一、行業(yè)背景與政策要求

（一）行業(yè)發(fā)展現(xiàn)狀

煙草行業(yè)作為我國(guó)重要產(chǎn)業(yè)之一，在經(jīng)濟(jì)發(fā)展中占據(jù)著重要地位。近年來(lái)，隨著智能化轉(zhuǎn)型的加速，煙草行業(yè)的工控網(wǎng)絡(luò)安全問(wèn)題愈發(fā)凸顯。

在產(chǎn)量增長(zhǎng)方面，我國(guó)煙草行業(yè)一直保持著穩(wěn)定的發(fā)展態(tài)勢(shì)。煙草產(chǎn)量的持續(xù)增長(zhǎng)不僅體現(xiàn)了國(guó)內(nèi)市場(chǎng)的需求，也在一定程度上反映了我國(guó)煙草行業(yè)在國(guó)際市場(chǎng)上的影響力不斷加大。同時(shí)，煙草行業(yè)的智能化轉(zhuǎn)型為生產(chǎn)效率的提升帶來(lái)了新的機(jī)遇。例如，鄖西煙草通過(guò)行政審批、零售終端智能化升級(jí)以及煙葉生產(chǎn)中的技術(shù)創(chuàng)新，實(shí)現(xiàn)了煙草產(chǎn)業(yè)鏈的全方位升級(jí)與轉(zhuǎn)型。在煙葉生產(chǎn)領(lǐng)域，大力推廣無(wú)人機(jī)作業(yè)技術(shù)，提高了作業(yè)效率和質(zhì)量，降低了人力成本和環(huán)境污染。在零售終端方面，積極推動(dòng)智慧門(mén)店建設(shè)，以科技賦能傳統(tǒng)零售業(yè)態(tài)，為消費(fèi)者帶來(lái)了更加便捷、高效的購(gòu)物體驗(yàn)。

然而，智能化轉(zhuǎn)型也帶來(lái)了新的安全挑戰(zhàn)。隨著工控系統(tǒng)深入到煙草生產(chǎn)的諸多環(huán)節(jié)，以及工業(yè)互聯(lián)網(wǎng)等新一代信息技術(shù)的廣泛應(yīng)用，工控生產(chǎn)網(wǎng)與商業(yè)辦公網(wǎng)的互聯(lián)互通成為常態(tài)，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件的風(fēng)險(xiǎn)也隨之增加。

（二）政策規(guī)范推動(dòng)

國(guó)家高度重視工業(yè)安全，各部門(mén)出臺(tái)了一系列相關(guān)政策文件，對(duì)煙草等重要行業(yè)工控安全提出了明確要求。

全國(guó)人大《中華人民共和國(guó)網(wǎng)絡(luò)安全法》規(guī)定，國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。煙草行業(yè)作為重要產(chǎn)業(yè)，其工控網(wǎng)絡(luò)安全也在重點(diǎn)保護(hù)范圍之內(nèi)。

工信部先后出臺(tái)了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018 - 2020）》《工業(yè)互聯(lián)網(wǎng)發(fā)展行動(dòng)計(jì)劃（2018 - 2020 年）》等文件，加強(qiáng)重點(diǎn)領(lǐng)域工控信息系統(tǒng)安全管理，為工業(yè)企業(yè)開(kāi)展工控安全防護(hù)工作提供了整體性指導(dǎo)，指導(dǎo)做好工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作，檢驗(yàn)工控安全防護(hù)實(shí)踐效果，提升工業(yè)企業(yè)工控安全防護(hù)能力，加快我國(guó)工控安全保障體系建設(shè)。

公安部《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》針對(duì)共性安全保護(hù)需求提出安全通用要求，針對(duì)云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域的個(gè)性安全保護(hù)需求提出安全擴(kuò)展要求，形成新的網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求標(biāo)準(zhǔn)，為煙草行業(yè)工控網(wǎng)絡(luò)安全提供了具體的規(guī)范指導(dǎo)。

此外，工業(yè)和信息化部《關(guān)于進(jìn)一步加強(qiáng)工業(yè)行業(yè)安全生產(chǎn)管理的指導(dǎo)意見(jiàn)》強(qiáng)調(diào)，要將安全生產(chǎn)作為行業(yè)管理的重要內(nèi)容，從行業(yè)規(guī)劃、產(chǎn)業(yè)政策、法規(guī)標(biāo)準(zhǔn)、行政許可等方面加強(qiáng)安全生產(chǎn)工作，指導(dǎo)督促工業(yè)企業(yè)加強(qiáng)安全管理。通過(guò)技術(shù)改造促進(jìn)企業(yè)提升本質(zhì)安全水平，推動(dòng)互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)在安全生產(chǎn)領(lǐng)域廣泛應(yīng)用，用智能化、信息化手段提升企業(yè)本質(zhì)安全水平及工控安全、數(shù)據(jù)安全管理能力。

