一、行業背景與政策要求

（一）行業發展現狀

煙草行業作為我國重要產業之一，在經濟發展中占據著重要地位。近年來，隨著智能化轉型的加速，煙草行業的工控網絡安全問題愈發凸顯。

在產量增長方面，我國煙草行業一直保持著穩定的發展態勢。煙草產量的持續增長不僅體現了國內市場的需求，也在一定程度上反映了我國煙草行業在國際市場上的影響力不斷加大。同時，煙草行業的智能化轉型為生產效率的提升帶來了新的機遇。例如，鄖西煙草通過行政審批、零售終端智能化升級以及煙葉生產中的技術創新，實現了煙草產業鏈的全方位升級與轉型。在煙葉生產領域，大力推廣無人機作業技術，提高了作業效率和質量，降低了人力成本和環境污染。在零售終端方面，積極推動智慧門店建設，以科技賦能傳統零售業態，為消費者帶來了更加便捷、高效的購物體驗。

然而，智能化轉型也帶來了新的安全挑戰。隨著工控系統深入到煙草生產的諸多環節，以及工業互聯網等新一代信息技術的廣泛應用，工控生產網與商業辦公網的互聯互通成為常態，網絡攻擊、數據泄露等安全事件的風險也隨之增加。

（二）政策規范推動

國家高度重視工業安全，各部門出臺了一系列相關政策文件，對煙草等重要行業工控安全提出了明確要求。

全國人大《中華人民共和國網絡安全法》規定，國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。煙草行業作為重要產業，其工控網絡安全也在重點保護范圍之內。

工信部先后出臺了《關于加強工業控制系統信息安全管理的通知》《工業控制系統信息安全防護指南》《工業控制系統信息安全事件應急管理工作指南》《工業控制系統信息安全防護能力評估工作管理辦法》《工業控制系統信息安全行動計劃（2018 - 2020）》《工業互聯網發展行動計劃（2018 - 2020 年）》等文件，加強重點領域工控信息系統安全管理，為工業企業開展工控安全防護工作提供了整體性指導，指導做好工業控制系統信息安全事件應急管理相關工作，檢驗工控安全防護實踐效果，提升工業企業工控安全防護能力，加快我國工控安全保障體系建設。

公安部《網絡安全等級保護基本要求》針對共性安全保護需求提出安全通用要求，針對云計算、移動互聯、物聯網、工業控制和大數據等新技術、新應用領域的個性安全保護需求提出安全擴展要求，形成新的網絡安全等級保護基本要求標準，為煙草行業工控網絡安全提供了具體的規范指導。

此外，工業和信息化部《關于進一步加強工業行業安全生產管理的指導意見》強調，要將安全生產作為行業管理的重要內容，從行業規劃、產業政策、法規標準、行政許可等方面加強安全生產工作，指導督促工業企業加強安全管理。通過技術改造促進企業提升本質安全水平，推動互聯網、大數據、物聯網、人工智能等技術在安全生產領域廣泛應用，用智能化、信息化手段提升企業本質安全水平及工控安全、數據安全管理能力。

市場監管總局《關于推進重點工業產品質量安全追溯的實施意見》提出，實施重點工業產品質量安全追溯，是落實工業產品生產銷售單位質量安全主體責任，強化全過程質量安全風險防控，促進產品質量水平提升，加快全國統一大市場建設的重要舉措。雖然該意見主要針對重點工業產品質量安全追溯，但對于煙草行業的工控網絡安全也具有一定的借鑒意義，如加強信息基礎設施安全保護和網絡安全等級保護等要求。

