论文部分内容阅读
摘要:随着工业互联网时代的到来,现代卷烟工业企业两化融合程度也越来越高,在卷烟生产过程中广泛使用到各类工业控制系统,因此有强烈的工控网络安全防护需求。目前,如何构建一个安全高效、稳固可靠的工控网络体系,成为现代卷烟工业企业安全防护的基础和前提。本文结合制丝车间中控系统实际需求,提出了相关的安全防护措施,进一步为卷烟厂的安全生产运营保驾护航。
关键词:工业控制网络;网络安全;制丝中控
制丝中控系统作为制丝生产过程的核心系统,主要负责制丝车间的生产控制任务,并对制丝过程中的设备运行、工艺质量进行监控,是保证制丝工艺质量和正常生产的根基。一旦网络被无意或恶意攻击或病毒入侵将严重影响企业生产运营与管理效率,因此构建网络安全体系,保障企业安全稳健的发展显得尤为重要。
1部署工业防火墙
依据“安全分区、纵深防护、统一监控”的网络安全防护原则。在厂级网络及制丝中控室管理交换机之间部署工业防火墙,做到区域隔离,配置工业防火墙,防止未授权的网络连接对制丝线局域网的侵害。
1)访问控制
工业防火墙在工控协议方面做了深度的解析,可以对操作人员和外网非法访问进行基于IP、MAC、工控协议或任意组合方式的访问进行控制,另外,用户可以根据具体需求设置更细粒度的策略,如对某个工控协议的只读、读写或者禁用,防止数据被篡改或信息外泄。支持通用防火墙会话状态检测、包过滤机制及工控协议的深度访问控制,阻止各类非授权访问行为。
2)恶意攻击
由于工控网络的封闭性和工控网络中运行的软件和程序一般情况下都是很固定的,基于工控网络的这一特点,在工业防火墙上启用白名单功能,将工控网络中可信的软件或程序放入白名单,只有白名单中的软件或程序才能被安装和运行,可以有效阻止恶意病毒和木马的入侵或非法程序的运行。工业防火墙可以进行正常通信行为建模,通过对正常通信行为学习后,对工控指令攻击、控制参数修改、病毒和蠕虫等恶意代码等攻击行为进行有效防护,减少恶意攻击行为给工业控制系统带来的安全风险。
3)DoS攻击防护
工控系统对网络的实时性和响应速度有很高的要求,为了保证工控系统的可用性和高效性,在工业防火墙上开启异常报文检测与异常流量检测功能,防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击导致的网络或工控系统的瘫痪。
4)重点设备的安全防护
通过在重点工控设备前加装工业防火墙,通过工业防火墙的工控协议深度解析及“白名单”安全管理机制,充分保护重要工控设备的信息安全,提升整个工业控制系统的安全防护等级。
2部署安全防护软件
在中控计算机、服务器、工程师站、现场工控机上部署主机安全防护软件。通过设置实现以下功能。
1)阻止恶意代码的执行和扩散
可以有效阻止“白名单”外的程序及病毒、木马、蠕虫、等恶意代码的执行,进而有效避免系统感染震网病毒、Flame、Havex、BlackEnergy等工控恶意代码。如果在工业控制系统中有一台设备被恶意病毒感染并通过网络扩散到其它主机后,在部署了工控主机卫士的主机上通过白名单功能就可以阻止病毒的运行,进而保护主机的运行安全。
2)网络白名单
针对工作站、服务器等设备进行网络白名单配置管理,包括开启SYN攻击防护(Windows系统专有)和配置防火墙、添加配置控制程序连接(Windows系统专有)以及TCP或UDP端口连接的规则,最大限度保护工作站、服务器等设备的安全。
3)主机监控管理
开启主机白名单安全防护,使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。对白名单外的恶意代码、违规操作进行告警及记录;对人员未授权安装软件进行告警;对普通U盘以及安全U盘的违规使用告警;支持注册表、配置文件和操作系统文件破坏告警。
4)安全基线管理
