一、行业背景与政策要求

（一）行业发展现状

烟草行业作为我国重要产业之一，在经济发展中占据着重要地位。近年来，随着智能化转型的加速，烟草行业的工控网络安全问题愈发凸显。

在产量增长方面，我国烟草行业一直保持着稳定的发展态势。烟草产量的持续增长不仅体现了国内市场的需求，也在一定程度上反映了我国烟草行业在国际市场上的影响力不断加大。同时，烟草行业的智能化转型为生产效率的提升带来了新的机遇。例如，郧西烟草通过行政审批、零售终端智能化升级以及烟叶生产中的技术创新，实现了烟草产业链的全方位升级与转型。在烟叶生产领域，大力推广无人机作业技术，提高了作业效率和质量，降低了人力成本和环境污染。在零售终端方面，积极推动智慧门店建设，以科技赋能传统零售业态，为消费者带来了更加便捷、高效的购物体验。

然而，智能化转型也带来了新的安全挑战。随着工控系统深入到烟草生产的诸多环节，以及工业互联网等新一代信息技术的广泛应用，工控生产网与商业办公网的互联互通成为常态，网络攻击、数据泄露等安全事件的风险也随之增加。

（二）政策规范推动

国家高度重视工业安全，各部门出台了一系列相关政策文件，对烟草等重要行业工控安全提出了明确要求。

全国人大《中华人民共和国网络安全法》规定，国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。烟草行业作为重要产业，其工控网络安全也在重点保护范围之内。

工信部先后出台了《关于加强工业控制系统信息安全管理的通知》《工业控制系统信息安全防护指南》《工业控制系统信息安全事件应急管理工作指南》《工业控制系统信息安全防护能力评估工作管理办法》《工业控制系统信息安全行动计划（2018 - 2020）》《工业互联网发展行动计划（2018 - 2020 年）》等文件，加强重点领域工控信息系统安全管理，为工业企业开展工控安全防护工作提供了整体性指导，指导做好工业控制系统信息安全事件应急管理相关工作，检验工控安全防护实践效果，提升工业企业工控安全防护能力，加快我国工控安全保障体系建设。

公安部《网络安全等级保护基本要求》针对共性安全保护需求提出安全通用要求，针对云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的个性安全保护需求提出安全扩展要求，形成新的网络安全等级保护基本要求标准，为烟草行业工控网络安全提供了具体的规范指导。

此外，工业和信息化部《关于进一步加强工业行业安全生产管理的指导意见》强调，要将安全生产作为行业管理的重要内容，从行业规划、产业政策、法规标准、行政许可等方面加强安全生产工作，指导督促工业企业加强安全管理。通过技术改造促进企业提升本质安全水平，推动互联网、大数据、物联网、人工智能等技术在安全生产领域广泛应用，用智能化、信息化手段提升企业本质安全水平及工控安全、数据安全管理能力。

市场监管总局《关于推进重点工业产品质量安全追溯的实施意见》提出，实施重点工业产品质量安全追溯，是落实工业产品生产销售单位质量安全主体责任，强化全过程质量安全风险防控，促进产品质量水平提升，加快全国统一大市场建设的重要举措。虽然该意见主要针对重点工业产品质量安全追溯，但对于烟草行业的工控网络安全也具有一定的借鉴意义，如加强信息基础设施安全保护和网络安全等级保护等要求。

