CN114465800A - 烟草行业工控网络安全防护架构和网络安全防护方法 - Google Patents
烟草行业工控网络安全防护架构和网络安全防护方法 Download PDFInfo
- Publication number
- CN114465800A CN114465800A CN202210126591.1A CN202210126591A CN114465800A CN 114465800 A CN114465800 A CN 114465800A CN 202210126591 A CN202210126591 A CN 202210126591A CN 114465800 A CN114465800 A CN 114465800A
- Authority
- CN
- China
- Prior art keywords
- network
- subsystem
- control
- industrial control
- industrial
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了烟草行业工控网络安全防护架构和网络安全防护方法,其包括:企业管理层系统,包括相互连接后端数据子系统和前端办公子系统,组成企业管理层网络;生产管理层系统,包括相互连接的生产管理子系统和生产管理网络安全子系统,组成生产管理层网络;过程监控层系统,包括相互连接的设备控制子系统、过程监控子系统和过程监控网络安全子系统,组成过程监控层网络;现场控制层系统,包括相互连接的现场控制子系统和现场控制网络安全子系统,组成现场控制层网络;企业管理层网络、生产管理层网络、过程监控层网络和现场控制层网络依次连接。本发明具有降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行的效果。
Description
技术领域
本发明涉及工控安全的领域,尤其是涉及一种烟草行业工控网络安全防护架构和网络安全防护方法。
背景技术
烟草行业随着科技的发展而逐渐朝着“智能工厂”迈进。烟草行业的生产流程通过工业系统完成,其主要工业系统可以分为制丝、卷包、动能、物流等系统。
相关技术中,烟草行业的工业系统网络多采用工业环网或树形网络进行互联,利用工业控制系统实现自动化生产。而且各企业工业控制系统均需与生产过程执行管理系统(MES 系统)及生产经营决策管理系统(烟草行业“一号工程”)进行数据交换。这为原本封闭的工业控制网络带来了更大的安全挑战。
针对上述相关技术,发明人认为上述的烟草行业工控系统从烟草公司的企业管理层到生产管理层,再到负责车间生产管控的过程监控层,最后到连通阀门、配电控制器的现场控制层,均存在较大的网络安全风险,造成了不易于保障烟草工控系统正常运行的缺陷。
发明内容
为了降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行, 本申请公开了一种烟草行业工控网络安全防护架构和网络安全防护方法。
第一方面,本申请公开一种烟草行业工控网络安全防护架构,采用如下的技术方案:
一种烟草行业工控网络安全防护架构,包括:
企业管理层系统,包括后端数据子系统和前端办公子系统,所述后端数据子系统与前端办公子系统通过网络连接,组成企业管理层网络,所述后端数据子系统用于处理并存储企业管理数据和网页管理数据,所述前端办公子系统为管理者提供办公平台,用于提供预设的企业管理程序和网页管理程序;
生产管理层系统,包括生产管理子系统和生产管理网络安全子系统,所述生产管理子系统和生产管理网络安全子系统通过网络相互连接,组成生产管理层网络,所述生产管理子系统用于根据企业管理层系统的数据信息进行生产管理,所述生产管理子系统通过生产管理网络安全子系统采用网络隔离技术与企业管理层网络连接,所述生产管理网络安全子系统用于根据企业管理层系统与生产管理层系统之间的信息交换为操作员提供信息安全日志、审计信息和分析预警信息;
过程监控层系统,包括设备控制子系统、过程监控子系统和过程监控网络安全子系统,所述设备控制子系统、过程监控子系统和过程监控网络安全子系统通过网络相互连接,组成过程监控层网络,所述设备控制子系统通过过程监控层网络与生产管理层网络连接,且用于根据生产管理层系统的数据信息进行现场设备控制,所述过程监控子系统用于采集并监控来自现场控制层系统的现场设备信息,所述过程监控网络安全子系统用于为设备控制子系统与生产管理子系统、生产管理网络安全子系统之间的连接、设备控制子系统与过程监控子系统之间的连接提供网络防护;
现场控制层系统,包括现场控制子系统和现场控制网络安全子系统,所述现场控制子系统与设备控制子系统连接,组成现场控制层网络,用于根据设备控制子系统的数据信息对应地控制现场设备,所述现场控制网络安全子系统与现场控制子系统连接,用于提供信息安全日志。
通过采用上述技术方案,综合防御策略贯穿于该架构中,实现分级、分防线策略,将安全嵌入到应用中,将风险值降到最低,从而降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行。