二、煙草行業工控網絡安全現狀

（一）安全風險分析

1. 網絡通信安全風險分析

? 安全域架構設計欠缺可能導致網絡結構不清晰，難以進行有效的安全管理和防護。不同區域之間的訪問控制不明確，增加了非法訪問和攻擊的風險。

? 網絡隔離機制不合理會使不同網絡區域之間的邊界防護薄弱，可能導致惡意軟件、黑客攻擊等從一個區域擴散到其他區域，影響整個工控網絡的安全。

? 通信明文傳輸使得數據在網絡中傳輸時容易被竊聽和解析，敏感信息如生產指令、工藝參數等可能被泄露，給企業帶來重大安全隱患。

? 無線網絡管控不完善可能導致未經授權的設備接入工控網絡，增加了網絡被攻擊的風險。同時，無線信號的不穩定性也可能影響工控系統的正常運行。

? 安全審計機制缺失使得企業無法對網絡活動進行有效的監控和記錄，一旦發生安全事件，難以追溯源頭和確定責任。

2. 設備應用安全風險

? 工業控制系統自身漏洞可能被黑客利用，進行惡意攻擊或獲取系統控制權。這些漏洞可能存在于操作系統、應用軟件、硬件設備等各個層面。

? 惡意代碼傳播可能導致工控系統癱瘓、數據丟失或被篡改。惡意代碼可以通過移動存儲設備、網絡連接等途徑進入工控系統。

? 登錄安全管理欠缺可能導致未經授權的人員訪問工控系統，進行非法操作或竊取敏感信息。例如，弱密碼、默認密碼未更改等問題容易被攻擊者利用。

? 終端遠程運維風險包括未經授權訪問、違規操作、感染病毒木馬等。遠程運維如果沒有嚴格的身份認證和訪問控制機制，可能被攻擊者利用進行惡意攻擊。

? 移動存儲設備接入風險主要是未經授權的移動存儲設備可能攜帶惡意軟件進入工控系統，造成感染和傳播。

3. 日常管理安全風險

? 安全工作人員欠缺可能導致安全管理不到位，無法及時發現和處理安全問題。同時，缺乏專業的安全人員也會影響企業安全策略的制定和實施。

? 人員安全意識薄弱可能導致員工在日常工作中忽視安全問題，如隨意接入外部設備、泄露密碼等，增加了安全風險。

? 應急保障機制不完善使得企業在面臨安全事件時無法及時有效地進行響應和恢復，可能導致損失擴大。

（二）案例體現現狀

1. 當前有些卷煙廠工控網絡現狀

? 有些卷煙廠存在主機及應用軟件漏洞，如操作員站、工程師站、服務器等物理主機大部分采用 Windows 操作系統，監控組態軟件、數據庫等應用軟件很少進行補丁升級，防護能力脆弱，容易遭受病毒、惡意代碼攻擊。同時，卷包數采車間設備老舊，無法安裝殺毒軟件或主機防護系統。上位機操作系統大部分未安裝殺毒軟件，主機外設接入無管控，容易感染病毒并在網絡中傳播。

? 缺乏網絡監控和審計措施，無法對網絡狀態進行有效監控和對操作日志行為進行審計，缺乏網絡事件記錄和跟蹤能力，難以對安全問題進行根源定位。

? 缺乏全局監控的技術措施，缺少對生產網絡中的控制系統和安全設備的安全統一監視和管理的綜合平臺，無法對設備資產管理、運行狀況監控、安全報警、事件感知、記錄分析及后續處理進行統一管理，也無法分析評價各車間區域整體主機設備運行的優良狀況。

2. 煙草公司安全難題

? 破解 IT 和 OT“兩張皮”難題是當前面臨的重要挑戰。資產和風險管理方面，由于工業控制系統與傳統信息系統的差異，資產識別和風險評估難度較大。事件分散溯源困難，一旦發生安全事件，難以快速確定事件源頭和影響范圍。缺乏統一監控，無法對整個企業的工控網絡進行全面有效的監控和管理。

