在經(jīng)濟全球化、信息網(wǎng)絡化的時代背景下，近年來煙草行業(yè)信息化已具有一定規(guī)模，MES系統(tǒng)已經(jīng)建立，實現(xiàn)了從控制系統(tǒng)到實時數(shù)據(jù)庫的通訊連接。世界范圍內(nèi)的過程控制系統(tǒng)和SCADA系統(tǒng)廣泛采用信息技術(shù)，這些技術(shù)使工業(yè)設(shè)備接口更為簡單，但同時也減弱了控制系統(tǒng)及SCADA系統(tǒng)等與外界的隔離，控制系統(tǒng)面臨的來自網(wǎng)絡方面的威脅也趨向多元化和多發(fā)性。

煙草行業(yè)控制網(wǎng)絡說明及隱患分析
       煙草行業(yè)工業(yè)控制網(wǎng)一般采用環(huán)網(wǎng)結(jié)構(gòu)，負責控制器、操作站及工程師站之間過程控制數(shù)據(jù)實時通訊。控制網(wǎng)中各組內(nèi)的操作站、PLC等設(shè)備直接與數(shù)采網(wǎng)中的交換機相連。企業(yè)上層的信息管理網(wǎng)中，Web發(fā)布器、實時數(shù)據(jù)庫與其他操作員站、監(jiān)控服務器等全部位于同一局域網(wǎng)中。控制網(wǎng)和企業(yè)上層信息管理網(wǎng)通過一個路由器直接相連。

       目前的系統(tǒng)存在以下信息安全隱患：
1、 控制網(wǎng)中各組內(nèi)的操作站、PLC等設(shè)備直接與數(shù)采網(wǎng)中的交換機相連，網(wǎng)絡風險性大大增加。

2、 企業(yè)上層的信息管理網(wǎng)中，Web發(fā)布器、實時數(shù)據(jù)庫與其他操作站、監(jiān)控服務器等全部位于同一局域網(wǎng)中，且和控制網(wǎng)通過路由器直接連接，一旦其中某臺計算機感染病毒，勢必將影響信息管理網(wǎng)內(nèi)其他所有計算機以及控制網(wǎng)的所有設(shè)備。

3、 以太環(huán)網(wǎng)內(nèi)的任意一臺裝有控制站編程軟件的機器可以對任意一臺控制器進行控制下裝，存在誤下裝的風險。

4、 網(wǎng)絡中無安全監(jiān)控平臺，無法對網(wǎng)絡安全事故進行預警和分析，網(wǎng)絡工程師將無法以快的速度判斷問題所在，也就無法迅速準確的做出防護和修復措施。

解決方案

多芬諾安全防護方案網(wǎng)絡拓撲圖

1、區(qū)域隔離
       在關(guān)鍵通道上部署Tofino工業(yè)防火墻，其插件能夠過濾兩個區(qū)域網(wǎng)絡間的通信，即使出現(xiàn)網(wǎng)絡故障，也會被控制在初發(fā)生的區(qū)域內(nèi)，保證整套裝置及工廠的安全穩(wěn)定運行。

2、通信管控
       通過對防火墻插件的組態(tài)，通訊規(guī)則只允許PLC制造商專有協(xié)議數(shù)據(jù)通過，其它基于Windows應用的不必要通訊以及病毒、非法訪問等一律禁止，從而創(chuàng)造出一個單一制造商通信網(wǎng)絡的環(huán)境。

3、集中管理
       在網(wǎng)絡中部署CMP配置管理平臺，用于配置、管理、監(jiān)測網(wǎng)絡中所有的Tofino工業(yè)防火墻，并接收來自防火墻的網(wǎng)絡報警信息。無需停車，Tofino工業(yè)防火墻特有的“測試”模式允許在線配置防火墻策略。

4、實時報警
       在網(wǎng)絡中部署CMP配置管理平臺，用于配置、管理、監(jiān)測網(wǎng)絡中所有的Tofino工業(yè)防火墻，并接收來自防火墻的網(wǎng)絡報警信息