一、行業(yè)背景與政策要求

（一）行業(yè)發(fā)展現(xiàn)狀

煙草行業(yè)作為我國重要產(chǎn)業(yè)之一，在經(jīng)濟發(fā)展中占據(jù)著重要地位。近年來，隨著智能化轉(zhuǎn)型的加速，煙草行業(yè)的工控網(wǎng)絡(luò)安全問題愈發(fā)凸顯。

在產(chǎn)量增長方面，我國煙草行業(yè)一直保持著穩(wěn)定的發(fā)展態(tài)勢。煙草產(chǎn)量的持續(xù)增長不僅體現(xiàn)了國內(nèi)市場的需求，也在一定程度上反映了我國煙草行業(yè)在國際市場上的影響力不斷加大。同時，煙草行業(yè)的智能化轉(zhuǎn)型為生產(chǎn)效率的提升帶來了新的機遇。例如，鄖西煙草通過行政審批、零售終端智能化升級以及煙葉生產(chǎn)中的技術(shù)創(chuàng)新，實現(xiàn)了煙草產(chǎn)業(yè)鏈的全方位升級與轉(zhuǎn)型。在煙葉生產(chǎn)領(lǐng)域，大力推廣無人機作業(yè)技術(shù)，提高了作業(yè)效率和質(zhì)量，降低了人力成本和環(huán)境污染。在零售終端方面，積極推動智慧門店建設(shè)，以科技賦能傳統(tǒng)零售業(yè)態(tài)，為消費者帶來了更加便捷、高效的購物體驗。

然而，智能化轉(zhuǎn)型也帶來了新的安全挑戰(zhàn)。隨著工控系統(tǒng)深入到煙草生產(chǎn)的諸多環(huán)節(jié)，以及工業(yè)互聯(lián)網(wǎng)等新一代信息技術(shù)的廣泛應(yīng)用，工控生產(chǎn)網(wǎng)與商業(yè)辦公網(wǎng)的互聯(lián)互通成為常態(tài)，網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件的風險也隨之增加。

（二）政策規(guī)范推動

國家高度重視工業(yè)安全，各部門出臺了一系列相關(guān)政策文件，對煙草等重要行業(yè)工控安全提出了明確要求。

全國人大《中華人民共和國網(wǎng)絡(luò)安全法》規(guī)定，國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護制度的基礎(chǔ)上，實行重點保護。煙草行業(yè)作為重要產(chǎn)業(yè)，其工控網(wǎng)絡(luò)安全也在重點保護范圍之內(nèi)。

工信部先后出臺了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》《工業(yè)控制系統(tǒng)信息安全防護指南》《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》《工業(yè)控制系統(tǒng)信息安全行動計劃（2018 - 2020）》《工業(yè)互聯(lián)網(wǎng)發(fā)展行動計劃（2018 - 2020 年）》等文件，加強重點領(lǐng)域工控信息系統(tǒng)安全管理，為工業(yè)企業(yè)開展工控安全防護工作提供了整體性指導(dǎo)，指導(dǎo)做好工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理相關(guān)工作，檢驗工控安全防護實踐效果，提升工業(yè)企業(yè)工控安全防護能力，加快我國工控安全保障體系建設(shè)。

公安部《網(wǎng)絡(luò)安全等級保護基本要求》針對共性安全保護需求提出安全通用要求，針對云計算、移動互聯(lián)、物聯(lián)網(wǎng)、工業(yè)控制和大數(shù)據(jù)等新技術(shù)、新應(yīng)用領(lǐng)域的個性安全保護需求提出安全擴展要求，形成新的網(wǎng)絡(luò)安全等級保護基本要求標準，為煙草行業(yè)工控網(wǎng)絡(luò)安全提供了具體的規(guī)范指導(dǎo)。

此外，工業(yè)和信息化部《關(guān)于進一步加強工業(yè)行業(yè)安全生產(chǎn)管理的指導(dǎo)意見》強調(diào)，要將安全生產(chǎn)作為行業(yè)管理的重要內(nèi)容，從行業(yè)規(guī)劃、產(chǎn)業(yè)政策、法規(guī)標準、行政許可等方面加強安全生產(chǎn)工作，指導(dǎo)督促工業(yè)企業(yè)加強安全管理。通過技術(shù)改造促進企業(yè)提升本質(zhì)安全水平，推動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、人工智能等技術(shù)在安全生產(chǎn)領(lǐng)域廣泛應(yīng)用，用智能化、信息化手段提升企業(yè)本質(zhì)安全水平及工控安全、數(shù)據(jù)安全管理能力。