可选的,所述生产管理网络安全子系统包括第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备,所述第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备通过接入生产管理层网络实现与生产管理子系统的相互连接,所述工控隔离交换设备与企业管理层系统连接,用于实现网络隔离。
通过采用上述技术方案,防御理念先进,可实现多层次、多维度、多防线的纵深防御;可实现由基础数据、基础传感器和基层安全设备分层构建的态势感知,反应灵敏、迅速真实;将风控管理、安全大数据分析挖掘、安全预警应急、安全检测、安全运维、安全管理等服务贯彻于始终;对烟草行业和其他行业中工控安全防护具有重大指导意义;符合与 IOT(物联网)融合发展的大趋势。
可选的,所述过程监控网络安全子系统包括工业防火墙、第一工控入侵检测设备、第一工控网络监测审计设备、第二工控网络监测审计设备、第二工控入侵检测设备和工控漏洞扫描设备,所述生产管理层网络与过程监控层网络之间、设备控制子系统与过程监控子系统之间均设置工业防火墙,所述第一工控入侵检测设备、第一工控网络监测审计设备、工控漏洞扫描设备均接入过程监控层网络以实现与设备控制子系统、过程监控子系统的连接,所述第二工控入侵检测设备和第二工控网络监测审计设备连接于设备控制子系统与现场控制子系统之间。
通过采用上述技术方案,有利于多方位保护过程监控网络层,进而提高架构整体的安全性。
可选的,所述现场控制网络安全子系统包括第二工业信息安全日志平台,所述第二工业信息安全日志平台与现场控制子系统连接。
通过采用上述技术方案,第二工业信息安全日志平台的设置有利于记录并查询现场控制层网络中的网络访问日志、数据库访问日志、设备告警日志和运维操作日志。
可选的,所述设备控制子系统包括第一控制站、第二控制站、第三控制站和第四控制站,所述第一控制站、第二控制站、第三控制站和第四控制站均通过对应的工业防火墙接入过程监控层网络实现与过程监控子系统连接;
所述现场控制子系统包括制丝集控站、卷包数采站、动力能管站和物流系统站,所述第一控制站与制丝集控站连接,所述第二控制站与卷包数采站连接,所述第三控制站与动力能管站连接,所述第四控制站与物流系统站连接,所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控入侵检测设备连接,所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控网络监测审计设备连接;
所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工业信息安全日志平台连接;
所述生产管理子系统、过程监控子系统、第一控制站、第二控制站、第三控制站和第四控制站均安装有工控主机加固程序,所述工控主机加固程序用于对各种不安全因素进行主动防御且对数据的完整性进行保护。
通过采用上述技术方案,按照安全域将需划分为多个子域的形式,为了保障各个安全域的安全访问,解决方案中将在不同安全域之间根据其需求部署工控安全防火墙,对数据访问根据网络协议、工控协议进行访问控制,从而达到基于工控协议的网络安全防护目的。
第二方面,本申请公开一种烟草行业工控网络安全防护方法,采用如下的技术方案:
一种烟草行业工控网络安全防护方法,包括:
根据对应卷烟厂的生产规模,结合烟草行业工控网络安全防护架构,设计属于对应卷烟厂的工控网络安全防护架构;
搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护。
通过采用上述技术方案,对应卷烟厂的工控网络安全防护架构更适用于对应的卷烟厂,提高了适配性,且综合防御策略贯穿于该架构中,实现分级、分防线策略,将安全嵌入到应用中,将风险值降到最低,从而降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行。
可选的,所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,包括:
在生产管理层网络出口处部署工控隔离交换设备,在保证大数据吞吐、低延迟的基础上,将网络协议中的 TCP/IP 协议进行剥离,阻断非法数据的传输;
从应用层协议中识别出工业协议,进行管控;
在生产管理层网络中部署工控运维审计设备;
利用工控运维审计设备,将运维操作的人员与设备以及操作命令进行权限分配、审计和审核;
在生产管理层网络中部署工业监测分析预警平台;
利用工业监测分析预警平台收集来自于整个工控生产网络的各个层级的安全数据;
基于安全数据,通过大数据收集分析形成安全基线;
对安全基线进行实时监测,当安全威胁造成数据异常,立刻触发告警;
根据告警内容,生成可视化展现信息。
