从第一次工业革命到工业4.0,实现以"数字化、智能化、网络化"为特点的工业信息化建设已经成为我国两化融合的重要目标,在此环境下国家烟草总局高度重视烟草行业工业网络安全建设工作。各烟草企业正在积极构建一体化"数字烟草",烟草行业信息化已初具规模,提高了烟草企业的生产和管理能力,使工业控制系统对内走向开放对外走向互联,工业控制系统所面临的网络安全威胁也趋向多元化和多发性。烟草行业信息化包含工业和商业信息化,烟草工业主要涵盖烟草工业生产中烟叶复烤、配方研发、卷烟制丝、制卷、包装、入库等业务;系统包括生产数据采集与车间管理系统、MES生产调度系统、生产决策、卷烟研发管理信息系统等;烟草商业主要涵盖烟叶收购和初烤、烟草商品物流、分发管理、终端销售管理等;系统包括仓库管理系统、分拣管理系统、运输管理系统等。若要烟草企业工业控制系统处于相对安全的运行状态,就必须对业务系统中的安全风险进行管控,烟草行业才能快速稳定、可持续发展。
在控制中心与制丝、卷包、物流等系统及无线通信网络边界处部署工业防火墙,实现边界访问控制,入侵攻击防护。在内外网之间部署工业安全隔离与信息交换系统,实现网间数据物理隔离与安全交换。
在工控系统所有终端部署工业主机安全卫士,实现对移动储存介质使用管理、软件黑白名单管理、主机安全基线管理、补丁管理、主机审计、主机资产管理等功能。
各车间、控制中心部署工控安全审计系统进行安全监测,实时监测工控网络中违规行为、异常流量和不明设备接入,在核心交换机旁路部署入侵检测设备,实现网络攻击检测和异常行为告警。
在控制中心部署运维安全审计系统,实现账号集中管理、高强度认证加固、细粒度访问授权控制、加密和图形操作协议的审计等功能,让运维人员操作处于可控制、可管理的状态。
在控制中心旁路部署日志审计与分析系统,用于对业务系统、服务器、网络设备、安全设备、操作系统、数据库等相关系统日志进行集中采集、关联分析、多元化告警。
在控制中心部署工控集中安全管理系统,旁路接入核心交换机处,对生产网各种安全设备进行统一 资产管理、策略配置、授权和响应。对安全事件进行集中分析溯源、告警与风险处置。