市場監(jiān)管總局《關(guān)于推進重點工業(yè)產(chǎn)品質(zhì)量安全追溯的實施意見》提出，實施重點工業(yè)產(chǎn)品質(zhì)量安全追溯，是落實工業(yè)產(chǎn)品生產(chǎn)銷售單位質(zhì)量安全主體責任，強化全過程質(zhì)量安全風險防控，促進產(chǎn)品質(zhì)量水平提升，加快全國統(tǒng)一大市場建設(shè)的重要舉措。雖然該意見主要針對重點工業(yè)產(chǎn)品質(zhì)量安全追溯，但對于煙草行業(yè)的工控網(wǎng)絡(luò)安全也具有一定的借鑒意義，如加強信息基礎(chǔ)設(shè)施安全保護和網(wǎng)絡(luò)安全等級保護等要求。

二、煙草行業(yè)工控網(wǎng)絡(luò)安全現(xiàn)狀

（一）安全風險分析

1. 網(wǎng)絡(luò)通信安全風險分析

? 安全域架構(gòu)設(shè)計欠缺可能導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)不清晰，難以進行有效的安全管理和防護。不同區(qū)域之間的訪問控制不明確，增加了非法訪問和攻擊的風險。

? 網(wǎng)絡(luò)隔離機制不合理會使不同網(wǎng)絡(luò)區(qū)域之間的邊界防護薄弱，可能導(dǎo)致惡意軟件、黑客攻擊等從一個區(qū)域擴散到其他區(qū)域，影響整個工控網(wǎng)絡(luò)的安全。

? 通信明文傳輸使得數(shù)據(jù)在網(wǎng)絡(luò)中傳輸時容易被竊聽和解析，敏感信息如生產(chǎn)指令、工藝參數(shù)等可能被泄露，給企業(yè)帶來重大安全隱患。

? 無線網(wǎng)絡(luò)管控不完善可能導(dǎo)致未經(jīng)授權(quán)的設(shè)備接入工控網(wǎng)絡(luò)，增加了網(wǎng)絡(luò)被攻擊的風險。同時，無線信號的不穩(wěn)定性也可能影響工控系統(tǒng)的正常運行。

? 安全審計機制缺失使得企業(yè)無法對網(wǎng)絡(luò)活動進行有效的監(jiān)控和記錄，一旦發(fā)生安全事件，難以追溯源頭和確定責任。

2. 設(shè)備應(yīng)用安全風險

? 工業(yè)控制系統(tǒng)自身漏洞可能被黑客利用，進行惡意攻擊或獲取系統(tǒng)控制權(quán)。這些漏洞可能存在于操作系統(tǒng)、應(yīng)用軟件、硬件設(shè)備等各個層面。

? 惡意代碼傳播可能導(dǎo)致工控系統(tǒng)癱瘓、數(shù)據(jù)丟失或被篡改。惡意代碼可以通過移動存儲設(shè)備、網(wǎng)絡(luò)連接等途徑進入工控系統(tǒng)。

? 登錄安全管理欠缺可能導(dǎo)致未經(jīng)授權(quán)的人員訪問工控系統(tǒng)，進行非法操作或竊取敏感信息。例如，弱密碼、默認密碼未更改等問題容易被攻擊者利用。

? 終端遠程運維風險包括未經(jīng)授權(quán)訪問、違規(guī)操作、感染病毒木馬等。遠程運維如果沒有嚴格的身份認證和訪問控制機制，可能被攻擊者利用進行惡意攻擊。

? 移動存儲設(shè)備接入風險主要是未經(jīng)授權(quán)的移動存儲設(shè)備可能攜帶惡意軟件進入工控系統(tǒng)，造成感染和傳播。

3. 日常管理安全風險

? 安全工作人員欠缺可能導(dǎo)致安全管理不到位，無法及時發(fā)現(xiàn)和處理安全問題。同時，缺乏專業(yè)的安全人員也會影響企業(yè)安全策略的制定和實施。