通过采用上述技术方案,有利于作为在企业管理层网络与烟草生产网络之间的网络离技术手段,从而有利于防御威胁代码藏匿在网络协议中进行攻击,工控运维审计设备的设置有利于达到安全运维的目的,工业监测分析预警平台的设置有利于分析并判断安全威胁的风险,帮助管理人员进行快速判断,从而降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行。
可选的,所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,还包括:
在过程监控层网络的不同安全域之间均部署对应的工业防火墙;
利用工业防火墙,对数据访问根据网络协议、工控协议进行访问控制;
在网络汇聚点和交换点均部署基于工业协议识别的工控入侵检测设备;
利用工控入侵检测设备,检测来自于网络、运维、U盘的安全威胁;
在过程监控层网络中部署工控漏洞扫描设备;
利用工控漏洞扫描设备,对整个工控网络安全防护架构进行网络空间安全测绘。
通过采用上述技术方案,工业防火墙的设置有利于实现基于工控协议的网络安全防护,工控入侵检测设备的设置有利于及时发现恶意代码,工控漏洞扫描设备的设置有利于达到安全的全面管控,也为分析平台提供基础数据,从而降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行。
可选的,所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,还包括:
在生产管理层网络和过程监控层网络部署对应的工控网络监测审计设备和工业信息安全日志平台;
在现场控制层网络部署对应的工业信息安全日志平台;
收集并分析工业控制中的数据。
通过采用上述技术方案,有利于快速且便捷地收集并分析工业控制中的各类数据,从而降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行。
可选的,所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,还包括:
对生产管理层网络、过程监控层网络和现场控制层网络中的主机、服务器均部署工控主机加固程序;
利用工控主机加固程序,对应用程序和外设接口设置白名单程序。
通过采用上述技术方案,有利于防止任何未经授权的程序和存储在操作系统中运行,从而达到以“白名单”方式防护工控主机安全。
附图说明
图1是本申请实施例中一种烟草行业工控网络安全防护架构的连接结构示意图。
图2是本申请实施例中一种烟草行业工控网络安全防护方法的方法流程图。
具体实施方式
以下结合附图1-2对本申请作进一步详细说明。
在国家烟草总局有关“智能工厂”建设的背景下,本申请可以为用户解决在“智能工厂”建设中的工业控制系统互联互通所带来的安全问题,本申请可广泛应用在烟草行业中的各个生产企业。
从烟草行业来看,其主要生产系统可以分为制丝、卷包、动能、物流等系统,其系统网络多采用工业环网或树形网络进行互联,利用工业控制系统实现自动化生产。由于烟草行业生产管控和高效生产的需求,各企业工业控制系统均需与 MES 系统(生产过程执行管理系统)及烟草行业“一号工程”(生产经营决策管理系统)进行数据交换。这就给原本封闭的工业控制网络带来了更大的安全挑战。
本申请旨在为烟草行业工业控制系统,包含制丝控制系统、卷包控制系统、物流控制系统、动能控制系统,提供全生命周期工控网络安全建设。从烟草公司的企业管理层到生产管理层,再到负责车间生产管控的过程监控层,最后到连通阀门、配电控制器的现场控制层。均建立一套多维度、大纵深的网络安全立体防护、监控、预警分析系统,从而充分保障其生产的正常运行。
参照图1,本申请公开一种烟草行业工控网络安全防护架构。
一种烟草行业工控网络安全防护架构,包括:
企业管理层系统,包括后端数据子系统和前端办公子系统,后端数据子系统与前端办公子系统通过网络连接,组成企业管理层网络,后端数据子系统用于处理并存储企业管理数据和网页管理数据,前端办公子系统为管理者提供办公平台,用于提供预设的企业管理程序和网页管理程序;
生产管理层系统,包括生产管理子系统和生产管理网络安全子系统,生产管理子系统和生产管理网络安全子系统通过网络相互连接,组成生产管理层网络,生产管理子系统用于根据企业管理层系统的数据信息进行生产管理,生产管理子系统通过生产管理网络安全子系统采用网络隔离技术与企业管理层网络连接,生产管理网络安全子系统用于根据企业管理层系统与生产管理层系统之间的信息交换为操作员提供信息安全日志、审计信息和分析预警信息;
过程监控层系统,包括设备控制子系统、过程监控子系统和过程监控网络安全子系统,设备控制子系统、过程监控子系统和过程监控网络安全子系统通过网络相互连接,组成过程监控层网络,设备控制子系统通过过程监控层网络与生产管理层网络连接,且用于根据生产管理层系统的数据信息进行现场设备控制,过程监控子系统用于采集并监控来自现场控制层系统的现场设备信息,过程监控网络安全子系统用于为设备控制子系统与生产管理子系统、生产管理网络安全子系统之间的连接、设备控制子系统与过程监控子系统之间的连接提供网络防护;