市場(chǎng)監(jiān)管總局《關(guān)于推進(jìn)重點(diǎn)工業(yè)產(chǎn)品質(zhì)量安全追溯的實(shí)施意見(jiàn)》提出，實(shí)施重點(diǎn)工業(yè)產(chǎn)品質(zhì)量安全追溯，是落實(shí)工業(yè)產(chǎn)品生產(chǎn)銷(xiāo)售單位質(zhì)量安全主體責(zé)任，強(qiáng)化全過(guò)程質(zhì)量安全風(fēng)險(xiǎn)防控，促進(jìn)產(chǎn)品質(zhì)量水平提升，加快全國(guó)統(tǒng)一大市場(chǎng)建設(shè)的重要舉措。雖然該意見(jiàn)主要針對(duì)重點(diǎn)工業(yè)產(chǎn)品質(zhì)量安全追溯，但對(duì)于煙草行業(yè)的工控網(wǎng)絡(luò)安全也具有一定的借鑒意義，如加強(qiáng)信息基礎(chǔ)設(shè)施安全保護(hù)和網(wǎng)絡(luò)安全等級(jí)保護(hù)等要求。

二、煙草行業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀

（一）安全風(fēng)險(xiǎn)分析

1. 網(wǎng)絡(luò)通信安全風(fēng)險(xiǎn)分析

? 安全域架構(gòu)設(shè)計(jì)欠缺可能導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)不清晰，難以進(jìn)行有效的安全管理和防護(hù)。不同區(qū)域之間的訪問(wèn)控制不明確，增加了非法訪問(wèn)和攻擊的風(fēng)險(xiǎn)。

? 網(wǎng)絡(luò)隔離機(jī)制不合理會(huì)使不同網(wǎng)絡(luò)區(qū)域之間的邊界防護(hù)薄弱，可能導(dǎo)致惡意軟件、黑客攻擊等從一個(gè)區(qū)域擴(kuò)散到其他區(qū)域，影響整個(gè)工控網(wǎng)絡(luò)的安全。

? 通信明文傳輸使得數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時(shí)容易被竊聽(tīng)和解析，敏感信息如生產(chǎn)指令、工藝參數(shù)等可能被泄露，給企業(yè)帶來(lái)重大安全隱患。

? 無(wú)線網(wǎng)絡(luò)管控不完善可能導(dǎo)致未經(jīng)授權(quán)的設(shè)備接入工控網(wǎng)絡(luò)，增加了網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)。同時(shí)，無(wú)線信號(hào)的不穩(wěn)定性也可能影響工控系統(tǒng)的正常運(yùn)行。

? 安全審計(jì)機(jī)制缺失使得企業(yè)無(wú)法對(duì)網(wǎng)絡(luò)活動(dòng)進(jìn)行有效的監(jiān)控和記錄，一旦發(fā)生安全事件，難以追溯源頭和確定責(zé)任。

2. 設(shè)備應(yīng)用安全風(fēng)險(xiǎn)

? 工業(yè)控制系統(tǒng)自身漏洞可能被黑客利用，進(jìn)行惡意攻擊或獲取系統(tǒng)控制權(quán)。這些漏洞可能存在于操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備等各個(gè)層面。

? 惡意代碼傳播可能導(dǎo)致工控系統(tǒng)癱瘓、數(shù)據(jù)丟失或被篡改。惡意代碼可以通過(guò)移動(dòng)存儲(chǔ)設(shè)備、網(wǎng)絡(luò)連接等途徑進(jìn)入工控系統(tǒng)。

? 登錄安全管理欠缺可能導(dǎo)致未經(jīng)授權(quán)的人員訪問(wèn)工控系統(tǒng)，進(jìn)行非法操作或竊取敏感信息。例如，弱密碼、默認(rèn)密碼未更改等問(wèn)題容易被攻擊者利用。