3. 卷煙廠動力車間與長沙卷煙廠舉措

? 河南中煙洛陽卷煙廠動力車間建立“三張清單”筑牢網絡安全防線，通過明確責任、強化管理等措施，提高了網絡安全水平。

? 湖南中煙長沙卷煙廠多措并舉強化工控網絡管理。開展網絡安全培訓和教育活動，增進員工對網絡攻擊的了解，提升網絡安全意識和技能。搭建基于縱深防御策略的網絡安全防護體系，利用防火墻、入侵檢測系統和反病毒軟件等實現分級安全防范。強化網絡監控和管理，建立基于服務的監測管控體系，及時感知異常或未知威脅。加強數據保護和備份，采取多重備份機制確保重要數據安全，并制定網絡安全應急響應預案。此外，長沙卷煙廠還在網絡安全領域精耕細作，形成了一套獨具特色的管理體系。戰略引領，將網絡安全全面融入企業長期發展規劃與日常運營管理，構建“一把手”負總責、多級聯動的網絡安全管理體系，成立網絡安全領導小組，下設多個專業小組協同作戰。人才筑基，創新驅動，采取內部挖潛與外部引進并重的策略打造專業團隊，注重內部培養和外部引進高層次人才，重視實戰經驗積累，積極參與行業內外網絡安全競賽。通過實戰演練，檢驗防御體系的防護能力與應變能力，制定網絡安全定期檢查與實戰演練機制，主動識別并評估潛在風險，與外部安全機構合作交流，提升企業網絡安全防護能力。

三、煙草行業工控網絡安全解決方案

（一）通用解決方案

隨著煙草行業智能化轉型的加速，工控網絡安全問題日益凸顯。為了應對這些安全風險，需要采取一系列的解決方案。

1. 入侵防范&監測審計

部署工控安全監測審計系統，對網絡內傳輸的流量進行字段級解析，建立協議基線、流量基線、鏈路基線。通過特定的安全策略，快速識別出企業工業控制系統網絡非法操作、異常事件、外部攻擊，并實時報警，對異常操作、非法入侵、執行惡意代碼等行為進行事中告警、事后審計。

2. 邊界防護

在各生產業務系統間冗余部署工控防火墻，實現區域邊界防護；在數據中心部署網絡準入控制系統，有效阻止非法終端接入和違規外聯；在生產網與互聯網之間部署工業網閘，實現網間數據的安全隔離與交換。通過這些措施，對系統進行訪問控制，邏輯隔離、報文過濾等功能，只允許特定的對象通過，特定的工控協議與系統進行交互，同時對報文內容進行深度檢查，識別正常的操作行為并生成白名單，對不符合白名單行為特征的進行阻斷或告警。

3. 運維管控

在數據中心部署運維堡壘機，實現設備遠程運維操作的全面審計和行為管控，滿足遠程運維管控要求。限制設備的遠程登錄地址，對用戶的操作權限以及操作行為進行審計記錄，并提供會話審計和回放功能，同時確保審計記錄不被破壞或非授權訪問。

4. 終端防護

在操作員站、工程師站、服務器上部署終端防護系統客戶端，實現終端安全加固、進程白名單管控和 USB 移動介質管控。以白名單的技術方式監控工控主機的進程狀態、網絡端口狀態、USB 端口狀態，全方位地保護主機的資源使用，禁止非法進程的運行，切斷病毒和木馬的傳播與破壞路徑，保障服務器和工作站的系統安全。同時，通過對 U 盤的權限設置及行為管理，全面防護 USB 病毒及攻擊，利用過濾技術，過濾可疑文件，切斷病毒傳播途徑，有效攔截攻擊，防止數據泄露事故。

5. 安全管理中心

在數據中心部署工控安全管理平臺，對安全設備、網絡設備、主機設備的日志和告警進行歸一化采集、關聯分析，展現安全態勢和預警，全面提升安全防護效率和安全管理能力。實現對系統內的防護設備統一進行安全管理，對全網流量和安全事件進行實時監控，通過數據建模分析內網安全威脅，并對全網設備狀態實時監控和統一管理，實現統一的策略下發。

（二）案例解決方案

1. 中煙工業云南某卷煙廠方案介紹

該廠基于“一個中心、三重防護”縱深防御原則，從安全區域邊界、安全通信網絡、安全計算環境和安全管理中心四個方面實施安全方案。

在安全區域邊界，部署智能工業防火墻，進行訪問控制，邏輯隔離、報文過濾等功能，通過智能學習和深度數據包解析的黑白名單結合，只允許特定的對象通過，特定的工控協議與系統進行交互，對報文內容做深度檢查，生成白名單，對不符合行為特征的進行阻斷或告警。