现场控制层系统,包括现场控制子系统和现场控制网络安全子系统,现场控制子系统与设备控制子系统连接,组成现场控制层网络,用于根据设备控制子系统的数据信息对应地控制现场设备,现场控制网络安全子系统与现场控制子系统连接,用于提供信息安全日志。
具体的,企业管理层网络中的生产管理子系统包括ERP服务器(企业资源计划服务器)、数据库服务器、WEB服务器(网站服务器)和若干办公电脑,ERP服务器、数据库服务器、WEB服务器和办公电脑均通过互联网相互连接,以形成企业管理层网络。
生产管理网络安全子系统包括第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备,第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备通过接入生产管理层网络实现与生产管理子系统的相互连接,工控隔离交换设备与企业管理层系统连接,用于实现网络隔离。
生产管理子系统包括MES应用服务器(制造执行系统服务器)、OPC服务器(工业标准服务器)、数据库服务器、容错服务器、WEB服务器、工程师站和操作员站。MES应用服务器、OPC服务器、数据库服务器、容错服务器、WEB服务器、工程师站和操作员站均接入生产管理层网络中。
过程监控网络安全子系统包括工业防火墙、第一工控入侵检测设备、第一工控网络监测审计设备、第二工控网络监测审计设备、第二工控入侵检测设备和工控漏洞扫描设备,生产管理层网络与过程监控层网络之间、设备控制子系统与过程监控子系统之间均设置工业防火墙,第一工控入侵检测设备、第一工控网络监测审计设备、工控漏洞扫描设备均接入过程监控层网络以实现与设备控制子系统、过程监控子系统的连接,第二工控入侵检测设备和第二工控网络监测审计设备连接于设备控制子系统与现场控制子系统之间。
过程监控子系统包括WEB服务器、OPC服务器、实时DB服务器(实时数据库服务器)、管理应用服务器、文件服务器、SCADA服务器、工程师站和操作员站均通过同一个工业防火墙接入过程监控层网络中。设备控制子系统包括均接入过程监控层网络中的工程师站和操作员站。
现场控制网络安全子系统包括第二工业信息安全日志平台,第二工业信息安全日志平台与现场控制子系统连接。
设备控制子系统具体分为第一控制站、第二控制站、第三控制站和第四控制站,控制站均由若干工程师站和操作员站组成。第一控制站、第二控制站、第三控制站和第四控制站均通过对应的工业防火墙接入过程监控层网络实现与过程监控子系统连接。
现场控制子系统包括制丝集控站、卷包数采站、动力能管站和物流系统站,第一控制站与制丝集控站连接,第二控制站与卷包数采站连接,第三控制站与动力能管站连接,第四控制站与物流系统站连接,制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控入侵检测设备连接,制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控网络监测审计设备连接。制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工业信息安全日志平台连接。
制丝集控站、卷包数采站和动力能管站均与PLC(可编程逻辑控制器)、HMI(人机界面主机)、操作员站连接。物流系统站与PLC、出入库计算机、调度管理计算机连接,且物流系统站记录运输车的使用记录。
生产管理子系统、过程监控子系统、第一控制站、第二控制站、第三控制站、第四控制站、制丝集控站、卷包数采站、动力能管站和物流系统站的主机、服务器均安装有工控主机加固程序,工控主机加固程序用于对各种不安全因素进行主动防御且对数据的完整性进行保护。
需要注意的是,在本申请实施例中硬件方面均与龙芯、飞腾、华为鲲鹏及 X86 平台实现适配兼容。在软件方面,可以是但不限于国产凝思、银河麒麟 V10 的操作系统。从而适配国产 CPU、国产操作系统和国产应用软件,实现完全国产化。烟草行业工控安全防护架构中的硬件均能与目前国内主流工业控制现场上位机操作系统兼容,完成飞腾和麒麟操作系统工控上位机的适配兼容。
第一工业信息安全日志平台的型号可以是但不限于:SZHA-JGPT。工控运维审计设备的型号可以是但不限于:SZHA-YWSJ。工控监测分析预警平台的型号可以是但不限于:SZHA-JFYPT。工控隔离交换设备的型号可以是但不限于:SZHA-FERRY。工业防火墙的型号可以是但不限于:SZHA-ICFW和PA-200等。第一工控入侵检测设备的型号可以是但不限于:SZHA-IDS。第一工控网络监测审计设备的型号可以是但不限于:SZHA-IDBA。第二工控网络监测审计设备的型号可以是但不限于:SZHA-IDBA。第二工控入侵检测设备的型号可以是但不限于:SZHA-IDS。工控漏洞扫描设备的型号可以是但不限于:SZHA-IVS。第二工业信息安全日志平台的型号可以是但不限于:SZHA-JGPT。