? 終端遠(yuǎn)程運(yùn)維風(fēng)險(xiǎn)包括未經(jīng)授權(quán)訪問(wèn)、違規(guī)操作、感染病毒木馬等。遠(yuǎn)程運(yùn)維如果沒(méi)有嚴(yán)格的身份認(rèn)證和訪問(wèn)控制機(jī)制，可能被攻擊者利用進(jìn)行惡意攻擊。

? 移動(dòng)存儲(chǔ)設(shè)備接入風(fēng)險(xiǎn)主要是未經(jīng)授權(quán)的移動(dòng)存儲(chǔ)設(shè)備可能攜帶惡意軟件進(jìn)入工控系統(tǒng)，造成感染和傳播。

3. 日常管理安全風(fēng)險(xiǎn)

? 安全工作人員欠缺可能導(dǎo)致安全管理不到位，無(wú)法及時(shí)發(fā)現(xiàn)和處理安全問(wèn)題。同時(shí)，缺乏專業(yè)的安全人員也會(huì)影響企業(yè)安全策略的制定和實(shí)施。

? 人員安全意識(shí)薄弱可能導(dǎo)致員工在日常工作中忽視安全問(wèn)題，如隨意接入外部設(shè)備、泄露密碼等，增加了安全風(fēng)險(xiǎn)。

? 應(yīng)急保障機(jī)制不完善使得企業(yè)在面臨安全事件時(shí)無(wú)法及時(shí)有效地進(jìn)行響應(yīng)和恢復(fù)，可能導(dǎo)致?lián)p失擴(kuò)大。

（二）案例體現(xiàn)現(xiàn)狀

1. 當(dāng)前有些卷煙廠工控網(wǎng)絡(luò)現(xiàn)狀

? 有些卷煙廠存在主機(jī)及應(yīng)用軟件漏洞，如操作員站、工程師站、服務(wù)器等物理主機(jī)大部分采用 Windows 操作系統(tǒng)，監(jiān)控組態(tài)軟件、數(shù)據(jù)庫(kù)等應(yīng)用軟件很少進(jìn)行補(bǔ)丁升級(jí)，防護(hù)能力脆弱，容易遭受病毒、惡意代碼攻擊。同時(shí)，卷包數(shù)采車(chē)間設(shè)備老舊，無(wú)法安裝殺毒軟件或主機(jī)防護(hù)系統(tǒng)。上位機(jī)操作系統(tǒng)大部分未安裝殺毒軟件，主機(jī)外設(shè)接入無(wú)管控，容易感染病毒并在網(wǎng)絡(luò)中傳播。

? 缺乏網(wǎng)絡(luò)監(jiān)控和審計(jì)措施，無(wú)法對(duì)網(wǎng)絡(luò)狀態(tài)進(jìn)行有效監(jiān)控和對(duì)操作日志行為進(jìn)行審計(jì)，缺乏網(wǎng)絡(luò)事件記錄和跟蹤能力，難以對(duì)安全問(wèn)題進(jìn)行根源定位。

? 缺乏全局監(jiān)控的技術(shù)措施，缺少對(duì)生產(chǎn)網(wǎng)絡(luò)中的控制系統(tǒng)和安全設(shè)備的安全統(tǒng)一監(jiān)視和管理的綜合平臺(tái)，無(wú)法對(duì)設(shè)備資產(chǎn)管理、運(yùn)行狀況監(jiān)控、安全報(bào)警、事件感知、記錄分析及后續(xù)處理進(jìn)行統(tǒng)一管理，也無(wú)法分析評(píng)價(jià)各車(chē)間區(qū)域整體主機(jī)設(shè)備運(yùn)行的優(yōu)良狀況。

2. 煙草公司安全難題

? 破解 IT 和 OT“兩張皮”難題是當(dāng)前面臨的重要挑戰(zhàn)。資產(chǎn)和風(fēng)險(xiǎn)管理方面，由于工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的差異，資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估難度較大。事件分散溯源困難，一旦發(fā)生安全事件，難以快速確定事件源頭和影響范圍。缺乏統(tǒng)一監(jiān)控，無(wú)法對(duì)整個(gè)企業(yè)的工控網(wǎng)絡(luò)進(jìn)行全面有效的監(jiān)控和管理。

3. 卷煙廠動(dòng)力車(chē)間與長(zhǎng)沙卷煙廠舉措

? 河南中煙洛陽(yáng)卷煙廠動(dòng)力車(chē)間建立“三張清單”筑牢網(wǎng)絡(luò)安全防線，通過(guò)明確責(zé)任、強(qiáng)化管理等措施，提高了網(wǎng)絡(luò)安全水平。

