行业清静实践:构建“数字烟草” 物流工控信息清静系统

宣布时间 2022-12-26

前言:


数字化转型已成为烟草行业质量厘革、效率厘革和动力厘革的主要驱动力 ,是“十四五”时期行业高质量生长的必由之路。本文以某地烟草企业为例 ,通太过析其烟草物流管理保存的清静问题和清静危害 ,提出了尊龙凯官网入口烟草物流清静解决计划 ,有用提升烟草企业的物流管理水平 ,增进烟草企业的稳固、康健生长。


烟草行业作为我国经济生长的支柱型工业 ,其中烟草物流是烟草配送营销的要害环节。尤其随着“数字烟草”战略推进和建设 ,各地烟草公司逐渐建设了半自动或全自动的物流仓储、分拣系统 ,通过信息化和工业化的一直深化融合 ,推动烟草企业在物流领域一直提质增效。


以某烟草企业的物流中心管理系统为例 ,主要包括物流管理信息系统、客栈管理系统、分拣管理系统、运输管理系统等焦点子系统 ,工控系统装备主要有PLC、打码机、扫码机、自动化标签机等装备 ,笼罩了卷烟收支库、分类分拣等环节 ,工控网络已基本凭证营业系统属性划分出网络区域 ,在工控网与办公网界线也具备基本的逻辑隔离手艺步伐。


尊龙凯时 - 人生就是搏!


尊龙凯官网入口通过对该烟草企业物流中心工控系统举行调研剖析 ,发明其信息清静方面保存的突出问题 ,主要包括以下几个方面:


1、除基本逻辑隔离步伐外 ,工控网络内部缺少其他网络清静防护手段(系统懦弱性识别、异常监测等) ,一样平常运维事情外包给网络集成商 ,关于所有的运维操作无控制、无审计 ,泛起清静问题时不可举行实时准确定位和追踪排障 ,保存一样平常监测管理的主要缺失和隐患点。


2、缺乏实时有用、周全的清静包管能力 ,面临网络攻击无法有用识别、预警、提防和应急响应 ,信息清静手艺步伐安排不到位、运行维护专业化相对滞后 ,清静包管能力不强 ,应急响应步伐缺乏。


3、缺乏信息清静数据意会和网络清静处置惩罚协同能力 ,各系统间信息清静数据的共享交流和统筹管理能力缺乏 ,网络清静运营模式思量不充分缺乏清静立异性。


详细清静危害如下:


1、网络清静危害:各网络区域间未充分接纳清静隔离步伐 ,在通过办公网会见物流工控网络历程中 ,不可有用阻挡办公网中木马病毒及针对工控系统开发的恶意软件 ,保存网络攻击通过一个节点入侵、扩散至整个工控系统危害。对工控网络流量和会见关系缺乏有用的监测手段 ,不可实时提供工控网络清静危害预警和故障定位 ,保存爆发故障后 ,排障时间长、缘故原由无法定位的危害 ,保存第三方职员通过不法IP接入网络危害。


2、主机清静危害:监控主机和PC等使用windows系统 ,具有系统、软件版本低 ,清静战略不周全等征象 ,保存病毒提防能力低 ,易被入侵的危害。


3、控制装备清静危害:控制系统中的PLC及扫码机、打码机等装备保存固有误差 ,若修补不实时保存被恶意使用危害。部分控制装备及应用为外洋装备 ,保存清静不可控危害。


4、数据清静危害:数据清静危害:部分工业通讯协议清静机制缺乏、端口与服务不设限使用。


5、管理清静危害:工控系统资产梳理不清 ,资产懦弱性掌握不充分 ,易导致系统高价值资产面临较大威胁。


尊龙凯官网入口烟草物流清静解决计划


尊龙凯官网入口以该烟草企业的物流工控系统为防护工具 ,围绕新场景下网络清静管理目的 ,构建一套完整的“事前有提防、事中有应对、事后有追溯”烟草物流清静解决计划 ,实现行业化、智能化、清静化的典范数字化转型实践 ,有用提升烟草企业的物流管理水平 ,增进烟草企业的稳固、康健生长。