? 人員安全意識薄弱可能導(dǎo)致員工在日常工作中忽視安全問題，如隨意接入外部設(shè)備、泄露密碼等，增加了安全風險。

? 應(yīng)急保障機制不完善使得企業(yè)在面臨安全事件時無法及時有效地進行響應(yīng)和恢復(fù)，可能導(dǎo)致?lián)p失擴大。

（二）案例體現(xiàn)現(xiàn)狀

1. 當前有些卷煙廠工控網(wǎng)絡(luò)現(xiàn)狀

? 有些卷煙廠存在主機及應(yīng)用軟件漏洞，如操作員站、工程師站、服務(wù)器等物理主機大部分采用 Windows 操作系統(tǒng)，監(jiān)控組態(tài)軟件、數(shù)據(jù)庫等應(yīng)用軟件很少進行補丁升級，防護能力脆弱，容易遭受病毒、惡意代碼攻擊。同時，卷包數(shù)采車間設(shè)備老舊，無法安裝殺毒軟件或主機防護系統(tǒng)。上位機操作系統(tǒng)大部分未安裝殺毒軟件，主機外設(shè)接入無管控，容易感染病毒并在網(wǎng)絡(luò)中傳播。

? 缺乏網(wǎng)絡(luò)監(jiān)控和審計措施，無法對網(wǎng)絡(luò)狀態(tài)進行有效監(jiān)控和對操作日志行為進行審計，缺乏網(wǎng)絡(luò)事件記錄和跟蹤能力，難以對安全問題進行根源定位。

? 缺乏全局監(jiān)控的技術(shù)措施，缺少對生產(chǎn)網(wǎng)絡(luò)中的控制系統(tǒng)和安全設(shè)備的安全統(tǒng)一監(jiān)視和管理的綜合平臺，無法對設(shè)備資產(chǎn)管理、運行狀況監(jiān)控、安全報警、事件感知、記錄分析及后續(xù)處理進行統(tǒng)一管理，也無法分析評價各車間區(qū)域整體主機設(shè)備運行的優(yōu)良狀況。

2. 煙草公司安全難題

? 破解 IT 和 OT“兩張皮”難題是當前面臨的重要挑戰(zhàn)。資產(chǎn)和風險管理方面，由于工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)的差異，資產(chǎn)識別和風險評估難度較大。事件分散溯源困難，一旦發(fā)生安全事件，難以快速確定事件源頭和影響范圍。缺乏統(tǒng)一監(jiān)控，無法對整個企業(yè)的工控網(wǎng)絡(luò)進行全面有效的監(jiān)控和管理。

3. 卷煙廠動力車間與長沙卷煙廠舉措

? 河南中煙洛陽卷煙廠動力車間建立“三張清單”筑牢網(wǎng)絡(luò)安全防線，通過明確責任、強化管理等措施，提高了網(wǎng)絡(luò)安全水平。

? 湖南中煙長沙卷煙廠多措并舉強化工控網(wǎng)絡(luò)管理。開展網(wǎng)絡(luò)安全培訓(xùn)和教育活動，增進員工對網(wǎng)絡(luò)攻擊的了解，提升網(wǎng)絡(luò)安全意識和技能。搭建基于縱深防御策略的網(wǎng)絡(luò)安全防護體系，利用防火墻、入侵檢測系統(tǒng)和反病毒軟件等實現(xiàn)分級安全防范。強化網(wǎng)絡(luò)監(jiān)控和管理，建立基于服務(wù)的監(jiān)測管控體系，及時感知異常或未知威脅。加強數(shù)據(jù)保護和備份，采取多重備份機制確保重要數(shù)據(jù)安全，并制定網(wǎng)絡(luò)安全應(yīng)急響應(yīng)預(yù)案。此外，長沙卷煙廠還在網(wǎng)絡(luò)安全領(lǐng)域精耕細作，形成了一套獨具特色的管理體系。戰(zhàn)略引領(lǐng)，將網(wǎng)絡(luò)安全全面融入企業(yè)長期發(fā)展規(guī)劃與日常運營管理，構(gòu)建“一把手”負總責、多級聯(lián)動的網(wǎng)絡(luò)安全管理體系，成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組，下設(shè)多個專業(yè)小組協(xié)同作戰(zhàn)。人才筑基，創(chuàng)新驅(qū)動，采取內(nèi)部挖潛與外部引進并重的策略打造專業(yè)團隊，注重內(nèi)部培養(yǎng)和外部引進高層次人才，重視實戰(zhàn)經(jīng)驗積累，積極參與行業(yè)內(nèi)外網(wǎng)絡(luò)安全競賽。通過實戰(zhàn)演練，檢驗防御體系的防護能力與應(yīng)變能力，制定網(wǎng)絡(luò)安全定期檢查與實戰(zhàn)演練機制，主動識別并評估潛在風險，與外部安全機構(gòu)合作交流，提升企業(yè)網(wǎng)絡(luò)安全防護能力。