? 湖南中煙長(zhǎng)沙卷煙廠多措并舉強(qiáng)化工控網(wǎng)絡(luò)管理。開(kāi)展網(wǎng)絡(luò)安全培訓(xùn)和教育活動(dòng)，增進(jìn)員工對(duì)網(wǎng)絡(luò)攻擊的了解，提升網(wǎng)絡(luò)安全意識(shí)和技能。搭建基于縱深防御策略的網(wǎng)絡(luò)安全防護(hù)體系，利用防火墻、入侵檢測(cè)系統(tǒng)和反病毒軟件等實(shí)現(xiàn)分級(jí)安全防范。強(qiáng)化網(wǎng)絡(luò)監(jiān)控和管理，建立基于服務(wù)的監(jiān)測(cè)管控體系，及時(shí)感知異常或未知威脅。加強(qiáng)數(shù)據(jù)保護(hù)和備份，采取多重備份機(jī)制確保重要數(shù)據(jù)安全，并制定網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案。此外，長(zhǎng)沙卷煙廠還在網(wǎng)絡(luò)安全領(lǐng)域精耕細(xì)作，形成了一套獨(dú)具特色的管理體系。戰(zhàn)略引領(lǐng)，將網(wǎng)絡(luò)安全全面融入企業(yè)長(zhǎng)期發(fā)展規(guī)劃與日常運(yùn)營(yíng)管理，構(gòu)建“一把手”負(fù)總責(zé)、多級(jí)聯(lián)動(dòng)的網(wǎng)絡(luò)安全管理體系，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，下設(shè)多個(gè)專業(yè)小組協(xié)同作戰(zhàn)。人才筑基，創(chuàng)新驅(qū)動(dòng)，采取內(nèi)部挖潛與外部引進(jìn)并重的策略打造專業(yè)團(tuán)隊(duì)，注重內(nèi)部培養(yǎng)和外部引進(jìn)高層次人才，重視實(shí)戰(zhàn)經(jīng)驗(yàn)積累，積極參與行業(yè)內(nèi)外網(wǎng)絡(luò)安全競(jìng)賽。通過(guò)實(shí)戰(zhàn)演練，檢驗(yàn)防御體系的防護(hù)能力與應(yīng)變能力，制定網(wǎng)絡(luò)安全定期檢查與實(shí)戰(zhàn)演練機(jī)制，主動(dòng)識(shí)別并評(píng)估潛在風(fēng)險(xiǎn)，與外部安全機(jī)構(gòu)合作交流，提升企業(yè)網(wǎng)絡(luò)安全防護(hù)能力。

三、煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案

（一）通用解決方案

隨著煙草行業(yè)智能化轉(zhuǎn)型的加速，工控網(wǎng)絡(luò)安全問(wèn)題日益凸顯。為了應(yīng)對(duì)這些安全風(fēng)險(xiǎn)，需要采取一系列的解決方案。

1. 入侵防范&監(jiān)測(cè)審計(jì)

部署工控安全監(jiān)測(cè)審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)內(nèi)傳輸?shù)牧髁窟M(jìn)行字段級(jí)解析，建立協(xié)議基線、流量基線、鏈路基線。通過(guò)特定的安全策略，快速識(shí)別出企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)非法操作、異常事件、外部攻擊，并實(shí)時(shí)報(bào)警，對(duì)異常操作、非法入侵、執(zhí)行惡意代碼等行為進(jìn)行事中告警、事后審計(jì)。

2. 邊界防護(hù)

在各生產(chǎn)業(yè)務(wù)系統(tǒng)間冗余部署工控防火墻，實(shí)現(xiàn)區(qū)域邊界防護(hù)；在數(shù)據(jù)中心部署網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，有效阻止非法終端接入和違規(guī)外聯(lián)；在生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)之間部署工業(yè)網(wǎng)閘，實(shí)現(xiàn)網(wǎng)間數(shù)據(jù)的安全隔離與交換。通過(guò)這些措施，對(duì)系統(tǒng)進(jìn)行訪問(wèn)控制，邏輯隔離、報(bào)文過(guò)濾等功能，只允許特定的對(duì)象通過(guò)，特定的工控協(xié)議與系統(tǒng)進(jìn)行交互，同時(shí)對(duì)報(bào)文內(nèi)容進(jìn)行深度檢查，識(shí)別正常的操作行為并生成白名單，對(duì)不符合白名單行為特征的進(jìn)行阻斷或告警。

