在經(jīng)濟(jì)全球化、信息網(wǎng)絡(luò)化的時代背景下,近年來煙草行業(yè)信息化已具有一定規(guī)模,MES系統(tǒng)已經(jīng)建立,實(shí)現(xiàn)了從控制系統(tǒng)到實(shí)時數(shù)據(jù)庫的通訊連接。世界范圍內(nèi)的過程控制系統(tǒng)和SCADA系統(tǒng)廣泛采用信息技術(shù),這些技術(shù)使工業(yè)設(shè)備接口更為簡單,但同時也減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離,控制系統(tǒng)面臨的來自網(wǎng)絡(luò)方面的威脅也趨向多元化和多發(fā)性。
煙草行業(yè)控制網(wǎng)絡(luò)說明及隱患分析
煙草行業(yè)工業(yè)控制網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu),負(fù)責(zé)控制器、操作站及工程師站之間過程控制數(shù)據(jù)實(shí)時通訊??刂凭W(wǎng)中各組內(nèi)的操作站、PLC等設(shè)備直接與數(shù)采網(wǎng)中的交換機(jī)相連。企業(yè)上層的信息管理網(wǎng)中,Web發(fā)布器、實(shí)時數(shù)據(jù)庫與其他操作員站、監(jiān)控服務(wù)器等全部位于同一局域網(wǎng)中??刂凭W(wǎng)和企業(yè)上層信息管理網(wǎng)通過一個路由器直接相連。
目前的系統(tǒng)存在以下信息安全隱患:
1、 控制網(wǎng)中各組內(nèi)的操作站、PLC等設(shè)備直接與數(shù)采網(wǎng)中的交換機(jī)相連,網(wǎng)絡(luò)風(fēng)險性大大增加。
2、 企業(yè)上層的信息管理網(wǎng)中,Web發(fā)布器、實(shí)時數(shù)據(jù)庫與其他操作站、監(jiān)控服務(wù)器等全部位于同一局域網(wǎng)中,且和控制網(wǎng)通過路由器直接連接,一旦其中某臺計算機(jī)感染病毒,勢必將影響信息管理網(wǎng)內(nèi)其他所有計算機(jī)以及控制網(wǎng)的所有設(shè)備。
3、 以太環(huán)網(wǎng)內(nèi)的任意一臺裝有控制站編程軟件的機(jī)器可以對任意一臺控制器進(jìn)行控制下裝,存在誤下裝的風(fēng)險。
4、 網(wǎng)絡(luò)中無安全監(jiān)控平臺,無法對網(wǎng)絡(luò)安全事故進(jìn)行預(yù)警和分析,網(wǎng)絡(luò)工程師將無法以快的速度判斷問題所在,也就無法迅速準(zhǔn)確的做出防護(hù)和修復(fù)措施。
解決方案
多芬諾安全防護(hù)方案網(wǎng)絡(luò)拓?fù)鋱D
1、區(qū)域隔離
在關(guān)鍵通道上部署Tofino工業(yè)防火墻,其插件能夠過濾兩個區(qū)域網(wǎng)絡(luò)間的通信,即使出現(xiàn)網(wǎng)絡(luò)故障,也會被控制在初發(fā)生的區(qū)域內(nèi),保證整套裝置及工廠的安全穩(wěn)定運(yùn)行。
2、通信管控
通過對防火墻插件的組態(tài),通訊規(guī)則只允許PLC制造商專有協(xié)議數(shù)據(jù)通過,其它基于Windows應(yīng)用的不必要通訊以及病毒、非法訪問等一律禁止,從而創(chuàng)造出一個單一制造商通信網(wǎng)絡(luò)的環(huán)境。
3、集中管理
在網(wǎng)絡(luò)中部署CMP配置管理平臺,用于配置、管理、監(jiān)測網(wǎng)絡(luò)中所有的Tofino工業(yè)防火墻,并接收來自防火墻的網(wǎng)絡(luò)報警信息。無需停車,Tofino工業(yè)防火墻特有的“測試”模式允許在線配置防火墻策略。
4、實(shí)時報警
在網(wǎng)絡(luò)中部署CMP配置管理平臺,用于配置、管理、監(jiān)測網(wǎng)絡(luò)中所有的Tofino工業(yè)防火墻,并接收來自防火墻的網(wǎng)絡(luò)報警信息