三大设计思绪 修建烟草行业清静防御系统


1、羁系要求为条件。


以烟草行业规范YC/T 580-2019《烟草行业工业控制系统网络清静基线手艺规范》为主线 ,以YC/T 495-2014《烟草行业信息系统清静品级掩护实验规范》、YC/T494-2014《烟草行业工业企业生产网与管理网网络互联清静规范》为基础 ,综合思量品级掩护和工业互联网清静相关标准规范 ,将行业情形下标准要求有机融入各项清静历程中。


2、解决突出问题为先导。


通过对系统所处情形、相关方的需求和危害剖析 ,确定工控网络清静管理系统规模、要求及其历程 ,凭证“先界线清静加固、后深入内部防护” 的思绪 ,纵向分层 ,横向分区构建清静可靠的网络结构 ,对各项清静手艺步伐举行一连监视、评价和刷新。


3、管理为先 ,手艺追随。


从网络危害管理角度出发 ,综合思量清静管理一体化、标准化、智能化、可视化要求 ,起源实现物流清静一张图、手艺管理一平台、清静监测与响应一条线的综合清静管理目的 ,贴近物流中心营业实景 ,清静为营业包管服务。


四大方面 提升烟草行业物流管理水平


尊龙凯时 - 人生就是搏!


1、梳理系统营业流程  ,夯实结构清静。


综合思量物流工控系统的组网结构、营业会见关系、通讯协议、安排情形等多方面因素 ,沿用原网络划分出的区域 ,确定主要网络界线。将办公网和物流工控网为第一层界线 ,通过安排工业网闸 ,实现网络清静隔离与会见控制 ,包管生产清静。同时 ,在不改变原组网结构的基础上 ,通过在工控网的两个汇聚交流机处安排工业防火墙 ,借助工控协议的深度剖析能力和基于白名单的清静战略 ,实现工控行为的合规性控制 ,实现网络分层、分域掩护。


2、补齐清静基因缺陷 ,一连性步伐掩护。


在设置的清静管理区 ,通过安排工控误差扫描系统 ,按期对SCADA、PLC等工控资产和暂时接入装备举行无损扫描 ,提供资产误差识别、资产误差修复评估与管理 ,在泉源上为企业提供清静可靠的工控情形;通过安排工业运维审计(堡垒机)和日志审计系统 ,集中管理运维账号 ,实时控制运维操作权限和下令 ,阻断异常行为 ,对事务举行周全审计 ,包管系统清静运维。工业主机清静防护在原防护系统的基础上 ,举行战略优化 ,实现对主机清静防护能力的补齐。


3、打造高效清静监测 ,精准化危害管控。


在出库和分拣线1区域的汇聚交流机旁路安排工控异常监测与审计系统 ,实现工控行为识别与合规性检查、审计与告警。设置清静管理区安排全流量检测和威胁剖析系统 ,举行物流工控网络攻击双向检测、APT沙箱检测、全量数据存储检索、应用元数据剖析、攻击回溯取证和数据清静剖析。为增强统一管理能力 ,在办公网安排工控态势感知系统 ,以工控网安排的清静装备为探针 ,对物流工控网络的清静装备举行实时检测与管理 ,从全局剖析、外部攻击、横向攻击、恶意外连多维度自动掌握工控网络运行的清静状态。


4、适度引入清静新手艺 ,增强自动防御能力。


基于网络诱骗防御手艺 ,应用工业蜜罐系统 ,参照生工营业仿真构建蜜网 ,延缓攻击者对现实营业网络的攻击 ,掩护真实网络资产 ,同时以手艺手段实现对攻击者的追踪。工业蜜罐系统突破了现有攻防差池称的时势 ,团结其他清静系统配合组成自动清静防御系统。


在“数字烟草”建设的大配景下 ,烟草企业起劲推进烟草工业与信息化的深度融合 ,烟叶复烤、制丝、卷包、物流等各个生产环节均普遍应用工业控制系统 ,其和企业管理网举行数据交流的需求愈加细密。尊龙凯官网入口将一直探索高效、周全的工控网络清静防护系统 ,充分整合产品、平台和服务资源 ,在企业生产信息化建设一连深入历程中 ,有用包管企业的正常运行 ,筑牢行业立异生长“压舱石”。