3. 運(yùn)維管控

在數(shù)據(jù)中心部署運(yùn)維堡壘機(jī)，實(shí)現(xiàn)設(shè)備遠(yuǎn)程運(yùn)維操作的全面審計(jì)和行為管控，滿足遠(yuǎn)程運(yùn)維管控要求。限制設(shè)備的遠(yuǎn)程登錄地址，對(duì)用戶的操作權(quán)限以及操作行為進(jìn)行審計(jì)記錄，并提供會(huì)話審計(jì)和回放功能，同時(shí)確保審計(jì)記錄不被破壞或非授權(quán)訪問(wèn)。

4. 終端防護(hù)

在操作員站、工程師站、服務(wù)器上部署終端防護(hù)系統(tǒng)客戶端，實(shí)現(xiàn)終端安全加固、進(jìn)程白名單管控和 USB 移動(dòng)介質(zhì)管控。以白名單的技術(shù)方式監(jiān)控工控主機(jī)的進(jìn)程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB 端口狀態(tài)，全方位地保護(hù)主機(jī)的資源使用，禁止非法進(jìn)程的運(yùn)行，切斷病毒和木馬的傳播與破壞路徑，保障服務(wù)器和工作站的系統(tǒng)安全。同時(shí)，通過(guò)對(duì) U 盤(pán)的權(quán)限設(shè)置及行為管理，全面防護(hù) USB 病毒及攻擊，利用過(guò)濾技術(shù)，過(guò)濾可疑文件，切斷病毒傳播途徑，有效攔截攻擊，防止數(shù)據(jù)泄露事故。

5. 安全管理中心

在數(shù)據(jù)中心部署工控安全管理平臺(tái)，對(duì)安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備的日志和告警進(jìn)行歸一化采集、關(guān)聯(lián)分析，展現(xiàn)安全態(tài)勢(shì)和預(yù)警，全面提升安全防護(hù)效率和安全管理能力。實(shí)現(xiàn)對(duì)系統(tǒng)內(nèi)的防護(hù)設(shè)備統(tǒng)一進(jìn)行安全管理，對(duì)全網(wǎng)流量和安全事件進(jìn)行實(shí)時(shí)監(jiān)控，通過(guò)數(shù)據(jù)建模分析內(nèi)網(wǎng)安全威脅，并對(duì)全網(wǎng)設(shè)備狀態(tài)實(shí)時(shí)監(jiān)控和統(tǒng)一管理，實(shí)現(xiàn)統(tǒng)一的策略下發(fā)。

（二）案例解決方案

1. 中煙工業(yè)云南某卷煙廠方案介紹

該廠基于“一個(gè)中心、三重防護(hù)”縱深防御原則，從安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境和安全管理中心四個(gè)方面實(shí)施安全方案。

在安全區(qū)域邊界，部署智能工業(yè)防火墻，進(jìn)行訪問(wèn)控制，邏輯隔離、報(bào)文過(guò)濾等功能，通過(guò)智能學(xué)習(xí)和深度數(shù)據(jù)包解析的黑白名單結(jié)合，只允許特定的對(duì)象通過(guò)，特定的工控協(xié)議與系統(tǒng)進(jìn)行交互，對(duì)報(bào)文內(nèi)容做深度檢查，生成白名單，對(duì)不符合行為特征的進(jìn)行阻斷或告警。

在安全通信網(wǎng)絡(luò)，旁路部署工業(yè)監(jiān)測(cè)審計(jì)系統(tǒng)和網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，通過(guò)特定的安全策略，快速識(shí)別出非法操作、異常事件、外部攻擊，并實(shí)時(shí)報(bào)警，合理設(shè)置檢測(cè)規(guī)則，檢測(cè)隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進(jìn)行安全審計(jì)。

在安全計(jì)算環(huán)境，對(duì)上位機(jī)、服務(wù)器進(jìn)行防護(hù)，以白名單技術(shù)監(jiān)控工控主機(jī)狀態(tài)，部署 USB 安全防御系統(tǒng)，通過(guò)權(quán)限設(shè)置及行為管理，全面防護(hù) USB 病毒及攻擊，切斷病毒傳播途徑。

在安全管理中心，部署工業(yè)日志審計(jì)系統(tǒng)、運(yùn)維審計(jì)與管理設(shè)備（堡壘機(jī)）及統(tǒng)一安全管理平臺(tái)，實(shí)現(xiàn)日志收集分析、設(shè)備集中管控、全網(wǎng)流量和安全事件實(shí)時(shí)監(jiān)控、內(nèi)網(wǎng)安全威脅分析及統(tǒng)一策略下發(fā)等功能。