在安全通信網絡，旁路部署工業監測審計系統和網絡入侵檢測系統，通過特定的安全策略，快速識別出非法操作、異常事件、外部攻擊，并實時報警，合理設置檢測規則，檢測隱藏于流經網絡邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。

在安全計算環境，對上位機、服務器進行防護，以白名單技術監控工控主機狀態，部署 USB 安全防御系統，通過權限設置及行為管理，全面防護 USB 病毒及攻擊，切斷病毒傳播途徑。

在安全管理中心，部署工業日志審計系統、運維審計與管理設備（堡壘機）及統一安全管理平臺，實現日志收集分析、設備集中管控、全網流量和安全事件實時監控、內網安全威脅分析及統一策略下發等功能。

2. 齊安科技解決方案

齊安科技針對煙草生產企業提供風險評估、邊界安全、運維安全、終端安全、安全監測和流量監測等系統部署方案。

風險評估方面，通過工業安全評估系統，針對資產構成單元進行安全評估，快速構建網絡資產畫像、網絡結構拓撲、探測資產漏洞及分析系統潛在威脅，為安全加固提供參考依據。

邊界安全方面，在管理網和生產網的邊界及生產業務系統間部署工業防火墻，基于白名單建立訪問控制策略，實現內網數據的安全隔離與交換，預防工控網絡攻擊行為。

運維安全方面，使用檢修作業安全運維系統，實現運維過程全面審計、行為管控、數據傳輸安全和數據儲存安全，滿足現場安全運維的管控要求。

終端安全方面，在工程師站、操作員站、服務器上部署工業主機系統，實現終端安全加固、進程白名單管控和 USB 移動介質管控，防止惡意代碼感染主機。

安全監測方面，在工業環網交換機、核心交換機上旁路部署工業安全審計系統，對網絡內傳輸的流量進行解析，建立通信行為基線，對異常操作、非法入侵等行為進行實時告警、事后追溯。

流量監測方面，配合工業安全審計系統，對網絡流量、安全事件進行可視化趨勢分析，全面掌握企業工業網絡安全態勢。

客戶價值方面，滿足等保 2.0 及各項制度對工控安全的相關要求，符合煙草行業發展自動化、智能化和網絡安全防護發展要求，擁有完整的防護體系及管理手段，為企業工業網絡安全及生產安全保駕護航。

3. 湖北某卷煙廠方案說明

湖北某卷煙廠通過主機安全加固和工業網絡安全監測等措施，提升整體工控安全監管水平和防御能力。

主機安全加固方面，在工控網絡內的獨立服務器、操作員站、工程師站、現場 HMI 等上位機部署工控主機安全防護系統，根據工控系統現場業務特征及應用建立動態白名單策略，采用可信白名單機制，解決操作系統、殺毒軟件等因無法升級補丁帶來的安全問題，保證系統的穩定運行。通過禁止或允許移動存儲設備在服務器上使用，有效防止移動存儲設備隨意接入對服務器系統的安全威脅，提供移動介質授權管理，禁止非授權外設存儲的接入。各終端軟件部署完成后可通過安全管理平臺進行統一管理、策略配置、告警顯示等。

工業網絡安全監測方面，依據“設備自身感知、數據就地采集”的原則，在制絲車間、動力中心車間、卷包車間匯聚交換機處旁路部署工控安全監測與審計系統，提供全面的網絡行為審計功能，對工控設備異常行為、網絡應用行為進行監測，對符合行為策略的事件實時告警并記錄，提供基于協議識別的流量分析功能，深度解析工業協議，實時統計報文流量，進行綜合流量分析，為流量管理策略的制定提供可靠支持，檢測生產控制系統中的操作行為和異常網絡行為，以便于事后進行事件取證和定責。

四、方案優勢與客戶價值

（一）方案優勢

1. 合規性滿足關鍵信息基礎設施保護制度、網絡安全等級保護制度和防護指南要求。

煙草行業工控網絡安全解決方案嚴格遵循國家相關政策法規，確保在關鍵信息基礎設施保護、網絡安全等級保護以及防護指南等方面做到全面合規。這不僅是對企業自身網絡安全的負責，更是對國家重要產業安全的保障。

