烟草企业互联网安全解决方案

概述

随着烟草行业的蓬勃发展，企业信息化应用水平不断提高，绝大多数烟厂实现了企业计划层与车间执行层的双向信息流交互，通过信息集成、过程优化及资源优化，实现物流、信息流、价值流的集成和优化运行，很大程度上提高了企业敏捷性，随之而来的安全问题也逐步凸显，加强烟草各环节工业控制系统的安全防护显得尤为重要。

典型安全问题

（1）办公网与生产网之间不同安全等级的用户存在越权访问的安全风险；

（2）缺乏防范DDOS 攻击、Flood 攻击的手段；

（3）主机感染病毒造成网络性能严重下降，甚至网络通信中断等；

（4）病毒在生产网边界和各个安全区域之间扩散。

67

解决方案

（1）对各系统边界采取访问控制、病毒防护措施，保护操作指令免遭非法访问、窃取或篡改，保障工控网络的安全运行；

（2）对烟草系统工控网络中重要服务器、操作员站、工程师站进行安全防护，杜绝软件肆意安装、U 盘滥用等行为；

（3）对烟草工控网络信息流进行实时监测，记录各类异常操作和违规行为，做到事前部署，事中监控，事后追溯；

（4）对工控网络中的安全设备进行集中统一管理，实现全局配置、集中监控、统一管理，提高管理人员的工作效率，降低人员投入成本。

部署方案

图40 烟草企业工控安全拓扑图

（1）边界、区域安全防护

通过在管理区与生产区边界、储丝区、掺配区、烘丝区、

叶片区等各作业区的PLC 前端部署工业防火墙，防范DDOS

攻击和越权访问；

（2）主机安全防护

在各操作站上部署工控主机卫士和安全U 盘，防止除

了与制丝相关业务系统外的非授权软件使用，实现整个制丝

环节的安全可控；

（3）网络监测与审计

在制丝各环节网络交换机上旁路部署监测审计平台，对工业

网络的数据流量、网络会话、攻击威胁行为做全面的审计，便

于事后追踪溯源；

（4）集中管理

在以太网监控终端区域旁路部署统一安全管理，实现安全

设备集中管理和各类日志的汇总分析。

小结

该解决方案具备如下特点：

（1）满足国家能源局的合规性要求；

（2）实现对各类已知及未知恶意代码的安全防范，保障工控网络安全；

（3）对烟草工业网络实施安全域划分、逻辑隔离和访问

控制，防范恶意攻击和病毒扩散，保障烟草生产正常运行。