为了适应多种特殊应用场景,可以是但不限于采用分布式探头和网络数据分流技术,从而解决工控安全行业中安全探头难于通过 OPC服务器以及难于深入现场一线的问题。使得本实施例中的工控网络安全防护架构更加贴合行业实际,无需改造现有工业网络和频繁升级工控系统;无需频繁升级安全特征库;安全设备符合工控环境标准,可靠实用。
更重要的是,本申请的示范意义在于:防御理念先进,可实现多层次、多维度、多防线的纵深防御;可实现由基础数据、基础传感器和基层安全设备分层构建的态势感知,反应灵敏、迅速真实;将风控管理、安全大数据分析挖掘、安全预警应急、安全检测、安全运维、安全管理等服务贯彻于始终;对烟草行业和其他行业中工控安全防护具有重大指导意义;符合与 IOT (物联网)融合发展的大趋势。
在经济效益方面,由于工业控制系统具有极其广阔的应用空间,从全球工控安全市场规模来说可能是万亿级以上,并将代表工业 4.0 的发展基础能力建设。仅从中国烟草行业可能存在的市场推演,预计其市场规模就有 10 亿元以上。但从另一个方面来看,由于国内烟草生产企业普遍自动化程度较高,一旦出现网络安全事件,造成的生产停产,仅日均经济损失就数千万元。所以烟草行业工控网络安全防护架构是尤其重要的。
在社会效益方面,我国烟草行业是国家税收的重要来源,每年烟草利税高达万亿。保障烟草企业的正常生产并不仅仅关乎烟草企业自身的利益,更是与国家方方面面的建设息息相关。因此,从社会效益来看,保障烟草生产系统的网络安全,更是一项利国利民的重要事业。
参照图2,本申请实施例还公开一种烟草行业工控网络安全防护方法。
一种烟草行业工控网络安全防护方法,包括:
S1,根据对应卷烟厂的生产规模,结合烟草行业工控网络安全防护架构,设计属于对应卷烟厂的工控网络安全防护架构。
具体的,卷烟厂的生产规模包括年卷烟生产能力信息和生产工艺流程信息,信息可由现场勘探获得或由卷烟厂的管理者提供,例如:年卷烟生产能力信息为200万箱,生产工艺流程信息为制丝集控、卷包数采、动力能管和物流系统。在设计属于对应卷烟厂的工控网络安全防护架构中,根据卷烟厂的生产规模,减少或增设各个网络层内的工程师站、操作员站的数量。
S2,搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护。
具体的,搭建好具有各个网络层的工控系统,再将各个网络层应有的网络安全防护系统接入;在生产管理层网络出口处部署工控隔离交换设备,在保证大数据吞吐、低延迟的基础上,将网络协议中的 TCP/IP 协议进行剥离,阻断非法数据的传输;从应用层协议中识别出工业协议,进行管控;在生产管理层网络中部署工控运维审计设备;利用工控运维审计设备,将运维操作的人员与设备以及操作命令进行权限分配、审计和审核;在生产管理层网络中部署工业监测分析预警平台;利用工业监测分析预警平台收集来自于整个工控生产网络的各个层级的安全数据;基于安全数据,通过大数据收集分析形成安全基线;对安全基线进行实时监测,当安全威胁造成数据异常,立刻触发告警;根据告警内容,生成可视化展现信息。
为了进一步提高安全性,S2还包括:在过程监控层网络的不同安全域之间均部署对应的工业防火墙;利用工业防火墙,对数据访问根据网络协议、工控协议进行访问控制;在网络汇聚点和交换点均部署基于工业协议识别的工控入侵检测设备;利用工控入侵检测设备,检测来自于网络、运维、U盘的安全威胁;在过程监控层网络中部署工控漏洞扫描设备;利用工控漏洞扫描设备,对整个工控网络安全防护架构进行网络空间安全测绘。
为了便于分析数据并查找异常数据,S2还包括:在生产管理层网络和过程监控层网络部署对应的工控网络监测审计设备和工业信息安全日志平台;在现场控制层网络部署对应的工业信息安全日志平台;收集并分析工业控制中的数据。
为了降低工控主机的安全风险,S2还包括:对生产管理层网络、过程监控层网络和现场控制层网络中的主机、服务器均部署工控主机加固程序;利用工控主机加固程序,对应用程序和外设接口设置白名单程序。
为了提高系统的效率和稳定性,在S2之后还包括:S3,根据对应卷烟厂的工控网络安全防护架构,构建BIM模型,并基于BIM模型监管对应卷烟厂的工控网络安全防护架构。
具体的,利用数据量级较小、轻量化的BIM平台进行构建BIM模型,例如:Autodeskforge、大象云、modelo和广联达BIMFACE,将对应卷烟厂的工控网络安全防护架构中各个设备的外形数据、温度数据和功耗数据录入BIM平台中,完成BIM模型搭建。外形数据、温度数据和功耗数据实时更新。记录BIM模型中工控网络安全防护架构每天的总功耗数据;为BIM模型中整体功耗数据高于预设值的日期添加标记,预设值由管理员设置,此处不作限定。以前一个月的每天的总功耗数据作为参照数据,基于携带有标记的日期,生成预测信息;在每个月的第一天将预测信息发送至管理员的PC端或移动终端,用于提示管理员在预测信息中的日期之前对工控网络安全防护架构进行检查,以免在功耗较高的日期内出现故障。