2. 齊安科技解決方案

齊安科技針對(duì)煙草生產(chǎn)企業(yè)提供風(fēng)險(xiǎn)評(píng)估、邊界安全、運(yùn)維安全、終端安全、安全監(jiān)測(cè)和流量監(jiān)測(cè)等系統(tǒng)部署方案。

風(fēng)險(xiǎn)評(píng)估方面，通過(guò)工業(yè)安全評(píng)估系統(tǒng)，針對(duì)資產(chǎn)構(gòu)成單元進(jìn)行安全評(píng)估，快速構(gòu)建網(wǎng)絡(luò)資產(chǎn)畫(huà)像、網(wǎng)絡(luò)結(jié)構(gòu)拓?fù)?、探測(cè)資產(chǎn)漏洞及分析系統(tǒng)潛在威脅，為安全加固提供參考依據(jù)。

邊界安全方面，在管理網(wǎng)和生產(chǎn)網(wǎng)的邊界及生產(chǎn)業(yè)務(wù)系統(tǒng)間部署工業(yè)防火墻，基于白名單建立訪問(wèn)控制策略，實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)的安全隔離與交換，預(yù)防工控網(wǎng)絡(luò)攻擊行為。

運(yùn)維安全方面，使用檢修作業(yè)安全運(yùn)維系統(tǒng)，實(shí)現(xiàn)運(yùn)維過(guò)程全面審計(jì)、行為管控、數(shù)據(jù)傳輸安全和數(shù)據(jù)儲(chǔ)存安全，滿足現(xiàn)場(chǎng)安全運(yùn)維的管控要求。

終端安全方面，在工程師站、操作員站、服務(wù)器上部署工業(yè)主機(jī)系統(tǒng)，實(shí)現(xiàn)終端安全加固、進(jìn)程白名單管控和 USB 移動(dòng)介質(zhì)管控，防止惡意代碼感染主機(jī)。

安全監(jiān)測(cè)方面，在工業(yè)環(huán)網(wǎng)交換機(jī)、核心交換機(jī)上旁路部署工業(yè)安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)內(nèi)傳輸?shù)牧髁窟M(jìn)行解析，建立通信行為基線，對(duì)異常操作、非法入侵等行為進(jìn)行實(shí)時(shí)告警、事后追溯。

流量監(jiān)測(cè)方面，配合工業(yè)安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)流量、安全事件進(jìn)行可視化趨勢(shì)分析，全面掌握企業(yè)工業(yè)網(wǎng)絡(luò)安全態(tài)勢(shì)。

客戶價(jià)值方面，滿足等保 2.0 及各項(xiàng)制度對(duì)工控安全的相關(guān)要求，符合煙草行業(yè)發(fā)展自動(dòng)化、智能化和網(wǎng)絡(luò)安全防護(hù)發(fā)展要求，擁有完整的防護(hù)體系及管理手段，為企業(yè)工業(yè)網(wǎng)絡(luò)安全及生產(chǎn)安全保駕護(hù)航。

3. 湖北某卷煙廠方案說(shuō)明

湖北某卷煙廠通過(guò)主機(jī)安全加固和工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)等措施，提升整體工控安全監(jiān)管水平和防御能力。

主機(jī)安全加固方面，在工控網(wǎng)絡(luò)內(nèi)的獨(dú)立服務(wù)器、操作員站、工程師站、現(xiàn)場(chǎng) HMI 等上位機(jī)部署工控主機(jī)安全防護(hù)系統(tǒng)，根據(jù)工控系統(tǒng)現(xiàn)場(chǎng)業(yè)務(wù)特征及應(yīng)用建立動(dòng)態(tài)白名單策略，采用可信白名單機(jī)制，解決操作系統(tǒng)、殺毒軟件等因無(wú)法升級(jí)補(bǔ)丁帶來(lái)的安全問(wèn)題，保證系統(tǒng)的穩(wěn)定運(yùn)行。通過(guò)禁止或允許移動(dòng)存儲(chǔ)設(shè)備在服務(wù)器上使用，有效防止移動(dòng)存儲(chǔ)設(shè)備隨意接入對(duì)服務(wù)器系統(tǒng)的安全威脅，提供移動(dòng)介質(zhì)授權(quán)管理，禁止非授權(quán)外設(shè)存儲(chǔ)的接入。各終端軟件部署完成后可通過(guò)安全管理平臺(tái)進(jìn)行統(tǒng)一管理、策略配置、告警顯示等。