三、煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案

（一）通用解決方案

隨著煙草行業(yè)智能化轉(zhuǎn)型的加速，工控網(wǎng)絡(luò)安全問題日益凸顯。為了應(yīng)對這些安全風險，需要采取一系列的解決方案。

1. 入侵防范&監(jiān)測審計

部署工控安全監(jiān)測審計系統(tǒng)，對網(wǎng)絡(luò)內(nèi)傳輸?shù)牧髁窟M行字段級解析，建立協(xié)議基線、流量基線、鏈路基線。通過特定的安全策略，快速識別出企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)非法操作、異常事件、外部攻擊，并實時報警，對異常操作、非法入侵、執(zhí)行惡意代碼等行為進行事中告警、事后審計。

2. 邊界防護

在各生產(chǎn)業(yè)務(wù)系統(tǒng)間冗余部署工控防火墻，實現(xiàn)區(qū)域邊界防護；在數(shù)據(jù)中心部署網(wǎng)絡(luò)準入控制系統(tǒng)，有效阻止非法終端接入和違規(guī)外聯(lián)；在生產(chǎn)網(wǎng)與互聯(lián)網(wǎng)之間部署工業(yè)網(wǎng)閘，實現(xiàn)網(wǎng)間數(shù)據(jù)的安全隔離與交換。通過這些措施，對系統(tǒng)進行訪問控制，邏輯隔離、報文過濾等功能，只允許特定的對象通過，特定的工控協(xié)議與系統(tǒng)進行交互，同時對報文內(nèi)容進行深度檢查，識別正常的操作行為并生成白名單，對不符合白名單行為特征的進行阻斷或告警。

3. 運維管控

在數(shù)據(jù)中心部署運維堡壘機，實現(xiàn)設(shè)備遠程運維操作的全面審計和行為管控，滿足遠程運維管控要求。限制設(shè)備的遠程登錄地址，對用戶的操作權(quán)限以及操作行為進行審計記錄，并提供會話審計和回放功能，同時確保審計記錄不被破壞或非授權(quán)訪問。

4. 終端防護

在操作員站、工程師站、服務(wù)器上部署終端防護系統(tǒng)客戶端，實現(xiàn)終端安全加固、進程白名單管控和 USB 移動介質(zhì)管控。以白名單的技術(shù)方式監(jiān)控工控主機的進程狀態(tài)、網(wǎng)絡(luò)端口狀態(tài)、USB 端口狀態(tài)，全方位地保護主機的資源使用，禁止非法進程的運行，切斷病毒和木馬的傳播與破壞路徑，保障服務(wù)器和工作站的系統(tǒng)安全。同時，通過對 U 盤的權(quán)限設(shè)置及行為管理，全面防護 USB 病毒及攻擊，利用過濾技術(shù)，過濾可疑文件，切斷病毒傳播途徑，有效攔截攻擊，防止數(shù)據(jù)泄露事故。

5. 安全管理中心

在數(shù)據(jù)中心部署工控安全管理平臺，對安全設(shè)備、網(wǎng)絡(luò)設(shè)備、主機設(shè)備的日志和告警進行歸一化采集、關(guān)聯(lián)分析，展現(xiàn)安全態(tài)勢和預(yù)警，全面提升安全防護效率和安全管理能力。實現(xiàn)對系統(tǒng)內(nèi)的防護設(shè)備統(tǒng)一進行安全管理，對全網(wǎng)流量和安全事件進行實時監(jiān)控，通過數(shù)據(jù)建模分析內(nèi)網(wǎng)安全威脅，并對全網(wǎng)設(shè)備狀態(tài)實時監(jiān)控和統(tǒng)一管理，實現(xiàn)統(tǒng)一的策略下發(fā)。

（二）案例解決方案

1. 中煙工業(yè)云南某卷煙廠方案介紹

該廠基于“一個中心、三重防護”縱深防御原則，從安全區(qū)域邊界、安全通信網(wǎng)絡(luò)、安全計算環(huán)境和安全管理中心四個方面實施安全方案。