综上所述,有利于作为在企业管理层网络与烟草生产网络之间的网络离技术手段,从而有利于防御威胁代码藏匿在网络协议中进行攻击,工控运维审计设备的设置有利于达到安全运维的目的,工业监测分析预警平台的设置有利于分析并判断安全威胁的风险,帮助管理人员进行快速判断。工业防火墙的设置有利于实现基于工控协议的网络安全防护,工控入侵检测设备的设置有利于及时发现恶意代码,工控漏洞扫描设备的设置有利于达到安全的全面管控,也为分析平台提供基础数据。有利于快速且便捷地收集并分析工业控制中的各类数据,从而降低烟草行业工控网络安全的风险,易于保障烟草工控系统的正常运行。
而且,将综合防御策略贯穿于始终,实现分级、分防线策略,将安全嵌入到应用中,作为最后一道安全防线,将风险值降到最低。按照统一信息系统安全管理的规范进行规划和设计,对业务系统范围内的资源和用户进行统一标记,按照访问控制策略来进行实施,对于各个终端、服务器和边界的事件统一由审计中心进行分析和响应。建立全系统范围的网络管理和监控系统,做到管理全局统一,监控严密,响应及时。将风控信息、综合报警信息、安全态势报告可视化,充分展示工控安全防控的过程和成果。帮助管理人员快速分析安全风险,掌握安全态势。
以上均为本申请的较佳实施例,并非依此限制本申请的保护范围,故:凡依本申请的结构、形状、原理所做的等效变化,均应涵盖于本申请的保护范围之内。
Claims (10)
1.一种烟草行业工控网络安全防护架构,其特征在于,包括:
企业管理层系统,包括后端数据子系统和前端办公子系统,所述后端数据子系统与前端办公子系统通过网络连接,组成企业管理层网络,所述后端数据子系统用于处理并存储企业管理数据和网页管理数据,所述前端办公子系统为管理者提供办公平台,用于提供预设的企业管理程序和网页管理程序;
生产管理层系统,包括生产管理子系统和生产管理网络安全子系统,所述生产管理子系统和生产管理网络安全子系统通过网络相互连接,组成生产管理层网络,所述生产管理子系统用于根据企业管理层系统的数据信息进行生产管理,所述生产管理子系统通过生产管理网络安全子系统采用网络隔离技术与企业管理层网络连接,所述生产管理网络安全子系统用于根据企业管理层系统与生产管理层系统之间的信息交换为操作员提供信息安全日志、审计信息和分析预警信息;
过程监控层系统,包括设备控制子系统、过程监控子系统和过程监控网络安全子系统,所述设备控制子系统、过程监控子系统和过程监控网络安全子系统通过网络相互连接,组成过程监控层网络,所述设备控制子系统通过过程监控层网络与生产管理层网络连接,且用于根据生产管理层系统的数据信息进行现场设备控制,所述过程监控子系统用于采集并监控来自现场控制层系统的现场设备信息,所述过程监控网络安全子系统用于为设备控制子系统与生产管理子系统、生产管理网络安全子系统之间的连接、设备控制子系统与过程监控子系统之间的连接提供网络防护;
现场控制层系统,包括现场控制子系统和现场控制网络安全子系统,所述现场控制子系统与设备控制子系统连接,组成现场控制层网络,用于根据设备控制子系统的数据信息对应地控制现场设备,所述现场控制网络安全子系统与现场控制子系统连接,用于提供信息安全日志。
2.根据权利要求1所述的一种烟草行业工控网络安全防护架构,其特征在于:所述生产管理网络安全子系统包括第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备,所述第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备通过接入生产管理层网络实现与生产管理子系统的相互连接,所述工控隔离交换设备与企业管理层系统连接,用于实现网络隔离。
3.根据权利要求2所述的一种烟草行业工控网络安全防护架构,其特征在于:所述过程监控网络安全子系统包括工业防火墙、第一工控入侵检测设备、第一工控网络监测审计设备、第二工控网络监测审计设备、第二工控入侵检测设备和工控漏洞扫描设备,所述生产管理层网络与过程监控层网络之间、设备控制子系统与过程监控子系统之间均设置工业防火墙,所述第一工控入侵检测设备、第一工控网络监测审计设备、工控漏洞扫描设备均接入过程监控层网络以实现与设备控制子系统、过程监控子系统的连接,所述第二工控入侵检测设备和第二工控网络监测审计设备连接于设备控制子系统与现场控制子系统之间。
4.根据权利要求3所述的一种烟草行业工控网络安全防护架构,其特征在于:所述现场控制网络安全子系统包括第二工业信息安全日志平台,所述第二工业信息安全日志平台与现场控制子系统连接。
5.根据权利要求4所述的一种烟草行业工控网络安全防护架构,其特征在于:所述设备控制子系统包括第一控制站、第二控制站、第三控制站和第四控制站,所述第一控制站、第二控制站、第三控制站和第四控制站均通过对应的工业防火墙接入过程监控层网络实现与过程监控子系统连接;
所述现场控制子系统包括制丝集控站、卷包数采站、动力能管站和物流系统站,所述第一控制站与制丝集控站连接,所述第二控制站与卷包数采站连接,所述第三控制站与动力能管站连接,所述第四控制站与物流系统站连接,所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控入侵检测设备连接,所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控网络监测审计设备连接;
