智能化工廠安全防護系列——智能發貨系統網路安全防護方案

隨著物聯網、大數據和移動應用等新一輪信息技術的發展，全球化工業革命開始提上日程，工業轉型開始進入實質階段。在中國，智能製造、中國製造2025等戰略的相繼出台，表明國家開始積極行動起來，把握新一輪工發展機遇實現工業化轉型。智能工廠作為工業智能化發展的重要實踐模式，已經引發行業的廣泛關注。工業物聯網的提出，給「中國製造2025」、工業4.0提供了一個新的突破口。傳統的工業生產採用M2M(Machineto Machine)的通信模式，實現了設備與設備間的通信，而物聯網通過（T2T）Things to Things的通信方式實現人、設備和系統三者之間的智能化、互動式無縫連接。

智能發貨系統

智能發貨系統將收款、智能叫號、地磅、裝車、結算等工序完整結合在一起，大大的提高了發貨效率，降低客戶等待時間，提高客戶滿意度。

整體網路架構如下：

客戶在營銷處提交公司信息、裝車車牌號等信息表，生成對應的裝車卡。通過銀企互聯繫統將對應資金匯入公司指定賬戶後，裝車司機即可通過網路或者APP申請裝車內容、容量及裝車時間，智能發貨系統伺服器收到相關信息後，自動分配裝貨貨場及鶴位，並將對應裝車信息推送到相關貨場PLC系統。通過叫號系統叫號後，車輛刷卡進廠，裝車完畢後通過地磅系統後刷卡結算出廠，財務收到結算信息後自動列印相應發票信息。在運行過程中降低出錯率，提高工作效率。

存在的安全隱患

智能發貨系統需要將客戶服務終端APP、自助發票和銀企互聯這三大功能的必要條件均是連接外部公共網路，造成了內網不設防；並且系統與貨場發貨系統在一個網路內部，沒有進行物理隔離，暴露出極大的安全生產隱患。安全隱患如下：

1、黑客惡意攻擊：

1.1 黑客能夠通過營業室自助發票系統電腦和財務室銀企互聯電腦滲入到我們的內部網路進行網路攻擊、竊取數據。例如攻擊伺服器致使伺服器死機就可導致系統癱瘓。

1.2 部分不法客戶可僱傭黑客滲入內網竊取資料庫密碼，進行數據篡改和刪除。例如篡改財務數據將客戶資金50萬改為500萬。

1.3 黑客可通過營業室自助發票系統電腦和財務室銀企互聯電腦滲入發貨系統內網，登陸貨場操作站對貨場或罐區的設備進行惡意操作，造成重大安全事故。例如黑客滲入後登陸球罐區電腦關閉球罐的進線氣動閥，導致生產裝置憋壓，緊急處理不當甚至導致爆炸。

2、病毒攻擊：

大量的網路病毒通過營業室電腦和財務室電腦傳播到我們的內部網路中。

3、內部人員誤操作

目前智能發貨系統與貨場發貨PLC系統在同一台電腦上操作，操作員業務不熟練會造成鶴位、含水等信息錄入錯誤，對後續工作造成很大的影響。

4、數據泄露

目前大部分維護仍需要供應商技術人員遠程服務，供應商可以備份我公司伺服器數據，同時黑客可以使用給供應商留的渠道進入公司內網，竊取機密資料庫信息。

5、操作系統漏洞

我公司電腦基本使用微軟Windows 2000舊版本操作系統，並且由於以前沒有聯網，所以電腦沒有安裝殺毒軟體等防護軟體，同時， Windows 2000的微軟官方技術支持已結束，舊Windows系統的安全性不再獲得保障，系統後續的安全防護工作更難開展。

