随着烟草信息化和工业化“深度融合”的加快, 各地烟草公司先后建立了半自动或全自动的仓储、分拣系统, 在为物流分拣带来极大推动作用的同时, 也带来了网络安全问题。一旦发生网络安全事件, 不仅会影响物流分拣作业的正常运行, 还有可能对整个烟草业务网造成不良影响.IDC预计2016-2017年接入物联网的软硬件设备90%存在一定程度的安全隐患。因此进一步夯实关键基础设施安全, 实施核心设备保护已箭在弦上、刻不容缓。
一、烟草商业物流基本情况
以某地市烟草为例, 重点分析其物流车间的基本业务架构、基本网络架构、工制系统的脆弱性、安全策略。
(一) 业务架构
在物流业务架构中, 包含了物流管理系统、线路优化系统, 分拣调度系统等几类业务应用系统。主要工作包括卷烟的入库、仓储、出库、备货、分拣等流程。业务流程是由营销系统将订单数据下发到物流管理系统, 线路优化系统同步物流管理系统的订单数据进行线路优化操作后回传给物管系统, 调度控制系统从物流管理系统获取订单数据, 业务排程后将指令直接下发到工控系统完成作业。
(二) 工业控制网络架构
烟草物流网络结构是物流工控网与内网互通互联, 服务器, 工作站均在一个网络里。内网与互联网进行了物理上的隔离, 并划分不同VLAN进行管理, 内网网络边界部署了防火墙、访问控制、入侵检测、安全审计、非法外联检测、恶意代码防护等必要的安全设备。具体结构如下:
(三) 工控系统的脆弱性
目前大多数工业控制系统的工程师站, 操作站、HMI安装使用的操作系统主要是Windows系统或Vx Works系统。而且为保证效率及系统的稳定性, 通常现场工程师不会对系统安装任何补丁, 从而埋下安全隐患。此外PLC (主要是西门子) 和组态软件也存在诸多漏洞, 这些漏洞均未及时修补。
(四) 安全策略
一是传统计算机为了确保主机安全通常会安装杀毒软件等。对于工业控制系统, 通常不会安装任何杀毒软件。因为即使安装了杀毒软件等安全产品, 由于需要不定期的升级, 也无法适应工业控制环境。
二是远程协助带来的风险。为方便维护, 厂家工程师通过互联网可远程到物流服务器, 而对于工程师的行为缺少必要的监控和行为审计。
三是无线访问带来的风险。物流仓储区域大, 为方便访问都安装了无线网络, 如RFID数据上传, 电控柜上装的无线交换机。这些无线一般使用的都是较为简单的设备, 密码简单, 缺少防护。
四是移动介质使用不规范。物流的操作站, 打码主机, 操作屏一般使用的都是windows系统, 且配有USB接口, 这些接口一般未禁用, 未经认证的移动设备可以随时接入, 而病毒感染大部分是通过移动介质传播。
五是工控系统信息安全防护手段不足。除个别公司部署了工业安全网络防护和监测及统一安全管理措施外, 基本都未安装专业的工控安全设备, 总体针对工控网络防护、监测、运维审计等各方面均严重不足。
六是人员安全管理意识不足。不论是公司管理层还是技术人员对工控安全的认识都还不够。
二、烟草物流工控安全体系方案
针对烟草目前工控网络的情况, 建设工控安全体系按照“三分技术, 七分管理”的思路进行。首先是安全技术体系的建设, 需有的放矢、循序渐进。与传统网络安全一样, 工控安全的防护不可能也没必要做到全面防护无死角, 需要找到痛点, 抓住重点, 解决难点。即摸清自身工控系统存在的脆弱性与面临的威胁, 根据烟草行业相关标准与要求, 重点解决主要问题。其次是安全管理体系的建立, 必须要以工控安全建设为契机, 配套建立相应的管理体系与机制, 规范业务流程与操作, 切实降低因内部人员操作不规范带来的网络安全威胁。
(一) 技术方案
按照行业网络安全“分级分域, 整体保护、积极预防、动态管理”的总体策略。首先对整个工控系统进行全面风险评估掌握目前工控系统风险现状;通过内网和工控网隔离确保生产网不会引入来自内网风险, 保证工控网边界安全;在各区域内部工控系统进行一定手段的监测、防护, 保证区域内部安全;最后对整个工控系统进行统一安全呈现, 将各个防护点组成一个全面的防护体系, 保障其整个工业控制系统安全稳定运行。
(二) 安全运维管理方案
工控安全的建设应该成体系化, 综合考虑管理、技术、运维全方位, 切不可局限于技术产品的应用, 要根据行业要求与本身的实际情况, 建立完善相应的管理制度与操作规范。
三、结语
随着行业商业物流自动化程度越来越高, 工控安全将成为影响物流作业重要的一环, 工控安全与传统网络安全的一个重要区别在于其关注重点不一样, 传统网络安全更关注保密性, 而工控安全更关注可用性。其特性决定了工控安全产品必须是通过不断的应用来加强其防护能力, 只有坚持使用, 不断丰富规则库, 才能充分发挥产品的性能。只有不断提高对工控安全的认识, 加强对人员的培训, 提升工控安全管理水平, 才能建立良好的工控安全保障体系。
摘要:随着烟草商业地市公司物流设备自动化程度越来越高, 工控信息安全风险日益增加。本文通过分析某地市公司物流工控网络的架构及基本情况, 按照“三分技术, 七分管理”的思路构建工控安全防护体系。
关键词:工业控制系统,商业烟草物流,信息安全,体系
参考文献
[1] 殷天野.工控系统安全及新趋势[J].通信技术, 2017, 50 (1) :1-6.
[2] 卢坦.美国工控安全保障体系研究及启示[J].特别策划, 2016 (8) :50.
[3] 谭励.面对工控系统的安全可信技术[J].计算机工程与设计, 2017, 38 (1) :47-52.
[4] 赵剑明.离散制造行业的工控安全保障体系[J].信息技术与网络安全, 2018.23.
【烟草商业物流工控安全体系研究】相关文章:
关于构建烟草现代物流体系的思考04-27
浅谈区县级烟草商业公司如何建立面向消费者的服务体系10-23
YC_T 438-2012_烟草商业企业卷烟物流配送车辆管理规范04-10
YC_T 305-2009_烟草商业企业卷烟物流配送中心服务规范04-18
烟草商业企业内部审计问题研究01-27
关于烟草商业企业税务风险防范的研究12-23
中国烟草物流现状与展望研究及对策04-21
工控系统信息安全04-30