所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工业信息安全日志平台连接;
所述生产管理子系统、过程监控子系统、第一控制站、第二控制站、第三控制站和第四控制站均安装有工控主机加固程序,所述工控主机加固程序用于对各种不安全因素进行主动防御且对数据的完整性进行保护。
6.一种烟草行业工控网络安全防护方法,其特征在于,包括:
根据对应卷烟厂的生产规模,结合烟草行业工控网络安全防护架构,设计属于对应卷烟厂的工控网络安全防护架构;
搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护。
7.根据权利要求6所述的一种烟草行业工控网络安全防护方法,其特征在于:所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,包括:
在生产管理层网络出口处部署工控隔离交换设备,在保证大数据吞吐、低延迟的基础上,将网络协议中的 TCP/IP 协议进行剥离,阻断非法数据的传输;
从应用层协议中识别出工业协议,进行管控;
在生产管理层网络中部署工控运维审计设备;
利用工控运维审计设备,将运维操作的人员与设备以及操作命令进行权限分配、审计和审核;
在生产管理层网络中部署工业监测分析预警平台;
利用工业监测分析预警平台收集来自于整个工控生产网络的各个层级的安全数据;
基于安全数据,通过大数据收集分析形成安全基线;
对安全基线进行实时监测,当安全威胁造成数据异常,立刻触发告警;
根据告警内容,生成可视化展现信息。
8.根据权利要求7所述的一种烟草行业工控网络安全防护方法,其特征在于:所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,还包括:
在过程监控层网络的不同安全域之间均部署对应的工业防火墙;
利用工业防火墙,对数据访问根据网络协议、工控协议进行访问控制;
在网络汇聚点和交换点均部署基于工业协议识别的工控入侵检测设备;
利用工控入侵检测设备,检测来自于网络、运维、U盘的安全威胁;
在过程监控层网络中部署工控漏洞扫描设备;
利用工控漏洞扫描设备,对整个工控网络安全防护架构进行网络空间安全测绘。
9.根据权利要求8所述的一种烟草行业工控网络安全防护方法,其特征在于:所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,还包括:
在生产管理层网络和过程监控层网络部署对应的工控网络监测审计设备和工业信息安全日志平台;
在现场控制层网络部署对应的工业信息安全日志平台;
收集并分析工业控制中的数据。
10.根据权利要求9所述的一种烟草行业工控网络安全防护方法,其特征在于:所述搭建对应卷烟厂的工控网络安全防护架构,运用对应卷烟厂的工控网络安全防护架构,对工控网络安全进行防护,还包括:
对生产管理层网络、过程监控层网络和现场控制层网络中的主机、服务器均部署工控主机加固程序;
利用工控主机加固程序,对应用程序和外设接口设置白名单程序。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210126591.1A CN114465800B (zh) | 2022-02-10 | 2022-02-10 | 烟草行业工控网络安全防护装置和网络安全防护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210126591.1A CN114465800B (zh) | 2022-02-10 | 2022-02-10 | 烟草行业工控网络安全防护装置和网络安全防护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114465800A true CN114465800A (zh) | 2022-05-10 |
CN114465800B CN114465800B (zh) | 2023-05-12 |
Family
ID=81412993
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210126591.1A Active CN114465800B (zh) | 2022-02-10 | 2022-02-10 | 烟草行业工控网络安全防护装置和网络安全防护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114465800B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118034229A (zh) * | 2024-04-15 | 2024-05-14 | 信联科技(南京)有限公司 | 一种面向开放场景的安全工业控制系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170195349A1 (en) * | 2015-12-31 | 2017-07-06 | Deutsche Telekom Ag | Platform for protecting small and medium enterprises from cyber security threats |