解決方案

區域管理

在發貨控制PLC區域與智能發貨管理區域之間增加海天煒業Guard防火牆，Guard工業防火牆是公司聯合中科院軟體所推出的一款自主工控網路安全防護產品，也是首款榮獲國家發改委資金支持的工業防火牆，屬於新一代工業協議增強型防火牆。產品具備SPI狀態檢測和防護功能，能夠實現對發貨控制區應用掃描、高效過濾，防網路攻擊，抵禦非法訪問、防病毒傳播等功能。通過允許、拒絕或重定向經過防火牆的數據流，實現對控制系統服務和訪問的審計與控制。

系統管控

在PLC控制操作站與工程師站、營銷中心制卡機與財務計算機、大廳查詢機安裝包含進程白名單管控和USB外設白名單管控兩方面功能的Intrust可信晶元工控安全平台。採用 「白名單」模式的智能可信度量系統，可以通過度量信息實現對程序進程的全面安全管控，解決了工控系統計算機病毒感染、惡意代碼進程啟動、操作系統內核漏洞隱患，從根本上實現了對各種不安全因素的主動防禦，提高了工控系統計算機自身的免疫力，解決了Windows XP等操作系統的安全問題。

漏洞防禦

在APP伺服器前端安裝海天煒業公司自行研製開發的新一代 Web 安全防護與應用產品Web 應用安全網關，用於防禦以 Web 應用程序漏洞為目標的攻擊，並針對 Web 伺服器進行 HTTP/HTTPS 流量分析，及針對 Web 應用訪問各方面進行優化，以提高 Web 或網路協議應用的可用性、性能和安全性，確保 Web 業務應用安全。

數據備份

在智能發貨伺服器安裝海天煒業資料庫備份軟體產品，獨有自主資料庫與文件實時監控備份雙引擎，純綠色、無需安裝、操作便捷。跨平台支持本地/遠程/FTP文件、MSSQL、ORACLE、MySQL、PostgreSQL、達夢等資料庫完全、增量、事務日誌備份與恢復。只需一機安裝，即可管理無限台計算機的資料庫/文件備份；Windows計劃任務模式的備份任務設置，可自由組合無限複合式備份任務；支持備份文件ZIP壓縮後通過Lan/Ftp/雲/Email傳輸存儲，自由刪除指定周期與存儲位置的備份文件；支持第三方資料庫備份文件的恢復；通過「睿雲」技術，全面實現端到端、平台到端的備份指令推送與日誌管理等功能。

全面安全部署

在管理區域增加一台伺服器安裝海天煒業工控網路安全管理平台，對海天煒業所有相關產品進行配置部署，收集日誌，分析、組織、處理網路環境內的告警、設備運行信息。工控網路安全管理平台的範圍包括本次項目中涉及的所有安全相關設備與系統，它是安全設備管理系統產品的核心，負責連接其它模塊，傳遞運行數據，並完成所有管理功能的後台處理。收集來自安全設備、網路設備、伺服器和應用系統的數據，通過收集、格式化、過濾、關聯等方式對事件簡化和合并，為用戶展示最有價值的數據信息，資料庫可以存儲各種設備基本情況、安全日誌信息等，在伺服器控制台上可以進行全部安全事件的顯示。

工控網路安全事業部 孫偉

30秒了解海天煒業：

作為國內首家專業開展工控網路安全業務的企業，海天煒業已經成長為行業領軍企業。目前，公司已擁有自主知識產權的Guard工業防火牆、UniFace安全數采網關、InTrust可信晶元工控安全平台、工控安全審計與異常監測系統、工控網路安全管理平台等全系列安全產品；建立了集評估評測、研發、銷售、安全服務於一體的工控網路安全服務體系，可以為用戶提供從工控網路安全延伸到工業生產安全的一體化解決方案，打造更具競爭力的工控網路安全服務平台。未來，海天煒業將結合技術趨勢和市場發展，推出眾多新型網路安全產品和服務，在保證用戶工業控制系統的網路安全、主機安全、應用安全、工控數據安全的同時，實現持續防禦，為用戶工業控制網路的全生命周期提供系統的安全解決方案。

海天煒業

全廠工控系統安全一站式服務

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！