烟草行业区域物流中心工控安全的研究与设计

烟草行业区域物流中心工控安全的研究与设计

孙金留

32090219781020****

【内容摘要】近年来，随着人工智能及互联网技术的高速发展，信息化与工业化的融合速度越来越快。企业规模越大，工业控制系统的网络安全越关键。但是，受到网络环境和计算机技术的影响，工业控制系统的网络安全也面临着更多的安全隐患，只有采取更多安全可靠的技术和行之有效的管理手段，才能确保工业控制系统的安全、稳定、可靠运行。

盐城烟草根据全省物流发展规划与2019年作为首家试点单位对物流设备进行了技术改造，建成后物流业务范围覆盖盐城、淮安、连云港三个区域，物流模式也将有较大变化。对物流的工控网络提出了更高的要求，为了保证工控网络的安全，对整体工控安全进行研究与设计。

【关键词】：区域物流、网络、工业控制、网络、安全

一、研究背景

近年来，信息技术的广泛应用已经对烟草行业的发展产生了越来越深刻的影响和促进，作为信息化建设中的重要组成部分，信息系统安全保障体系建设是实现数字烟草目标的重要保证，本文是根据工控系统自身安全需求及面临的安全威胁作为出发点,在充分考虑系统承载的业务安全需求及等级保护、国家局文件等合规性要求基础上，梳理出系统具体的安全要求，着重解决公司工业网络安全建设的重要问题。

二、研究原则

1、全面设计原则

本文工业信息安全建设方案对网络和系统进行分区域、层次、威胁路径等多维度保护.，并覆盖信息系统全生命周期过程，将信息安全保障体系建设与信息化规划建设工作进行同步。

2、模块化原则

模块化程序设计的基本思想是自顶向下、逐步分解、分而治之，即将一个较大的程序按照功能分割成一些小模块，各模块相对独立、功能单一、结构清晰、接口简单。模块化的好处是不需要重复输入功能类似的代码，保证通用性。

3、可扩展性原则

在进行多种检测功能的二次开发、系统实施时，使实现的具体算法具备良好的扩展性和可移植性；具备针对不同业务处理的灵活性，能随着业务功能的变化灵活重组与调整，同时提供标准的开放接口，便于系统的升级改造和与其它系统进行数据与信息的交互。

三、研究内容及目标

工控网络安全设计按照等保三级标准要求进行建设，对安全管理中心和计算环境安全、区域边界安全、通信网络安全的安全合规进行方案设计，同时为业务应用系统发展提供可兼容的空间，确保整体信息安全目标的实现。

在互联网接入，网络传输，终端接入方面将着重研究以下内容和目标：

互联网出口安全隔离：防止非法访问，对不同的用户，管理，业务区进行安全隔离和管控，区别各种攻击流量和正常流量，并能采取相应的措施保护内部网络免受恶意攻击，保证网络及系统的正常运行；

NAT转换：由于公网地址非常有限，互联网出口需要采用大容量NAT设备来做NAT转换，记录NAT转换，QQ/MSN等IM的上下线日志，URL日志，便于审计；

入侵防御：防止对数据中心HTTP、FTP、DNS、Mail等服务器的各种攻击，包括蠕虫，木马，间谍软件，广告软件，僵尸网络，数据库注入攻击，跨站脚本，缓冲区溢出，系统或服务漏洞攻击，暴力破解等；

APT攻击防护：防止APT潜伏于网络，进行长期的恶意攻击，引起关键资产的泄密；

网络病毒防护：数据中心服务器病毒防护，防止病毒通过HTTP、SMTP、POP3、FTP等网络协议进行传播。

四、工业安全架构设计图

（1）、在工控网络与管理信息网之间部署工控隔离网闸，工控网、管理信息网处理单元之间通过专用的隔离芯片进行数据的摆渡传输。

（2）、在工控网闸与工控网汇聚交换机之间部署工业防火墙,提供针对工业协议的指令级深度检测，实现了对Modbus、OPC DA、DNP3等主流工业协议和规约的细粒度检查和过滤。

（3）、在工控运维区域部署工控入侵检测，入侵检测可以针对工业协议进行深度解析，从而进行各种攻击的检测，

（4）、工控网络安全主机卫士，系统采用了白名单机制，拦截一切未知程序和脚本的执行，既可有效抵御已知和未知的恶意代码，又规避了传统杀毒软件病毒库更新不及时的问题，从根本上保障主机运行环境的安全。

（5）、工控安全监测预警平台监测预警平台可以对工业网络中各类上位机服务器、工控终端、网络交换设备、工控安全设备进行集中化的性能状态监控、安全事件的集中展示、安全风险的评估、工控分区分域的健康等级，以及依赖于工控知识库的安全响应与处置。

五、小结

本次研究以工控安全为主的前提下，为企业避免有可能发生的大量网络安全事故，同时，围绕烟草行业信息安全体系建设的特点和发展趋势，结合公司的安全发展需求，在分析公司管理信息网及工业控制网安全现状的基础上，提出针对性的安全加固方案，为企业发展保驾护航。

参考文献：

[1] 汪小毅.大数据背景下的烟草工业企业网络安全的探究.百度学术,（201911）。

[2]陈兴毕 李源. 基于烟草工控系统网络安全风险评估的研究与应用. 《信息技术与网络安全》, (201908）。