对工作站、服务器等设备进行基线配置管理,包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户(Windows系统专有)、开启系统和账户审核、关闭默认共享(Windows系统专有)、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。
3部署统一安全管理平台
建设统一安全管理平台对工业防火墙、工业主机安全防护软件等产品进行统一管理。实现对工控系统中的网络设备、主机设备、应用系统、安全设备进行集中运维管理,实现安全策略的统一配置及下发、设备运行状况的全面监控、安全事件的实时告警,日志的收集、处理及分析,有助于降低运维成本、提高事件响应效率。
1)安全产品集中管理
对工控网络中的工业防火墙、工控安全监测与审计系统、工控主机卫士、主机安全加固系统等安全产品进行集中管理,包括安全策略配置、设备状态监控、网络拓扑管理等。
2)高速率加密传输通道
采用私有加密方式進行通信,防止数据包遭到恶意截取或篡改,有效保障数据的有效性和安全性。
3)全面的安全日志审计
全面记录工业网络中的主机安全日志、网络异常攻击监测日志、网络攻击防护日志、工业网络会话信息,同时保留攻击发生时的原始报文信息,便于安全事件的追溯和调查取证。
4)安全日志关联分析
对工控网络中的安全日志(如:攻击日志、流量日志、访问日志、主机日志、系统日志)进行汇总、关联分析并形成报告,为工控网络安全事件分析和调查取证提供依据。
结束语
本文针对制丝中控网络安全问题提出了相应的防护措施,即采取部署工业防火墙、部署安全防护软件、部署统一安全管理平台等,为进一步提高制丝中控系统网络安全水平,促进卷烟工业安全防控体系构建,保障企业安全生产运营提供了坚实根基。
参考文献
[1]赵全洲,司成伟.浅谈烟草行业工控网络安全风险的威胁评估[J].通讯世界,2019,26(8):63-65.
[2]吴莉.浅谈烟草行业网络安全及其防范策略[J].计算机光盘软件与应用,2012(5):116-117.
[3]许新锋.工业控制系统网络安全等级保护的建设[J].中小企业管理与科技,2020(7):112-113
关键词:工业控制网络;网络安全;制丝中控
制丝中控系统作为制丝生产过程的核心系统,主要负责制丝车间的生产控制任务,并对制丝过程中的设备运行、工艺质量进行监控,是保证制丝工艺质量和正常生产的根基。一旦网络被无意或恶意攻击或病毒入侵将严重影响企业生产运营与管理效率,因此构建网络安全体系,保障企业安全稳健的发展显得尤为重要。
1部署工业防火墙
依据“安全分区、纵深防护、统一监控”的网络安全防护原则。在厂级网络及制丝中控室管理交换机之间部署工业防火墙,做到区域隔离,配置工业防火墙,防止未授权的网络连接对制丝线局域网的侵害。
1)访问控制
工业防火墙在工控协议方面做了深度的解析,可以对操作人员和外网非法访问进行基于IP、MAC、工控协议或任意组合方式的访问进行控制,另外,用户可以根据具体需求设置更细粒度的策略,如对某个工控协议的只读、读写或者禁用,防止数据被篡改或信息外泄。支持通用防火墙会话状态检测、包过滤机制及工控协议的深度访问控制,阻止各类非授权访问行为。
2)恶意攻击
由于工控网络的封闭性和工控网络中运行的软件和程序一般情况下都是很固定的,基于工控网络的这一特点,在工业防火墙上启用白名单功能,将工控网络中可信的软件或程序放入白名单,只有白名单中的软件或程序才能被安装和运行,可以有效阻止恶意病毒和木马的入侵或非法程序的运行。工业防火墙可以进行正常通信行为建模,通过对正常通信行为学习后,对工控指令攻击、控制参数修改、病毒和蠕虫等恶意代码等攻击行为进行有效防护,减少恶意攻击行为给工业控制系统带来的安全风险。
3)DoS攻击防护
