行业背景

 

2011年，国家烟草专卖局印发了《国家烟草专卖局办公室关于卷烟工业企业信息化建设的指导意见》(国烟办综[2011]212号)，明确了构建智能化工厂、建设信息化企业的主要任务。各烟草工业企业在进一步构建一体化“数字烟草”，推进烟草行业的“两化融合”，信息系统的集成化，集中化管理。使得工业控制网络和企业管理网业务信息数据交换的关联性也越来越紧密，为了提高烟草行业生产高效运行、生产管理效率，工控网络与办公网、互联网的互联互通成为重要前提，这种关联结构也使得工业控制信息系统的机密性、完整性，特别是可用性保障成为目前需要亟待解决的问题。

 

需求分析

 

在烟草行业中，工业控制系统主要包括制丝、卷包、动力、物流系统和各种可编程控制器PLC，并已成为智能制造行业重大的基础设施。在两化融合时代背景下，烟草行业信息化已具有一定规模，MES系统的建立实现了从控制系统到实时数据

 

库的通讯连接。这些技术使工业设备互联更为简单，但同时也减弱了控制系统及SCADA系统等与外界的隔离，控制系统面临的来自网络方面的威胁也趋向多元化和多发性。

 

·架构方面

 

缺少重点区域防护手段，缺少在生产调度中心与各系统中控室层级之间隔离防护手段，用来保护制丝、物流、卷包服务器与MES交互的数据。

 

·措施方面

 

缺乏重要工控装置PLC的单体设备级安全防护措施和有效的保护手段，导致安全事件无法溯源。

 

·主机方面

 

各层级车间HMI（如服务器、工程师站、操作员站等），无移动存储介质管理，工作主机软件运行白名单管理，无法全方位地保护主机的资源使用，无有效手段实时监控主机的进程状态。

 

·安全准入方面

 

在车间现场缺少对AGV小车无线网络进行安全准入设计。造成的非授权使用或来自外部的黑客攻击有可能使工控系统误动作，甚至造成系统瘫痪。

 

·监管方面

 

全厂并无统一的信息安全管理策略，需要对网络状态实时监控、智能分析，以总揽大局的方式为工厂网络故障的及时排查、分析提供可靠依据和态势分析。

 

 

 

烟草行业工控系统网络安全解决方案
 

从烟草行业典型工控系统组网结构特点入手，结合工控相关标准，将重点考虑生产控制系统中的生产控制层和现场控制层。对控制层设备接入进行管理、安全区域边界进行防护、网络安全进行审计，并提供统一安全管理生产平台，解决安全问题单点管理的弊端。

 

·在生产调度中心与制丝、卷包、物流边界部署工控防火墙作隔离；进行边界访问控制，对工业指令 实现命令级过滤，入侵攻击防护，拒绝服务攻击防护。

 

·在生产调度中心的重要主机系统部署主机安全防护系统进行主机防护；实现对移动存储介质使用管 理、软件黑白名单管理、主机安全基线管理、补丁管理、主机审计、主机资产管理等功能。

 

·各车间、调度中心部署审计进行监测；实时监测工控网络中违规行为、异常流量和不明设备接入；在生产网交换机旁路部署入侵检测设备，实现网络攻击检测和异常行为审计。

 

·AGV小车通过各车间网络准入实现接入安全；实现非法外联控制，达到统一外接产品合规接入，统一标准下发策略的目标。

 

·最终作业区办公网相关区域通过安全监管对网络状态实时监控、对工业控制系统进行检查评估，对所有安全设备进行统一策略管理、实现系统安全态势感知分析智能分析为烟厂工控网络建立完善的纵深防御体系。