1、行業(yè)安全現(xiàn)狀：

煙草公司整體業(yè)務(wù)流程核心為物流配送，客戶可通過網(wǎng)站訂購，手機(jī)網(wǎng)頁與電話等多種形式向煙草公司訂貨，煙草公司將這部分?jǐn)?shù)據(jù)信息經(jīng)各服務(wù)器處理后傳至各個服務(wù)器，并下發(fā)給倉儲系統(tǒng)和分揀系統(tǒng)，分揀系統(tǒng)PLC運(yùn)行，將煙草分揀并打包，由此可見工控網(wǎng)絡(luò)安全將會影響整個物流的正常運(yùn)作，目前控制系統(tǒng)存在以下安全隱患：

1）整個物流網(wǎng)絡(luò)中未進(jìn)行明確的分域分級管理，整個網(wǎng)絡(luò)區(qū)域邊界不明確，缺乏必要的網(wǎng)絡(luò)隔離防護(hù)手段，導(dǎo)致物流網(wǎng)極易遭到管理網(wǎng)的病毒攻擊和入侵。

2）網(wǎng)絡(luò)邊界防護(hù)措施薄弱，管理區(qū)網(wǎng)絡(luò)與生產(chǎn)區(qū)網(wǎng)絡(luò)未對數(shù)據(jù)交換進(jìn)行安全控制，給生產(chǎn)網(wǎng)增加了風(fēng)險。

3）缺乏有效的網(wǎng)絡(luò)監(jiān)控和日志審計(jì)。當(dāng)前煙草的工業(yè)控制系統(tǒng)中幾乎沒有考慮到應(yīng)有的網(wǎng)絡(luò)狀態(tài)監(jiān)控和操作日志行為審計(jì)需求。在日志安全方面，大部分服務(wù)器在日志審計(jì)方面都沒有比較完善的保障機(jī)制。

2、解決方案：

煙草公司物流工控系統(tǒng)面臨各種安全風(fēng)險，僅僅采用被動防御和修補(bǔ)是不可靠的，需要的是整體解決方案，針對煙草物流工控系統(tǒng)的特點(diǎn)，需要從以下幾個方面來解決安全問題：

1）威脅管理：部署威脅管理平臺，對煙草物流工業(yè)控制系統(tǒng)進(jìn)行風(fēng)險評估，漏洞分析，安全性分析以便正確、及時的了解目前系統(tǒng)的安全現(xiàn)狀,方便根據(jù)實(shí)際情況有計(jì)劃有步驟的完成風(fēng)險評估以及后續(xù)安全數(shù)據(jù)收集分析工作。

2）互聯(lián)接口安全功能設(shè)計(jì)：在管理區(qū)網(wǎng)絡(luò)與生產(chǎn)區(qū)網(wǎng)絡(luò)之間部署IAD智能保護(hù)平臺，滿足互聯(lián)接口的安全功能特性，包括身份鑒別、訪問控制、網(wǎng)絡(luò)互聯(lián)控制、惡意行為防范、安全審計(jì)等。

3）安全審計(jì)設(shè)計(jì)：在生產(chǎn)執(zhí)行層和分揀系統(tǒng)之間部署監(jiān)測審計(jì)平臺，對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行日志記錄；

4）入侵防范設(shè)計(jì)：在生產(chǎn)執(zhí)行層邊界處部署監(jiān)測審計(jì)平臺，監(jiān)視端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊等，當(dāng)檢測到嚴(yán)重入侵事件時提供報(bào)警。

5）惡意代碼防范設(shè)計(jì)： 在分揀系統(tǒng)邊界以及分揀系統(tǒng)內(nèi)部部署IAD智能保護(hù)產(chǎn)品，啟用惡意代碼檢測及阻斷功能。

3、業(yè)務(wù)價值：

針對煙草物流工控網(wǎng)絡(luò)系統(tǒng)各層級可能存在的威脅進(jìn)行評估，以便正確、及時的了解目前工控系統(tǒng)的安全現(xiàn)狀，為后期進(jìn)行整改、修補(bǔ)工作提供依據(jù)，以使工控系統(tǒng)更安全、穩(wěn)定的運(yùn)行。