二、烟草行业工控网络安全现状

（一）安全风险分析

1. 网络通信安全风险分析

◦ 安全域架构设计欠缺可能导致网络结构不清晰，难以进行有效的安全管理和防护。不同区域之间的访问控制不明确，增加了非法访问和攻击的风险。

◦ 网络隔离机制不合理会使不同网络区域之间的边界防护薄弱，可能导致恶意软件、黑客攻击等从一个区域扩散到其他区域，影响整个工控网络的安全。

◦ 通信明文传输使得数据在网络中传输时容易被窃听和解析，敏感信息如生产指令、工艺参数等可能被泄露，给企业带来重大安全隐患。

◦ 无线网络管控不完善可能导致未经授权的设备接入工控网络，增加了网络被攻击的风险。同时，无线信号的不稳定性也可能影响工控系统的正常运行。

◦ 安全审计机制缺失使得企业无法对网络活动进行有效的监控和记录，一旦发生安全事件，难以追溯源头和确定责任。

2. 设备应用安全风险

◦ 工业控制系统自身漏洞可能被黑客利用，进行恶意攻击或获取系统控制权。这些漏洞可能存在于操作系统、应用软件、硬件设备等各个层面。

◦ 恶意代码传播可能导致工控系统瘫痪、数据丢失或被篡改。恶意代码可以通过移动存储设备、网络连接等途径进入工控系统。

◦ 登录安全管理欠缺可能导致未经授权的人员访问工控系统，进行非法操作或窃取敏感信息。例如，弱密码、默认密码未更改等问题容易被攻击者利用。

◦ 终端远程运维风险包括未经授权访问、违规操作、感染病毒木马等。远程运维如果没有严格的身份认证和访问控制机制，可能被攻击者利用进行恶意攻击。

◦ 移动存储设备接入风险主要是未经授权的移动存储设备可能携带恶意软件进入工控系统，造成感染和传播。

3. 日常管理安全风险

◦ 安全工作人员欠缺可能导致安全管理不到位，无法及时发现和处理安全问题。同时，缺乏专业的安全人员也会影响企业安全策略的制定和实施。

◦ 人员安全意识薄弱可能导致员工在日常工作中忽视安全问题，如随意接入外部设备、泄露密码等，增加了安全风险。

◦ 应急保障机制不完善使得企业在面临安全事件时无法及时有效地进行响应和恢复，可能导致损失扩大。

（二）案例体现现状

1. 当前有些卷烟厂工控网络现状

◦ 有些卷烟厂存在主机及应用软件漏洞，如操作员站、工程师站、服务器等物理主机大部分采用 Windows 操作系统，监控组态软件、数据库等应用软件很少进行补丁升级，防护能力脆弱，容易遭受病毒、恶意代码攻击。同时，卷包数采车间设备老旧，无法安装杀毒软件或主机防护系统。上位机操作系统大部分未安装杀毒软件，主机外设接入无管控，容易感染病毒并在网络中传播。

◦ 缺乏网络监控和审计措施，无法对网络状态进行有效监控和对操作日志行为进行审计，缺乏网络事件记录和跟踪能力，难以对安全问题进行根源定位。

◦ 缺乏全局监控的技术措施，缺少对生产网络中的控制系统和安全设备的安全统一监视和管理的综合平台，无法对设备资产管理、运行状况监控、安全报警、事件感知、记录分析及后续处理进行统一管理，也无法分析评价各车间区域整体主机设备运行的优良状况。

2. 烟草公司安全难题

◦ 破解 IT 和 OT“两张皮”难题是当前面临的重要挑战。资产和风险管理方面，由于工业控制系统与传统信息系统的差异，资产识别和风险评估难度较大。事件分散溯源困难，一旦发生安全事件，难以快速确定事件源头和影响范围。缺乏统一监控，无法对整个企业的工控网络进行全面有效的监控和管理。

