2024年精选案例|中烟工业云南某卷烟厂工控系统安全防护提升方案

一、行业背景

2014年4月15日，烟草行业开始实施《烟草工业企业生产网与管理网网络互连安全规范》（YCT 494-2014），明确管理网和控制网之间的安全功能包括身份鉴别、访问控制、网络互联控制、恶意行为规范、安全审计、支撑操作系统安全。

2024年，国家烟草专卖局发布的《烟草行业工业控制系统网络安全技术规范》送审稿，规定了定级对象、责任主体、保护等级及工控系统安全基线等要求。因此，烟草行业工控网络安全加固势在必行。

二、需求分析

中烟工业云南某卷烟厂是中烟公司旗下的一家大型的卷烟厂，为了进一步加强信息安全管理，保障信息系统安全稳定运行，按照国家烟草总局的要求，需要对厂内制丝集控系统进行风险评估，主要需求如下：

? 对整个制丝集控系统工控网络进行安全风险评估，发现目前制丝工控系统中潜在的风险；

? 基于风险评估结果对全网进行安全加固，对现阶段可行的安全改造与持续性的安全维护提供建议方案。

三、解决方案

建设目标：符合等级保护三级基本要求。

体系框架：基于“一个中心、三重防护”纵深防御。

结合实际情况，按照“一个中心，三重防护”纵深防御的原则，从外到内构成“纵深防御、分区防护”策略，从安全区域边界、安全通信网络、安全计算环境、安全管理中心四个方面加以实现：

安全区域边界

边界防护：在烟草厂工控系统管理网和控制网出口处之间边界部署智能工业防火墙，进行访问控制，逻辑隔离、报文过滤等功能。通过智能学习和深度数据包解析的黑白名单结合、只允许特定的对象通过，特定的工控协议与系统进行交互。

同时，对系统之间传输的报文内容，做深度的检查，识别正常的操作行为并生成白名单，发现用户的行为，如果不符合白名单中的行为特征，会进行阻断或告警。

安全通信网络

安全审计：在烟草厂工控系统控制区核心交换机旁路部署工业监测审计系统，通过特定的安全策略，快速识别出企业工业控制系统网络非法操作、异常事件、外部攻击，并实时报警。

入侵检测：在烟草厂工控系统控制区系统边界部署网络入侵检测系统，合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在的威胁并进行安全审计。

如果认准备考，可联系网站客服获取烟草招聘考试资料！

部分学员成绩

学员评价