1、项目背景

随着工业4.0时代的来临，工业自动化与控制网络也向着分布式、智能化的方向迅速发展，越来越多基于TCP/IP的通信协议和接口被采用。然而，在工控系统越来越开放的同时，也同步削弱了控制系统与外界的隔离和安全保护。

现代卷烟工厂是高度自动化、信息化、智能化的典范。其核心生产工艺流程（如复烤、制丝、卷包等）严重依赖工业控制系统（PLC、DCS、SCADA、HMI等）、工业网络、MES系统以及各种智能传感设备。

烟草制造行业工控系统的智能化建设极有可能引入信息安全风险，且烟草制造行业工控安全建设往往滞后于智能化、智慧化建设，无法应对日益增长的网络威胁，可能导致其遭受网络攻击而使生产停滞。因此需加快烟草制造行业工控安全建设，保障烟草制造行业工控系统安全稳定运行。

2、项目介绍

该卷烟厂工控系统网络尚未完成等保合规建设，工控系统网络安全存在显著短板，无有效的访问控制措施等安全风险，对生产安全构成实质性威胁。现需遵循GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、《工业控制系统信息安全防护指南》及烟草制造企业工控安全相关政策标准，构建覆盖全域的纵深防御体系。

3、项目目标

保障生产业务连续稳定

构建纵深防御体系，有效抵御网络攻击与内部风险，最大限度降低因网络安全事件导致的生产中断风险，确保各等生产工艺环节的连续、稳定运行。

提升安全监测响应能力

建立工控网络实时监控与威胁感知机制，具备对异常行为、入侵事件的快速发现、精准定位和有效处置能力。

建立长效安全运营机制

形成覆盖设备、网络、应用、数据、人员管理的安全防护基线，完善安全管理制度与流程，提升整体安全防护水平与可持续运营能力。

4、解决方案

4.1 网络拓扑图

4.2 安全区域边界

于各车间边界部署工业防火墙，实现逻辑隔离。综合运用工控威胁特征识别技术、机器学习与可信白名单技术，在提供传统防火墙的访问控制和安全防护能力的同时，也可有效抵御各类针对工控系统的网络攻击和恶意破坏，为生产控制系统的稳定运行提供安全保障。

于各车间部署工控安全审计系统，采集交换机的镜像流量并进行分析，及时发现网络流量或设备的异常情况并告警。

于各车间至虚拟化平台边界节点，部署工业安全隔离与信息交换系统，构建物理隔离防护体系。在确保工业控制网络与信息网络完全隔离的前提下，实现跨网域数据交换的安全可靠性与传输高效性。

4.3 安全通信网络

工业防火墙与工业安全隔离与信息交换系统均采用双机热备部署架构，通过设备冗余与链路冗余双重保障机制，确保系统高可用性，支撑核心生产业务连续稳定运行。

4.4 安全计算环境

于各车间操作员站、工程师站、服务器等工控主机安装主机安全加固软件。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

4.5 安全管理中心

构建安全管理中心，为等级保护安全应用环境提供集中安全管理功能的系统，是安全应用系统安全策略部署和控制的中心，对安全策略和安全计算环境、安全区域边界和安全通信网络上的安全机制实施统一管理。在该区域部署以下设备：

01.于安全管理区旁路部署日志审计与分析系统，实现对全网系统日志、设备运行日志及安全告警日志的统一采集与智能关联分析，建立≥6个月的全量日志留存机制，为安全事件溯源取证提供法律效力级技术支撑

02.采用旁路镜像模式部署数据库审计系统，实时监测结构化数据操作行为，对高危指令、越权访问及敏感数据导出等风险操作实施毫秒级告警，生成合规审计报表，支撑数据安全精准回溯。

03.针对网络设备、服务器、工控设备部署安全运维审计系统（堡垒机），对各系统运维人员进行资源授权、权限分配，有效防范非授权的运维行为，对运维操作事后发生的问题能够准确定位。

04.部署工业安全管理与态势感知系统，通过收集、分析和可视化全网安全数据，帮助实时掌握网络安全状况、预测潜在威胁并做出快速响应。

5、案例价值

5.1 满足标准合规性要求

符合《信息安全技术网络安全等级保护基本要求》 (GBT22239-2019)、《工业控制系统信息安全防护指南》等烟草制造企业工控安全相关政策、标准及监管要求。

5.2 构建烟草制造企业体系化安全

通过强化烟草制造企业区域内网络、主机及数据的安全防护，大大增强了烟草制造企业的整体安全防护能力，确保强化烟草制造企业生产可持续运营，构建边界安全、物联设备安全的纵深防护体系。

5.3 提升烟草制造企业生产安全性

方案深度融合烟草制造企业工控设施，降低烟草制造企业的安全运营风险，提高安全运维效率，为烟草制造企业智能化、智慧化建设提供可靠的安全保障。

5.4 促进烟草制造企业智能化发展

通过建设烟草制造企业工控安全防护体系，可解决烟草制造企业智能化建设过程中带来的信息安全风险，保障烟草制造企业工控设施、智能化系统安全及设备可靠运转的目标。