3. 卷烟厂动力车间与长沙卷烟厂举措

◦ 河南中烟洛阳卷烟厂动力车间建立“三张清单”筑牢网络安全防线，通过明确责任、强化管理等措施，提高了网络安全水平。

◦ 湖南中烟长沙卷烟厂多措并举强化工控网络管理。开展网络安全培训和教育活动，增进员工对网络攻击的了解，提升网络安全意识和技能。搭建基于纵深防御策略的网络安全防护体系，利用防火墙、入侵检测系统和反病毒软件等实现分级安全防范。强化网络监控和管理，建立基于服务的监测管控体系，及时感知异常或未知威胁。加强数据保护和备份，采取多重备份机制确保重要数据安全，并制定网络安全应急响应预案。此外，长沙卷烟厂还在网络安全领域精耕细作，形成了一套独具特色的管理体系。战略引领，将网络安全全面融入企业长期发展规划与日常运营管理，构建“一把手”负总责、多级联动的网络安全管理体系，成立网络安全领导小组，下设多个专业小组协同作战。人才筑基，创新驱动，采取内部挖潜与外部引进并重的策略打造专业团队，注重内部培养和外部引进高层次人才，重视实战经验积累，积极参与行业内外网络安全竞赛。通过实战演练，检验防御体系的防护能力与应变能力，制定网络安全定期检查与实战演练机制，主动识别并评估潜在风险，与外部安全机构合作交流，提升企业网络安全防护能力。

三、烟草行业工控网络安全解决方案

（一）通用解决方案

随着烟草行业智能化转型的加速，工控网络安全问题日益凸显。为了应对这些安全风险，需要采取一系列的解决方案。

1. 入侵防范&监测审计

部署工控安全监测审计系统，对网络内传输的流量进行字段级解析，建立协议基线、流量基线、链路基线。通过特定的安全策略，快速识别出企业工业控制系统网络非法操作、异常事件、外部攻击，并实时报警，对异常操作、非法入侵、执行恶意代码等行为进行事中告警、事后审计。

2. 边界防护

在各生产业务系统间冗余部署工控防火墙，实现区域边界防护；在数据中心部署网络准入控制系统，有效阻止非法终端接入和违规外联；在生产网与互联网之间部署工业网闸，实现网间数据的安全隔离与交换。通过这些措施，对系统进行访问控制，逻辑隔离、报文过滤等功能，只允许特定的对象通过，特定的工控协议与系统进行交互，同时对报文内容进行深度检查，识别正常的操作行为并生成白名单，对不符合白名单行为特征的进行阻断或告警。

3. 运维管控

在数据中心部署运维堡垒机，实现设备远程运维操作的全面审计和行为管控，满足远程运维管控要求。限制设备的远程登录地址，对用户的操作权限以及操作行为进行审计记录，并提供会话审计和回放功能，同时确保审计记录不被破坏或非授权访问。

4. 终端防护

在操作员站、工程师站、服务器上部署终端防护系统客户端，实现终端安全加固、进程白名单管控和 USB 移动介质管控。以白名单的技术方式监控工控主机的进程状态、网络端口状态、USB 端口状态，全方位地保护主机的资源使用，禁止非法进程的运行，切断病毒和木马的传播与破坏路径，保障服务器和工作站的系统安全。同时，通过对 U 盘的权限设置及行为管理，全面防护 USB 病毒及攻击，利用过滤技术，过滤可疑文件，切断病毒传播途径，有效拦截攻击，防止数据泄露事故。

5. 安全管理中心

在数据中心部署工控安全管理平台，对安全设备、网络设备、主机设备的日志和告警进行归一化采集、关联分析，展现安全态势和预警，全面提升安全防护效率和安全管理能力。实现对系统内的防护设备统一进行安全管理，对全网流量和安全事件进行实时监控，通过数据建模分析内网安全威胁，并对全网设备状态实时监控和统一管理，实现统一的策略下发。

（二）案例解决方案

1. 中烟工业云南某卷烟厂方案介绍

该厂基于“一个中心、三重防护”纵深防御原则，从安全区域边界、安全通信网络、安全计算环境和安全管理中心四个方面实施安全方案。

在安全区域边界，部署智能工业防火墙，进行访问控制，逻辑隔离、报文过滤等功能，通过智能学习和深度数据包解析的黑白名单结合，只允许特定的对象通过，特定的工控协议与系统进行交互，对报文内容做深度检查，生成白名单，对不符合行为特征的进行阻断或告警。