工業(yè)網(wǎng)絡(luò)安全監(jiān)測(cè)方面，依據(jù)“設(shè)備自身感知、數(shù)據(jù)就地采集”的原則，在制絲車(chē)間、動(dòng)力中心車(chē)間、卷包車(chē)間匯聚交換機(jī)處旁路部署工控安全監(jiān)測(cè)與審計(jì)系統(tǒng)，提供全面的網(wǎng)絡(luò)行為審計(jì)功能，對(duì)工控設(shè)備異常行為、網(wǎng)絡(luò)應(yīng)用行為進(jìn)行監(jiān)測(cè)，對(duì)符合行為策略的事件實(shí)時(shí)告警并記錄，提供基于協(xié)議識(shí)別的流量分析功能，深度解析工業(yè)協(xié)議，實(shí)時(shí)統(tǒng)計(jì)報(bào)文流量，進(jìn)行綜合流量分析，為流量管理策略的制定提供可靠支持，檢測(cè)生產(chǎn)控制系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，以便于事后進(jìn)行事件取證和定責(zé)。

四、方案優(yōu)勢(shì)與客戶價(jià)值

（一）方案優(yōu)勢(shì)

1. 合規(guī)性滿足關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)制度、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和防護(hù)指南要求。

煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案嚴(yán)格遵循國(guó)家相關(guān)政策法規(guī)，確保在關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)以及防護(hù)指南等方面做到全面合規(guī)。這不僅是對(duì)企業(yè)自身網(wǎng)絡(luò)安全的負(fù)責(zé)，更是對(duì)國(guó)家重要產(chǎn)業(yè)安全的保障。

2. 技術(shù)與管理并重強(qiáng)調(diào)安全不僅是技術(shù)問(wèn)題，還需重視安全管理。

在煙草行業(yè)工控網(wǎng)絡(luò)安全中，技術(shù)與管理相輔相成。一方面，采用先進(jìn)的安全技術(shù)，如入侵防范與監(jiān)測(cè)審計(jì)、邊界防護(hù)、運(yùn)維管控、終端防護(hù)和安全管理中心等，為工控網(wǎng)絡(luò)提供全方位的技術(shù)防護(hù)。另一方面，重視安全管理，不斷完善各類(lèi)安全管理規(guī)章制度和操作規(guī)程，提高安全管理水平，確保技術(shù)措施的有效實(shí)施。

3. 可視化實(shí)現(xiàn)工控網(wǎng)絡(luò)資產(chǎn)可視化管理，動(dòng)態(tài)識(shí)別非法接入設(shè)備，展示安全威脅。

通過(guò)可視化技術(shù)，實(shí)現(xiàn)對(duì)工控網(wǎng)絡(luò)資產(chǎn)的清晰管理。能夠?qū)崟r(shí)動(dòng)態(tài)識(shí)別非法接入設(shè)備，及時(shí)發(fā)現(xiàn)潛在的安全威脅，并直觀地展示給安全管理人員，以便采取相應(yīng)的措施進(jìn)行防范和處理。

4. 全面防護(hù)從多個(gè)層面提供完整安全防護(hù)與管理手段。

從網(wǎng)絡(luò)、終端、通信、數(shù)據(jù)、運(yùn)維、管理等多個(gè)層面入手，提供完整的安全防護(hù)與管理手段。對(duì)工業(yè)環(huán)網(wǎng)交換機(jī)、核心交換機(jī)進(jìn)行旁路部署工控安全監(jiān)測(cè)審計(jì)系統(tǒng)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量的解析和異常行為的告警；在各生產(chǎn)業(yè)務(wù)系統(tǒng)間部署工控防火墻，進(jìn)行區(qū)域邊界防護(hù)；在數(shù)據(jù)中心部署運(yùn)維堡壘機(jī)，管控設(shè)備遠(yuǎn)程運(yùn)維操作；在操作員站、工程師站、服務(wù)器上部署終端防護(hù)系統(tǒng)客戶端，實(shí)現(xiàn)終端安全加固等，全面保障工控網(wǎng)絡(luò)安全。