在安全區(qū)域邊界，部署智能工業(yè)防火墻，進行訪問控制，邏輯隔離、報文過濾等功能，通過智能學(xué)習(xí)和深度數(shù)據(jù)包解析的黑白名單結(jié)合，只允許特定的對象通過，特定的工控協(xié)議與系統(tǒng)進行交互，對報文內(nèi)容做深度檢查，生成白名單，對不符合行為特征的進行阻斷或告警。

在安全通信網(wǎng)絡(luò)，旁路部署工業(yè)監(jiān)測審計系統(tǒng)和網(wǎng)絡(luò)入侵檢測系統(tǒng)，通過特定的安全策略，快速識別出非法操作、異常事件、外部攻擊，并實時報警，合理設(shè)置檢測規(guī)則，檢測隱藏于流經(jīng)網(wǎng)絡(luò)邊界正常信息流中的入侵行為，分析潛在威脅并進行安全審計。

在安全計算環(huán)境，對上位機、服務(wù)器進行防護，以白名單技術(shù)監(jiān)控工控主機狀態(tài)，部署 USB 安全防御系統(tǒng)，通過權(quán)限設(shè)置及行為管理，全面防護 USB 病毒及攻擊，切斷病毒傳播途徑。

在安全管理中心，部署工業(yè)日志審計系統(tǒng)、運維審計與管理設(shè)備（堡壘機）及統(tǒng)一安全管理平臺，實現(xiàn)日志收集分析、設(shè)備集中管控、全網(wǎng)流量和安全事件實時監(jiān)控、內(nèi)網(wǎng)安全威脅分析及統(tǒng)一策略下發(fā)等功能。

2. 齊安科技解決方案

齊安科技針對煙草生產(chǎn)企業(yè)提供風險評估、邊界安全、運維安全、終端安全、安全監(jiān)測和流量監(jiān)測等系統(tǒng)部署方案。

風險評估方面，通過工業(yè)安全評估系統(tǒng)，針對資產(chǎn)構(gòu)成單元進行安全評估，快速構(gòu)建網(wǎng)絡(luò)資產(chǎn)畫像、網(wǎng)絡(luò)結(jié)構(gòu)拓撲、探測資產(chǎn)漏洞及分析系統(tǒng)潛在威脅，為安全加固提供參考依據(jù)。

邊界安全方面，在管理網(wǎng)和生產(chǎn)網(wǎng)的邊界及生產(chǎn)業(yè)務(wù)系統(tǒng)間部署工業(yè)防火墻，基于白名單建立訪問控制策略，實現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)的安全隔離與交換，預(yù)防工控網(wǎng)絡(luò)攻擊行為。

運維安全方面，使用檢修作業(yè)安全運維系統(tǒng)，實現(xiàn)運維過程全面審計、行為管控、數(shù)據(jù)傳輸安全和數(shù)據(jù)儲存安全，滿足現(xiàn)場安全運維的管控要求。

終端安全方面，在工程師站、操作員站、服務(wù)器上部署工業(yè)主機系統(tǒng)，實現(xiàn)終端安全加固、進程白名單管控和 USB 移動介質(zhì)管控，防止惡意代碼感染主機。

安全監(jiān)測方面，在工業(yè)環(huán)網(wǎng)交換機、核心交換機上旁路部署工業(yè)安全審計系統(tǒng)，對網(wǎng)絡(luò)內(nèi)傳輸?shù)牧髁窟M行解析，建立通信行為基線，對異常操作、非法入侵等行為進行實時告警、事后追溯。

流量監(jiān)測方面，配合工業(yè)安全審計系統(tǒng)，對網(wǎng)絡(luò)流量、安全事件進行可視化趨勢分析，全面掌握企業(yè)工業(yè)網(wǎng)絡(luò)安全態(tài)勢。

客戶價值方面，滿足等保 2.0 及各項制度對工控安全的相關(guān)要求，符合煙草行業(yè)發(fā)展自動化、智能化和網(wǎng)絡(luò)安全防護發(fā)展要求，擁有完整的防護體系及管理手段，為企業(yè)工業(yè)網(wǎng)絡(luò)安全及生產(chǎn)安全保駕護航。