在安全通信网络，旁路部署工业监测审计系统和网络入侵检测系统，通过特定的安全策略，快速识别出非法操作、异常事件、外部攻击，并实时报警，合理设置检测规则，检测隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。

在安全计算环境，对上位机、服务器进行防护，以白名单技术监控工控主机状态，部署 USB 安全防御系统，通过权限设置及行为管理，全面防护 USB 病毒及攻击，切断病毒传播途径。

在安全管理中心，部署工业日志审计系统、运维审计与管理设备（堡垒机）及统一安全管理平台，实现日志收集分析、设备集中管控、全网流量和安全事件实时监控、内网安全威胁分析及统一策略下发等功能。

2. 齐安科技解决方案

齐安科技针对烟草生产企业提供风险评估、边界安全、运维安全、终端安全、安全监测和流量监测等系统部署方案。

风险评估方面，通过工业安全评估系统，针对资产构成单元进行安全评估，快速构建网络资产画像、网络结构拓扑、探测资产漏洞及分析系统潜在威胁，为安全加固提供参考依据。

边界安全方面，在管理网和生产网的边界及生产业务系统间部署工业防火墙，基于白名单建立访问控制策略，实现内网数据的安全隔离与交换，预防工控网络攻击行为。

运维安全方面，使用检修作业安全运维系统，实现运维过程全面审计、行为管控、数据传输安全和数据储存安全，满足现场安全运维的管控要求。

终端安全方面，在工程师站、操作员站、服务器上部署工业主机系统，实现终端安全加固、进程白名单管控和 USB 移动介质管控，防止恶意代码感染主机。

安全监测方面，在工业环网交换机、核心交换机上旁路部署工业安全审计系统，对网络内传输的流量进行解析，建立通信行为基线，对异常操作、非法入侵等行为进行实时告警、事后追溯。

流量监测方面，配合工业安全审计系统，对网络流量、安全事件进行可视化趋势分析，全面掌握企业工业网络安全态势。

客户价值方面，满足等保 2.0 及各项制度对工控安全的相关要求，符合烟草行业发展自动化、智能化和网络安全防护发展要求，拥有完整的防护体系及管理手段，为企业工业网络安全及生产安全保驾护航。

3. 湖北某卷烟厂方案说明

湖北某卷烟厂通过主机安全加固和工业网络安全监测等措施，提升整体工控安全监管水平和防御能力。

主机安全加固方面，在工控网络内的独立服务器、操作员站、工程师站、现场 HMI 等上位机部署工控主机安全防护系统，根据工控系统现场业务特征及应用建立动态白名单策略，采用可信白名单机制，解决操作系统、杀毒软件等因无法升级补丁带来的安全问题，保证系统的稳定运行。通过禁止或允许移动存储设备在服务器上使用，有效防止移动存储设备随意接入对服务器系统的安全威胁，提供移动介质授权管理，禁止非授权外设存储的接入。各终端软件部署完成后可通过安全管理平台进行统一管理、策略配置、告警显示等。

工业网络安全监测方面，依据“设备自身感知、数据就地采集”的原则，在制丝车间、动力中心车间、卷包车间汇聚交换机处旁路部署工控安全监测与审计系统，提供全面的网络行为审计功能，对工控设备异常行为、网络应用行为进行监测，对符合行为策略的事件实时告警并记录，提供基于协议识别的流量分析功能，深度解析工业协议，实时统计报文流量，进行综合流量分析，为流量管理策略的制定提供可靠支持，检测生产控制系统中的操作行为和异常网络行为，以便于事后进行事件取证和定责。

四、方案优势与客户价值

（一）方案优势

1. 合规性满足关键信息基础设施保护制度、网络安全等级保护制度和防护指南要求。

烟草行业工控网络安全解决方案严格遵循国家相关政策法规，确保在关键信息基础设施保护、网络安全等级保护以及防护指南等方面做到全面合规。这不仅是对企业自身网络安全的负责，更是对国家重要产业安全的保障。

