10 威努特态势感知-网络攻击态势大屏
图3-11 威努特态势感知-运行态势大屏
实施效果:通过预警阶段的工作,我们能够提前发现并应对烟草卷包生产系统中的潜在风险,避免安全事故的发生。
响应/恢复阶段
过程内容:响应/恢复阶段的主要任务是在安全事件发生后,迅速进行处置和恢复工作,包括安全事件处置、网络设备恢复和备份数据恢复。
实施措施:
制定完善的安全事件应急预案,明确应急响应流程和责任分工。
在安全事件发生后,立即启动应急预案,进行快速处置和恢复工作。
对受损的网络设备进行修复或更换,确保网络设备的正常运行。
利用备份数据恢复系统,确保业务的连续性。
实施效果:通过响应/恢复阶段的工作,我们能够及时有效地应对烟草卷包生产系统中的安全事件,确保系统的稳定运行和业务的连续性。
表3-1 动态安全防护的6个过程
过程阶段 | 过程内容 |
识别 | 内网资产识别 漏洞风险扫描 安全配置检查 |
评估 | 安全风险评估 等保差距评估 行业标准评估 |
保护 | 安全设备防护 安全策略优化 安全配置加固 |
检测 | 网络设备巡检 网络流量检测 终端安全检测 |
预警 | 资产安全预警 网络攻击预警 运行状态预警 |
响应/恢复 | 安全事件处置 网络设备恢复 备份数据恢复 |
Part.3
五大能力
工控防护能力
强化的网络隔离与访问控制:卷烟厂已实施高性能的安全设备和策略,确保生产网与卷包系统等关键网络得到有效隔离,并严格控制网络访问权限,从而大大降低了非法访问的风险。
先进的网络监控与检测:通过部署入侵检测系统和工业安全监测与审计系统等设备,卷烟厂能够实时监测卷包车间网络流量和异常行为,快速响应潜在的安全威胁。
增强的主机防御能力:通过在卷烟厂主机层面安装工控主机卫士软件,有效增强主机的病毒防御、外设管控等能力,确保主机安全稳定运行。
加固的专用工业控制网络协议:经过深度分析和加固,卷烟厂使用的专用工业控制网络协议将具备更高的安全性,能够确保数据传输的机密性、完整性和可用性。
集中的监测与防护体系:建立统一的网络安全管理平台,实现对网络流量、攻击行为等集中监测和防护,确保整个卷烟厂卷包系统的安全稳定运行。
勒索专防能力
主机防勒索系统具备的检测、防护、恢复能力,对勒索Cyber-Kill-Chain完整覆盖,检测、防护、恢复能力形成多层次纵深防御能力,事前保护系统业务和业务数据、事中发现勒索软件并阻断、事后基于备份数据恢复业务,多层次技术手段的综合应用,具备强大的勒索软件防范能力。
图3-12 勒索病毒防护三大步骤
基于指令类型以及指令来源(跨进程/跨地址空间访问)进行识别,判断进程相关消息退出、远程线程创建、进程终止等指令是否合法,针对勒索软件非法的进程终止行为进行拦截,保持工业组态软件的持续运行,保持工业组态软件应用数据的持续占用,确保工业组态数据如数据库、工程文件无法被加密,保障工业现场生产系统的稳定性和控制的连续性。
图3-13 进程防护示意
网络自愈能力
威努特管理型工业交换机均支持通用的STP/RSTP/ERPS等冗余协议,确保网络组网设计的高可靠性。
同时威努特管理型工业交换机还支持基于IEC 62439-2的高可靠性冗余协议,充分保障网络搭建的可靠性。
图3-14 工业交换机环网示意
对于卷包生产线对收敛速度要求高的场景,ERPS通过有选择性的阻塞网络冗余链路,防止网络形成广播风暴和MAC地址表不稳定等现象,并且可以达到毫秒级的链路恢复水平,从而有效保证用户通信质量。
备份恢复能力
在卷烟厂中,数据备份系统设计为多数据库的复杂环境,以实现企业电子数据安全管理的统一化、自动化。卷包系统采用D2D2T(Disk->Disk->Tape)解决方案,这种方案不仅支持磁盘的随机存取和顺序存取,还改善了备份和恢复操作的性能。使用基于磁盘的备份恢复时,备份速度可提高3倍,恢复速度则可提高8倍。
1. 威努特CDP不需要植入I/O内核驱动,不影响业务系统稳定性
部署时不需要重启业务服务器;
没有业务服务器蓝屏,死机的风险;
不会与业务服务器上部署的防病毒,安全软件冲突。
图3-15 CDP备份技术示意
2. 支持CDP实时保护至对象存储
支持离线介质,防止病毒及勒索软件对数据的破坏;
满足数据长期归档的合规要求。
3. 国产化全系列兼容
支持飞腾、鲲鹏、申威、龙芯等国产化平台;
支持通用X86架构下的AMD、Intel。
全局运营能力
采集网络中多种设备的安全日志,将资产、漏洞、不合规项、运行状态、安全威胁等各类数据进行多维关联分析,综合判定系统安全风险,帮助卷烟厂安全责任人快速宏观地了解卷烟厂的整体安全态势。
图3-16 全局运营态势示意
同时实现对工控网络中的安全设备、网络设备和主机系统等各类资产的统一管理,实时监视网络和资产的运行状态、健康状态和安全状态,以图形化的形式集中展示出来。另外,支持工单管理、值班管理,将日常运维工作通过自动化手段管理起来,做到有据可循、有据可查,极大地减少管理人员的运营工作量,提高了全局运营效率。
04
小 结
本文概述了我国卷烟企业在信息化和工业化深度融合过程中,所面临的网络安全挑战及其应对策略。随着技术的快速进步,卷烟企业已实现了从继电逻辑控制到智能化一体化生产管理控制系统的跨越式发展,但在提升生产效率的同时,网络安全风险也日益凸显。特别是卷包车间作为生产核心,其网络安全问题不容忽视。针对工业安全风险、勒索病毒威胁、生产网络中断、重要数据丢失、运营信息分散等五大隐患,卷烟企业需构建威努特安全网络“365”体系,通过实时监测、异常告警、安全防护等手段,确保生产网络的稳定性和数据的安全性,实现卷烟生产的安全、高效和可持续发展,为烟草行业的网络安全提供坚实保障。
如有侵权请联系:admin#unsafe.sh