CN108594769A (zh) * | 2018-03-08 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种工业控制系统核心网络安全防止外侵和安全评估装置 |
-
2022
- 2022-02-10 CN CN202210126591.1A patent/CN114465800B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20170195349A1 (en) * | 2015-12-31 | 2017-07-06 | Deutsche Telekom Ag | Platform for protecting small and medium enterprises from cyber security threats |
CN108594769A (zh) * | 2018-03-08 | 2018-09-28 | 上海洺淀智能科技有限公司 | 一种工业控制系统核心网络安全防止外侵和安全评估装置 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN118034229A (zh) * | 2024-04-15 | 2024-05-14 | 信联科技(南京)有限公司 | 一种面向开放场景的安全工业控制系统 |
Also Published As
Publication number | Publication date |
---|---|
CN114465800B (zh) | 2023-05-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107241224B (zh) | 一种变电站的网络风险监测方法及系统 | |
CN105471656A (zh) | 一种针对智能变电站自动化系统运维信息模型的抽象方法 | |
CN108960456A (zh) | 私有云安全一体化运维平台 | |
CN113824682B (zh) | 一种模块化的scada安全态势感知系统架构 | |
CN110677430B (zh) | 基于网络安全设备日志数据的用户风险度评估方法和系统 | |
CN102035855A (zh) | 网络安全事件关联分析系统 | |
CN104683127A (zh) | 一种设备弱口令集中核查的方法和系统 | |
CN105204922A (zh) | 一种数据采集平台客户端采集方法 | |
CN112738063A (zh) | 一种工业控制系统网络安全监测平台 | |
CN105867347B (zh) | 一种基于机器学习技术的跨空间级联故障检测方法 | |
CN106899553A (zh) | 一种基于私有云的工业控制系统安全防护方法 | |
CN110971464A (zh) | 一种适合灾备中心的运维自动化系统 | |
CN113132318A (zh) | 面向配电自动化系统主站信息安全的主动防御方法及系统 | |
CN110033174A (zh) | 一种工业信息安全保障体系建设方法 | |
CN105573291A (zh) | 一种基于关键参数融合校验的威胁检测方法及安全装置 | |
CN106920022B (zh) | 卷烟工业控制系统的安全脆弱性评估方法、系统及设备 | |
CN104579784A (zh) | 基于多维虚链路的电力工业控制系统网络管理方法 | |
CN114465800A (zh) | 烟草行业工控网络安全防护架构和网络安全防护方法 | |
CN110262420A (zh) | 一种分布式工业控制网络安全检测系统 | |
CN107644165A (zh) | 安全防护平台以及安全防护方法和装置 | |
CN113591096A (zh) | 综合检测大数据漏洞和不安全配置的脆弱性扫描系统 | |
CN114363079A (zh) | 一种云平台的分布式智能数据监管系统 | |
US20240176894A1 (en) | A critical infrastructure simulation and emulation system and method | |
CN115705035B (zh) | 无人站场阀室控制系统及无人站场阀室的控制方法 | |
CN114266365A (zh) | 一种变电站一二次系统信息融合的网络安全态势感知方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |