行業安全實踐：構建“數字煙草” 物流工控信息安全體系 - 網安

前言：

數字化轉型已成為煙草行業質量變革、效率變革和動力變革的重要驅動力，是“十四五”時期行業高質量發展的必由之路。本文以某地煙草企業為例，通過分析其煙草物流管理存在的安全問題和安全風險，提出了啟明星辰煙草物流安全解決方案，有效提升煙草企業的物流管理水平，促進煙草企業的穩定、健康發展。

煙草行業作為我國經濟發展的支柱型產業，其中煙草物流是煙草配送營銷的關鍵環節。尤其隨著“數字煙草”戰略推進和建設，各地煙草公司逐漸建立了半自動或全自動的物流倉儲、分揀系統，通過信息化和工業化的不斷深化融合，推動煙草企業在物流領域不斷提質增效。

以某煙草企業的物流中心管理系統為例，主要包含物流管理信息系統、倉庫管理系統、分揀管理系統、運輸管理系統等核心子系統，工控系統設備主要有PLC、打碼機、掃碼機、自動化標簽機等設備，覆蓋了卷煙出入庫、分類分揀等環節，工控網絡已基本按照業務系統屬性劃分出網絡區域，在工控網與辦公網邊界也具備基本的邏輯隔離技術措施。

啟明星辰通過對該煙草企業物流中心工控系統進行調研分析，發現其信息安全方面存在的突出問題，主要包括以下幾個方面：

1、除基本邏輯隔離措施外，工控網絡內部缺少其他網絡安全防護手段（系統脆弱性識別、異常監測等），日常運維工作外包給網絡集成商，對于所有的運維操作無控制、無審計，出現安全問題時不能進行及時準確定位和追蹤排障，存在日常監測管理的重要缺失和隱患點。

2、缺乏實時有效、全面的安全保障能力，面對網絡攻擊無法有效識別、預警、防范和應急響應，信息安全技術措施部署不到位、運行維護專業化相對滯后，安全保障能力不強，應急響應措施不足。

3、缺乏信息安全數據貫通和網絡安全處置協同能力，各系統間信息安全數據的共享交換和統籌管理能力不足，網絡安全運營模式考慮不充分缺乏安全創新性。

具體安全風險如下：

1、網絡安全風險：各網絡區域間未充分采取安全隔離措施，在通過辦公網訪問物流工控網絡過程中，不能有效攔截辦公網中木馬病毒及針對工控系統開發的惡意軟件，存在網絡攻擊通過一個節點入侵、擴散至整個工控系統風險。對工控網絡流量和訪問關系缺乏有效的監測手段，不能及時提供工控網絡安全風險預警和故障定位，存在發生故障后，排障時間長、原因無法定位的風險，存在第三方人員通過非法IP接入網絡風險。

2、主機安全風險：監控主機和PC等使用windows系統，具有系統、軟件版本低，安全策略不全面等現象，存在病毒防范能力低，易被入侵的風險。

3、控制設備安全風險：控制系統中的PLC及掃碼機、打碼機等設備存在固有漏洞，若修補不及時存在被惡意利用風險。部分控制設備及應用為國外設備，存在安全不可控風險。

4、數據安全風險：數據安全風險：部分工業通訊協議安全機制缺乏、端口與服務不設限使用。

5、管理安全風險：工控系統資產梳理不清，資產脆弱性掌握不充分，易導致系統高價值資產面臨較大威脅。

啟明星辰煙草物流安全解決方案

啟明星辰以該煙草企業的物流工控系統為防護對象，圍繞新場景下網絡安全管理目標，構建一套完整的“事前有防范、事中有應對、事后有追溯”煙草物流安全解決方案，實現行業化、智能化、安全化的典型數字化轉型實踐，有效提升煙草企業的物流管理水平，促進煙草企業的穩定、健康發展。

三大設計思路

構筑煙草行業安全防御體系

1、監管要求為前提。

以煙草行業規范YC/T 580-2019《煙草行業工業控制系統網絡安全基線技術規范》為主線，以YC/T 495-2014《煙草行業信息系統安全等級保護實施規范》、YC/T494-2014《煙草行業工業企業生產網與管理網網絡互聯安全規范》為基礎，綜合考慮等級保護和工業互聯網安全相關標準規范，將行業環境下標準要求有機融入各項安全過程中。

2、解決突出問題為先導。

通過對系統所處環境、相關方的需求和風險分析，確定工控網絡安全管理體系范圍、要求及其過程，按照“先邊界安全加固、后深入內部防護” 的思路，縱向分層，橫向分區構建安全可靠的網絡結構，對各項安全技術措施進行持續監督、評價和改進。

3、管理為先，技術跟隨。

從網絡風險管理角度出發，綜合考慮安全管理一體化、標準化、智能化、可視化要求，初步實現物流安全一張圖、技術管理一平臺、安全監測與響應一條線的綜合安全管理目標，貼近物流中心業務實景，安全為業務保障服務。

四大方面

提升煙草行業物流管理水平

1、梳理系統業務流程，夯實結構安全。

綜合考慮物流工控系統的組網結構、業務訪問關系、通信協議、部署環境等多方面因素，沿用原網絡劃分出的區域，確定重要網絡邊界。將辦公網和物流工控網為第一層邊界，通過部署工業網閘，實現網絡安全隔離與訪問控制，保障生產安全。同時，在不改變原組網結構的基礎上，通過在工控網的兩個匯聚交換機處部署工業防火墻，借助工控協議的深度解析能力和基于白名單的安全策略，實現工控行為的合規性控制，實現網絡分層、分域保護。

2、補齊安全基因缺陷，持續性措施保護。

在設置的安全管理區，通過部署工控漏洞掃描系統，定期對SCADA、PLC等工控資產和臨時接入設備進行無損掃描，提供資產漏洞識別、資產漏洞修復評估與管理，在根源上為企業提供安全可靠的工控環境；通過部署工業運維審計（堡壘機）和日志審計系統，集中管理運維賬號，實時控制運維操作權限和命令，阻斷異常行為，對事件進行全面審計，保障系統安全運維。工業主機安全防護在原防護系統的基礎上，進行策略優化，實現對主機安全防護能力的補齊。

3、打造高效安全監測，精準化風險管控。

在出庫和分揀線1區域的匯聚交換機旁路部署工控異常監測與審計系統，實現工控行為識別與合規性檢查、審計與告警。設置安全管理區部署全流量檢測和威脅分析系統，進行物流工控網絡攻擊雙向檢測、APT沙箱檢測、全量數據存儲檢索、應用元數據解析、攻擊回溯取證和數據安全分析。為增強統一管理能力，在辦公網部署工控態勢感知系統，以工控網部署的安全設備為探針，對物流工控網絡的安全設備進行實時檢測與管理，從全局分析、外部攻擊、橫向攻擊、惡意外連多維度主動掌握工控網絡運行的安全狀態。

4、適度引入安全新技術，加強主動防御能力。

基于網絡欺騙防御技術，應用工業蜜罐系統，參照生產業務仿真構建蜜網，延緩攻擊者對實際業務網絡的攻擊，保護真實網絡資產，同時以技術手段實現對攻擊者的追蹤。工業蜜罐系統打破了現有攻防不對稱的局面，結合其他安全系統共同構成主動安全防御體系。

在“數字煙草”建設的大背景下，煙草企業積極推進煙草產業與信息化的深度融合，煙葉復烤、制絲、卷包、物流等各個生產環節均廣泛應用工業控制系統，其和企業管理網進行數據交換的需求愈加緊密。啟明星辰將不斷探索高效、全面的工控網絡安全防護體系，充分整合產品、平臺和服務資源，在企業生產信息化建設持續深入過程中，有效保障企業的正常運行，筑牢行業創新發展“壓艙石”。