3. 湖北某卷煙廠方案說明

湖北某卷煙廠通過主機安全加固和工業(yè)網(wǎng)絡(luò)安全監(jiān)測等措施，提升整體工控安全監(jiān)管水平和防御能力。

主機安全加固方面，在工控網(wǎng)絡(luò)內(nèi)的獨立服務(wù)器、操作員站、工程師站、現(xiàn)場 HMI 等上位機部署工控主機安全防護系統(tǒng)，根據(jù)工控系統(tǒng)現(xiàn)場業(yè)務(wù)特征及應(yīng)用建立動態(tài)白名單策略，采用可信白名單機制，解決操作系統(tǒng)、殺毒軟件等因無法升級補丁帶來的安全問題，保證系統(tǒng)的穩(wěn)定運行。通過禁止或允許移動存儲設(shè)備在服務(wù)器上使用，有效防止移動存儲設(shè)備隨意接入對服務(wù)器系統(tǒng)的安全威脅，提供移動介質(zhì)授權(quán)管理，禁止非授權(quán)外設(shè)存儲的接入。各終端軟件部署完成后可通過安全管理平臺進行統(tǒng)一管理、策略配置、告警顯示等。

工業(yè)網(wǎng)絡(luò)安全監(jiān)測方面，依據(jù)“設(shè)備自身感知、數(shù)據(jù)就地采集”的原則，在制絲車間、動力中心車間、卷包車間匯聚交換機處旁路部署工控安全監(jiān)測與審計系統(tǒng)，提供全面的網(wǎng)絡(luò)行為審計功能，對工控設(shè)備異常行為、網(wǎng)絡(luò)應(yīng)用行為進行監(jiān)測，對符合行為策略的事件實時告警并記錄，提供基于協(xié)議識別的流量分析功能，深度解析工業(yè)協(xié)議，實時統(tǒng)計報文流量，進行綜合流量分析，為流量管理策略的制定提供可靠支持，檢測生產(chǎn)控制系統(tǒng)中的操作行為和異常網(wǎng)絡(luò)行為，以便于事后進行事件取證和定責。

四、方案優(yōu)勢與客戶價值

（一）方案優(yōu)勢

1. 合規(guī)性滿足關(guān)鍵信息基礎(chǔ)設(shè)施保護制度、網(wǎng)絡(luò)安全等級保護制度和防護指南要求。

煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案嚴格遵循國家相關(guān)政策法規(guī)，確保在關(guān)鍵信息基礎(chǔ)設(shè)施保護、網(wǎng)絡(luò)安全等級保護以及防護指南等方面做到全面合規(guī)。這不僅是對企業(yè)自身網(wǎng)絡(luò)安全的負責，更是對國家重要產(chǎn)業(yè)安全的保障。

2. 技術(shù)與管理并重強調(diào)安全不僅是技術(shù)問題，還需重視安全管理。

在煙草行業(yè)工控網(wǎng)絡(luò)安全中，技術(shù)與管理相輔相成。一方面，采用先進的安全技術(shù)，如入侵防范與監(jiān)測審計、邊界防護、運維管控、終端防護和安全管理中心等，為工控網(wǎng)絡(luò)提供全方位的技術(shù)防護。另一方面，重視安全管理，不斷完善各類安全管理規(guī)章制度和操作規(guī)程，提高安全管理水平，確保技術(shù)措施的有效實施。

3. 可視化實現(xiàn)工控網(wǎng)絡(luò)資產(chǎn)可視化管理，動態(tài)識別非法接入設(shè)備，展示安全威脅。

通過可視化技術(shù)，實現(xiàn)對工控網(wǎng)絡(luò)資產(chǎn)的清晰管理。能夠?qū)崟r動態(tài)識別非法接入設(shè)備，及時發(fā)現(xiàn)潛在的安全威脅，并直觀地展示給安全管理人員，以便采取相應(yīng)的措施進行防范和處理。

4. 全面防護從多個層面提供完整安全防護與管理手段。

從網(wǎng)絡(luò)、終端、通信、數(shù)據(jù)、運維、管理等多個層面入手，提供完整的安全防護與管理手段。對工業(yè)環(huán)網(wǎng)交換機、核心交換機進行旁路部署工控安全監(jiān)測審計系統(tǒng)，實現(xiàn)對網(wǎng)絡(luò)流量的解析和異常行為的告警；在各生產(chǎn)業(yè)務(wù)系統(tǒng)間部署工控防火墻，進行區(qū)域邊界防護；在數(shù)據(jù)中心部署運維堡壘機，管控設(shè)備遠程運維操作；在操作員站、工程師站、服務(wù)器上部署終端防護系統(tǒng)客戶端，實現(xiàn)終端安全加固等，全面保障工控網(wǎng)絡(luò)安全。