2. 技術與管理并重強調安全不僅是技術問題，還需重視安全管理。

在煙草行業工控網絡安全中，技術與管理相輔相成。一方面，采用先進的安全技術，如入侵防范與監測審計、邊界防護、運維管控、終端防護和安全管理中心等，為工控網絡提供全方位的技術防護。另一方面，重視安全管理，不斷完善各類安全管理規章制度和操作規程，提高安全管理水平，確保技術措施的有效實施。

3. 可視化實現工控網絡資產可視化管理，動態識別非法接入設備，展示安全威脅。

通過可視化技術，實現對工控網絡資產的清晰管理。能夠實時動態識別非法接入設備，及時發現潛在的安全威脅，并直觀地展示給安全管理人員，以便采取相應的措施進行防范和處理。

4. 全面防護從多個層面提供完整安全防護與管理手段。

從網絡、終端、通信、數據、運維、管理等多個層面入手，提供完整的安全防護與管理手段。對工業環網交換機、核心交換機進行旁路部署工控安全監測審計系統，實現對網絡流量的解析和異常行為的告警；在各生產業務系統間部署工控防火墻，進行區域邊界防護；在數據中心部署運維堡壘機，管控設備遠程運維操作；在操作員站、工程師站、服務器上部署終端防護系統客戶端，實現終端安全加固等，全面保障工控網絡安全。

5. 最小干擾采用非侵入式安全監測與防護方式，降低對工控網絡干擾。

所有安全組件均采用非侵入式安全監測與防護工作方式，在保障工控網絡安全的同時，將對工控網絡的干擾降低到最低限度。確保工控系統的穩定運行，不影響煙草生產的正常進行。

6. 多工業協議支持支持多種常見工控協議及私有協議定制開發。

支持 S7、Modbus、MMS、OPC、DLT645、IEC61850、CIP、DNP3、CDT、EIP、IEC101/102/103/104、BacNet、ProfiNet 等 50 多種常見工控協議的深度解析，解析深度可達到功能碼、寄存器讀寫屬性甚至數據的閾值。同時，還支持私有協議定制開發，滿足煙草行業不同工控系統的特殊需求。

（二）客戶價值

1. 安全合規建設有效履行《網絡安全法》，滿足等級保護 2.0 及煙草行業規范要求。

通過實施煙草行業工控網絡安全解決方案，企業能夠有效履行《網絡安全法》規定的義務，滿足等級保護 2.0 的要求以及煙草行業的規范要求。確保企業在法律和行業規范的框架內開展生產經營活動，避免因安全不合規而面臨的法律風險和行業處罰。

2. 構建安全防御體系彌補生產系統網絡安全缺陷，提高安全防護，助力企業安全生產。

針對煙草行業生產系統網絡安全存在的缺陷，如安全域架構設計欠缺、網絡隔離機制不合理、通信明文傳輸、無線網絡管控不完善、安全審計機制缺失等問題，構建全面的安全防御體系。提高安全防護水平，保障企業生產系統的穩定運行，助力企業實現安全生產。

3. 主動防御體系實現“事前監控、事中控制、事后溯源”，保障生產控制系統穩定運行。

通過入侵防范與監測審計、邊界防護、運維管控、終端防護和安全管理中心等措施，建立主動防御體系。實現對生產控制系統的事前監控，及時發現潛在的安全威脅；事中控制，對異常操作、非法入侵等行為進行實時告警和阻斷；事后溯源，對安全事件進行審計和分析，查找原因，為后續的安全防護提供經驗教訓。保障生產控制系統的穩定運行，降低安全事件對企業生產的影響。

4. 滿足發展要求符合煙草行業自動化、智能化和網絡安全防護發展要求，為企業保駕護航。

隨著煙草行業自動化、智能化的發展，網絡安全防護的需求也日益迫切。煙草行業工控網絡安全解決方案符合行業發展要求，為企業提供全面的網絡安全防護，為企業的自動化、智能化發展保駕護航。確保企業在數字化轉型的過程中，既能享受技術進步帶來的效益，又能有效防范網絡安全風險。