1、行業(yè)安全現(xiàn)狀：

煙草公司整體業(yè)務流程核心為物流配送，客戶可通過網(wǎng)站訂購，手機網(wǎng)頁與電話等多種形式向煙草公司訂貨，煙草公司將這部分數(shù)據(jù)信息經(jīng)各服務器處理后傳至各個服務器，并下發(fā)給倉儲系統(tǒng)和分揀系統(tǒng)，分揀系統(tǒng)PLC運行，將煙草分揀并打包，由此可見工控網(wǎng)絡安全將會影響整個物流的正常運作，目前控制系統(tǒng)存在以下安全隱患：

1）整個物流網(wǎng)絡中未進行明確的分域分級管理，整個網(wǎng)絡區(qū)域邊界不明確，缺乏必要的網(wǎng)絡隔離防護手段，導致物流網(wǎng)極易遭到管理網(wǎng)的病毒攻擊和入侵。

2）網(wǎng)絡邊界防護措施薄弱，管理區(qū)網(wǎng)絡與生產(chǎn)區(qū)網(wǎng)絡未對數(shù)據(jù)交換進行安全控制，給生產(chǎn)網(wǎng)增加了風險。

3）缺乏有效的網(wǎng)絡監(jiān)控和日志審計。當前煙草的工業(yè)控制系統(tǒng)中幾乎沒有考慮到應有的網(wǎng)絡狀態(tài)監(jiān)控和操作日志行為審計需求。在日志安全方面，大部分服務器在日志審計方面都沒有比較完善的保障機制。

2、解決方案：

煙草公司物流工控系統(tǒng)面臨各種安全風險，僅僅采用被動防御和修補是不可靠的，需要的是整體解決方案，針對煙草物流工控系統(tǒng)的特點，需要從以下幾個方面來解決安全問題：

1）威脅管理：部署威脅管理平臺，對煙草物流工業(yè)控制系統(tǒng)進行風險評估，漏洞分析，安全性分析以便正確、及時的了解目前系統(tǒng)的安全現(xiàn)狀,方便根據(jù)實際情況有計劃有步驟的完成風險評估以及后續(xù)安全數(shù)據(jù)收集分析工作。

2）互聯(lián)接口安全功能設計：在管理區(qū)網(wǎng)絡與生產(chǎn)區(qū)網(wǎng)絡之間部署IAD智能保護平臺，滿足互聯(lián)接口的安全功能特性，包括身份鑒別、訪問控制、網(wǎng)絡互聯(lián)控制、惡意行為防范、安全審計等。

3）安全審計設計：在生產(chǎn)執(zhí)行層和分揀系統(tǒng)之間部署監(jiān)測審計平臺，對網(wǎng)絡系統(tǒng)中的網(wǎng)絡設備運行狀況、網(wǎng)絡流量、用戶行為等進行日志記錄；

4）入侵防范設計：在生產(chǎn)執(zhí)行層邊界處部署監(jiān)測審計平臺，監(jiān)視端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊等，當檢測到嚴重入侵事件時提供報警。

5）惡意代碼防范設計： 在分揀系統(tǒng)邊界以及分揀系統(tǒng)內(nèi)部部署IAD智能保護產(chǎn)品，啟用惡意代碼檢測及阻斷功能。

3、業(yè)務價值：

針對煙草物流工控網(wǎng)絡系統(tǒng)各層級可能存在的威脅進行評估，以便正確、及時的了解目前工控系統(tǒng)的安全現(xiàn)狀，為后期進行整改、修補工作提供依據(jù)，以使工控系統(tǒng)更安全、穩(wěn)定的運行。