工控系统对网络的实时性和响应速度有很高的要求,为了保证工控系统的可用性和高效性,在工业防火墙上开启异常报文检测与异常流量检测功能,防止land攻击、Teardrop攻击、Ping of death以及各种Flood攻击导致的网络或工控系统的瘫痪。
4)重点设备的安全防护
通过在重点工控设备前加装工业防火墙,通过工业防火墙的工控协议深度解析及“白名单”安全管理机制,充分保护重要工控设备的信息安全,提升整个工业控制系统的安全防护等级。
2部署安全防护软件
在中控计算机、服务器、工程师站、现场工控机上部署主机安全防护软件。通过设置实现以下功能。
1)阻止恶意代码的执行和扩散
可以有效阻止“白名单”外的程序及病毒、木马、蠕虫、等恶意代码的执行,进而有效避免系统感染震网病毒、Flame、Havex、BlackEnergy等工控恶意代码。如果在工业控制系统中有一台设备被恶意病毒感染并通过网络扩散到其它主机后,在部署了工控主机卫士的主机上通过白名单功能就可以阻止病毒的运行,进而保护主机的运行安全。
2)网络白名单
针对工作站、服务器等设备进行网络白名单配置管理,包括开启SYN攻击防护(Windows系统专有)和配置防火墙、添加配置控制程序连接(Windows系统专有)以及TCP或UDP端口连接的规则,最大限度保护工作站、服务器等设备的安全。
3)主机监控管理
开启主机白名单安全防护,使工控网络中的上位机、服务器等抵御木马、工控病毒等恶意程序的攻击。对白名单外的恶意代码、违规操作进行告警及记录;对人员未授权安装软件进行告警;对普通U盘以及安全U盘的违规使用告警;支持注册表、配置文件和操作系统文件破坏告警。
4)安全基线管理
对工作站、服务器等设备进行基线配置管理,包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户(Windows系统专有)、开启系统和账户审核、关闭默认共享(Windows系统专有)、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。
3部署统一安全管理平台
建设统一安全管理平台对工业防火墙、工业主机安全防护软件等产品进行统一管理。实现对工控系统中的网络设备、主机设备、应用系统、安全设备进行集中运维管理,实现安全策略的统一配置及下发、设备运行状况的全面监控、安全事件的实时告警,日志的收集、处理及分析,有助于降低运维成本、提高事件响应效率。
1)安全产品集中管理
对工控网络中的工业防火墙、工控安全监测与审计系统、工控主机卫士、主机安全加固系统等安全产品进行集中管理,包括安全策略配置、设备状态监控、网络拓扑管理等。
2)高速率加密传输通道
采用私有加密方式進行通信,防止数据包遭到恶意截取或篡改,有效保障数据的有效性和安全性。
3)全面的安全日志审计
全面记录工业网络中的主机安全日志、网络异常攻击监测日志、网络攻击防护日志、工业网络会话信息,同时保留攻击发生时的原始报文信息,便于安全事件的追溯和调查取证。
4)安全日志关联分析
对工控网络中的安全日志(如:攻击日志、流量日志、访问日志、主机日志、系统日志)进行汇总、关联分析并形成报告,为工控网络安全事件分析和调查取证提供依据。
结束语
本文针对制丝中控网络安全问题提出了相应的防护措施,即采取部署工业防火墙、部署安全防护软件、部署统一安全管理平台等,为进一步提高制丝中控系统网络安全水平,促进卷烟工业安全防控体系构建,保障企业安全生产运营提供了坚实根基。
参考文献
[1]赵全洲,司成伟.浅谈烟草行业工控网络安全风险的威胁评估[J].通讯世界,2019,26(8):63-65.
[2]吴莉.浅谈烟草行业网络安全及其防范策略[J].计算机光盘软件与应用,2012(5):116-117.
[3]许新锋.工业控制系统网络安全等级保护的建设[J].中小企业管理与科技,2020(7):112-113