南方某烟厂生产车间网络安全加固项目

1、用户介绍

南方某烟厂配备制丝生产线数条,年生产卷烟几十万箱。


2、安全风险

各个生产车间控制系统在接入环网时缺少访问控制类的防护设备,不能有效识别业务数据访问的主客体;


各个生产车间的控制网络内部缺少安全审计手段,不能及时识别网络中可能存在的非法入侵、非授权访问、违规操作、异常流量、恶意代码等威胁;


集中监控层网络中缺少针对工程师站运维过程的授权管理与审计手段;


集中监控层网络中缺少针对上位主机外设接口使用的有效监管措施。


3、解决方案

网络安全:

根据烟草行业特点及网络结构现状,整体安全域划分为企业信息层、集中监控层以及过程控制层三层结构,过程控制层网络根据生产区域进行安全分区,层间或区间采用工业防火墙进行逻辑隔离防护;

监控层与MES采用安全隔离网关实现单向传输。


 安全审计:

集中监控层内部部署入侵检测、工控安全审计,对来自集中监控层内部终端设备、各下联操作站或过程监控层外部的网络攻击行为、违规操作行为进行检测与审计监控;

基于工业协议深度解析生产网络流量智能监测和识别网络中的入侵攻击、异常操作、生产数据、重要操作等行为,并进行统计和分析;

在中控室部署一套日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;

在中控室部署一套账号集中管理与审计系统(堡垒机),可以分别对中控室运维过程的安全监控与审计,实现对运维过程的用户管理、授权管理、认证管理和综合审计。


主机安全:

在中控室部署一套USB安全隔离装置,对上位主机的USB接口安全使用进行有效管理,并可以对通过USB接口临时接入生产网络的移动存储设备进行病毒查杀;

各主机终端部署网络版工控主机安全卫士,实现终端进程的可信管理,从根本上提高了工控主机的安全性。


统一安全管理:

同时,为满足集中统一管理的要求,安全管理中心作为系统中所有安全设备节点的统一安管中心,应负责对系统中的所有节点进行统一管理、统一配置,审计信息统一存储、统一分析,从而构建工控系统的整体安全防御体系。

4、客户价值

安全效益

全面提升烟草制造网络安全防护管理的合规性,满足国家网络安全监管部门、国家局的相关政策与标准要求。


经济效益

保证工业控制系统在信息时代安全、稳定运行,免受病毒、木马等攻击事件发生,造成经济损失、安全事故等。


社会效益

更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展。