5. 最小干擾采用非侵入式安全監(jiān)測與防護方式，降低對工控網(wǎng)絡(luò)干擾。

所有安全組件均采用非侵入式安全監(jiān)測與防護工作方式，在保障工控網(wǎng)絡(luò)安全的同時，將對工控網(wǎng)絡(luò)的干擾降低到最低限度。確保工控系統(tǒng)的穩(wěn)定運行，不影響煙草生產(chǎn)的正常進行。

6. 多工業(yè)協(xié)議支持支持多種常見工控協(xié)議及私有協(xié)議定制開發(fā)。

支持 S7、Modbus、MMS、OPC、DLT645、IEC61850、CIP、DNP3、CDT、EIP、IEC101/102/103/104、BacNet、ProfiNet 等 50 多種常見工控協(xié)議的深度解析，解析深度可達到功能碼、寄存器讀寫屬性甚至數(shù)據(jù)的閾值。同時，還支持私有協(xié)議定制開發(fā)，滿足煙草行業(yè)不同工控系統(tǒng)的特殊需求。

（二）客戶價值

1. 安全合規(guī)建設(shè)有效履行《網(wǎng)絡(luò)安全法》，滿足等級保護 2.0 及煙草行業(yè)規(guī)范要求。

通過實施煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案，企業(yè)能夠有效履行《網(wǎng)絡(luò)安全法》規(guī)定的義務(wù)，滿足等級保護 2.0 的要求以及煙草行業(yè)的規(guī)范要求。確保企業(yè)在法律和行業(yè)規(guī)范的框架內(nèi)開展生產(chǎn)經(jīng)營活動，避免因安全不合規(guī)而面臨的法律風險和行業(yè)處罰。

2. 構(gòu)建安全防御體系彌補生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全缺陷，提高安全防護，助力企業(yè)安全生產(chǎn)。

針對煙草行業(yè)生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全存在的缺陷，如安全域架構(gòu)設(shè)計欠缺、網(wǎng)絡(luò)隔離機制不合理、通信明文傳輸、無線網(wǎng)絡(luò)管控不完善、安全審計機制缺失等問題，構(gòu)建全面的安全防御體系。提高安全防護水平，保障企業(yè)生產(chǎn)系統(tǒng)的穩(wěn)定運行，助力企業(yè)實現(xiàn)安全生產(chǎn)。

3. 主動防御體系實現(xiàn)“事前監(jiān)控、事中控制、事后溯源”，保障生產(chǎn)控制系統(tǒng)穩(wěn)定運行。

通過入侵防范與監(jiān)測審計、邊界防護、運維管控、終端防護和安全管理中心等措施，建立主動防御體系。實現(xiàn)對生產(chǎn)控制系統(tǒng)的事前監(jiān)控，及時發(fā)現(xiàn)潛在的安全威脅；事中控制，對異常操作、非法入侵等行為進行實時告警和阻斷；事后溯源，對安全事件進行審計和分析，查找原因，為后續(xù)的安全防護提供經(jīng)驗教訓(xùn)。保障生產(chǎn)控制系統(tǒng)的穩(wěn)定運行，降低安全事件對企業(yè)生產(chǎn)的影響。

4. 滿足發(fā)展要求符合煙草行業(yè)自動化、智能化和網(wǎng)絡(luò)安全防護發(fā)展要求，為企業(yè)保駕護航。

隨著煙草行業(yè)自動化、智能化的發(fā)展，網(wǎng)絡(luò)安全防護的需求也日益迫切。煙草行業(yè)工控網(wǎng)絡(luò)安全解決方案符合行業(yè)發(fā)展要求，為企業(yè)提供全面的網(wǎng)絡(luò)安全防護，為企業(yè)的自動化、智能化發(fā)展保駕護航。確保企業(yè)在數(shù)字化轉(zhuǎn)型的過程中，既能享受技術(shù)進步帶來的效益，又能有效防范網(wǎng)絡(luò)安全風險。