5. 最小干擾采用非侵入式安全監(jiān)測(cè)與防護(hù)方式，降低對(duì)工控網(wǎng)絡(luò)干擾。

所有安全組件均采用非侵入式安全監(jiān)測(cè)與防護(hù)工作方式，在保障工控網(wǎng)絡(luò)安全的同時(shí)，將對(duì)工控網(wǎng)絡(luò)的干擾降低到最低限度。確保工控系統(tǒng)的穩(wěn)定運(yùn)行，不影響煙草生產(chǎn)的正常進(jìn)行。

6. 多工業(yè)協(xié)議支持支持多種常見(jiàn)工控協(xié)議及私有協(xié)議定制開(kāi)發(fā)。

支持 S7、Modbus、MMS、OPC、DLT645、IEC61850、CIP、DNP3、CDT、EIP、IEC101/102/103/104、BacNet、ProfiNet 等 50 多種常見(jiàn)工控協(xié)議的深度解析，解析深度可達(dá)到功能碼、寄存器讀寫(xiě)屬性甚至數(shù)據(jù)的閾值。同時(shí)，還支持私有協(xié)議定制開(kāi)發(fā)，滿足煙草行業(yè)不同工控系統(tǒng)的特殊需求。

（二）客戶價(jià)值

1. 安全合規(guī)建設(shè)有效履行《網(wǎng)絡(luò)安全法》，滿足等級(jí)保護(hù) 2.0 及煙草行業(yè)規(guī)范要求。

通過(guò)實(shí)施煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案，企業(yè)能夠有效履行《網(wǎng)絡(luò)安全法》規(guī)定的義務(wù)，滿足等級(jí)保護(hù) 2.0 的要求以及煙草行業(yè)的規(guī)范要求。確保企業(yè)在法律和行業(yè)規(guī)范的框架內(nèi)開(kāi)展生產(chǎn)經(jīng)營(yíng)活動(dòng)，避免因安全不合規(guī)而面臨的法律風(fēng)險(xiǎn)和行業(yè)處罰。

2. 構(gòu)建安全防御體系彌補(bǔ)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全缺陷，提高安全防護(hù)，助力企業(yè)安全生產(chǎn)。

針對(duì)煙草行業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全存在的缺陷，如安全域架構(gòu)設(shè)計(jì)欠缺、網(wǎng)絡(luò)隔離機(jī)制不合理、通信明文傳輸、無(wú)線網(wǎng)絡(luò)管控不完善、安全審計(jì)機(jī)制缺失等問(wèn)題，構(gòu)建全面的安全防御體系。提高安全防護(hù)水平，保障企業(yè)生產(chǎn)系統(tǒng)的穩(wěn)定運(yùn)行，助力企業(yè)實(shí)現(xiàn)安全生產(chǎn)。

3. 主動(dòng)防御體系實(shí)現(xiàn)“事前監(jiān)控、事中控制、事后溯源”，保障生產(chǎn)控制系統(tǒng)穩(wěn)定運(yùn)行。

通過(guò)入侵防范與監(jiān)測(cè)審計(jì)、邊界防護(hù)、運(yùn)維管控、終端防護(hù)和安全管理中心等措施，建立主動(dòng)防御體系。實(shí)現(xiàn)對(duì)生產(chǎn)控制系統(tǒng)的事前監(jiān)控，及時(shí)發(fā)現(xiàn)潛在的安全威脅；事中控制，對(duì)異常操作、非法入侵等行為進(jìn)行實(shí)時(shí)告警和阻斷；事后溯源，對(duì)安全事件進(jìn)行審計(jì)和分析，查找原因，為后續(xù)的安全防護(hù)提供經(jīng)驗(yàn)教訓(xùn)。保障生產(chǎn)控制系統(tǒng)的穩(wěn)定運(yùn)行，降低安全事件對(duì)企業(yè)生產(chǎn)的影響。

4. 滿足發(fā)展要求符合煙草行業(yè)自動(dòng)化、智能化和網(wǎng)絡(luò)安全防護(hù)發(fā)展要求，為企業(yè)保駕護(hù)航。

隨著煙草行業(yè)自動(dòng)化、智能化的發(fā)展，網(wǎng)絡(luò)安全防護(hù)的需求也日益迫切。煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案符合行業(yè)發(fā)展要求，為企業(yè)提供全面的網(wǎng)絡(luò)安全防護(hù)，為企業(yè)的自動(dòng)化、智能化發(fā)展保駕護(hù)航。確保企業(yè)在數(shù)字化轉(zhuǎn)型的過(guò)程中，既能享受技術(shù)進(jìn)步帶來(lái)的效益，又能有效防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。