2. 技术与管理并重强调安全不仅是技术问题，还需重视安全管理。

在烟草行业工控网络安全中，技术与管理相辅相成。一方面，采用先进的安全技术，如入侵防范与监测审计、边界防护、运维管控、终端防护和安全管理中心等，为工控网络提供全方位的技术防护。另一方面，重视安全管理，不断完善各类安全管理规章制度和操作规程，提高安全管理水平，确保技术措施的有效实施。

3. 可视化实现工控网络资产可视化管理，动态识别非法接入设备，展示安全威胁。

通过可视化技术，实现对工控网络资产的清晰管理。能够实时动态识别非法接入设备，及时发现潜在的安全威胁，并直观地展示给安全管理人员，以便采取相应的措施进行防范和处理。

4. 全面防护从多个层面提供完整安全防护与管理手段。

从网络、终端、通信、数据、运维、管理等多个层面入手，提供完整的安全防护与管理手段。对工业环网交换机、核心交换机进行旁路部署工控安全监测审计系统，实现对网络流量的解析和异常行为的告警；在各生产业务系统间部署工控防火墙，进行区域边界防护；在数据中心部署运维堡垒机，管控设备远程运维操作；在操作员站、工程师站、服务器上部署终端防护系统客户端，实现终端安全加固等，全面保障工控网络安全。

5. 最小干扰采用非侵入式安全监测与防护方式，降低对工控网络干扰。

所有安全组件均采用非侵入式安全监测与防护工作方式，在保障工控网络安全的同时，将对工控网络的干扰降低到最低限度。确保工控系统的稳定运行，不影响烟草生产的正常进行。

6. 多工业协议支持支持多种常见工控协议及私有协议定制开发。

支持 S7、Modbus、MMS、OPC、DLT645、IEC61850、CIP、DNP3、CDT、EIP、IEC101/102/103/104、BacNet、ProfiNet 等 50 多种常见工控协议的深度解析，解析深度可达到功能码、寄存器读写属性甚至数据的阈值。同时，还支持私有协议定制开发，满足烟草行业不同工控系统的特殊需求。

（二）客户价值

1. 安全合规建设有效履行《网络安全法》，满足等级保护 2.0 及烟草行业规范要求。

通过实施烟草行业工控网络安全解决方案，企业能够有效履行《网络安全法》规定的义务，满足等级保护 2.0 的要求以及烟草行业的规范要求。确保企业在法律和行业规范的框架内开展生产经营活动，避免因安全不合规而面临的法律风险和行业处罚。

2. 构建安全防御体系弥补生产系统网络安全缺陷，提高安全防护，助力企业安全生产。

针对烟草行业生产系统网络安全存在的缺陷，如安全域架构设计欠缺、网络隔离机制不合理、通信明文传输、无线网络管控不完善、安全审计机制缺失等问题，构建全面的安全防御体系。提高安全防护水平，保障企业生产系统的稳定运行，助力企业实现安全生产。

3. 主动防御体系实现“事前监控、事中控制、事后溯源”，保障生产控制系统稳定运行。

通过入侵防范与监测审计、边界防护、运维管控、终端防护和安全管理中心等措施，建立主动防御体系。实现对生产控制系统的事前监控，及时发现潜在的安全威胁；事中控制，对异常操作、非法入侵等行为进行实时告警和阻断；事后溯源，对安全事件进行审计和分析，查找原因，为后续的安全防护提供经验教训。保障生产控制系统的稳定运行，降低安全事件对企业生产的影响。

4. 满足发展要求符合烟草行业自动化、智能化和网络安全防护发展要求，为企业保驾护航。

随着烟草行业自动化、智能化的发展，网络安全防护的需求也日益迫切。烟草行业工控网络安全解决方案符合行业发展要求，为企业提供全面的网络安全防护，为企业的自动化、智能化发展保驾护航。确保企业在数字化转型的过程中，既能享受技术进步带来的效益，又能有效防范网络安全风险。