烟草行业安全解决方案

背景：

作为中国制造业的一个重要部分，烟草业既面临着当前制造业的共性问题和挑战，也具备了在经济新常态下加快转型升级的基础和动力。特别是国家在提出“中国制造2025”战略的前提下，提升烟草制造水平，积极跟进世界烟草的科技创新，并与信息化紧密融合，已成为不可回避的现实问题。

特点：

烟草行业工业控制系统种类繁多，烟草行业工业控制系统生产流程包括制丝、卷接和包装三个大的环节，其特点如下：

在烟草行业的实际业务场景中，多种知名品牌的PLC等控制设备被验证存在大量的安全漏洞，可通过控制网、管理网间接连接到互联网，此外，多数工业控制系统在安全防护、审计、运维等方面均存在诸多安全隐患。

总体网络安全建设思路为以解决目前烟草生产工业控制系统存在的突出网络安全问题为前提，同时结合《工业控制系统信息安全防护指南》、《信息安全技术网络安全等级保护基本要求》等进行安全建设规划。

具体建设内容如下：

在信息管理网与生产网边界、储丝、掺配、加香、烘丝等各作业区的PLC前端部署工业防火墙产品，学习并建立流量安全模型，基于“白名单”建立访问控制策略，防范针对核心控制器的攻击行为；

在核心交换机上旁路部署工业入侵检测系统和工业安全监测审计系统，及时发现可能存在的攻击行为并告警；

在各操作员站上部署工业主机安全卫士产品，防止非烟草生产相关业务未授权软件的使用，防范 0DAY漏洞的利用及病毒、木马等在工业主机上运行；

对MES服务器、SCADA服务器、数据库服务器等关键主机进行安全加固，做好权限细化，防止恶意人员以服务器为跳板，攻击整个生产网络；

在生产网内部署安全运维管理系统，细化运维人员权限并进行详细记录，在大大降低误操作的基础上实现有据可查；

部署工业安全管理平台，对网络攻击、异常行为、违规外联、漏洞信息等进行总体把控。