最佳实践|长扬科技护航数字化烟草企业，助力行业高质量发展

新鲜采摘下来的烟叶，经过初烤、复烤、发酵等多道工艺，完成原料的初步制作。然后，烟叶被送入切割机，切割成细小片状。随后，不同类型的烟叶在混合调配环节相会，彼此交融又保持自己独特的风味。调配完成后的烟叶依次进入浸泡槽，以达到适当湿度。紧接是压缩和干燥阶段，在这个阶段中，烟叶会因为挤压和加热而逐渐变得紧密和坚固。最后，在经历多次拉伸和挤压之后，烟叶变成了纤细而柔软的烟丝。以上，就是烟草企业制丝全过程。

近年来，随着烟草行业全力推动“两化融合”创新，烟草企业数字化转型已成必然趋势。在工业生产中，引入数字化技术和大量工业控制系统可以大大提升烟草企业生产效率和品质管理，并降低生产成本。例如，在原料处理阶段，通过数字化监控系统可以实时掌握烟叶湿度、温度和发酵程度，确保每一批烟叶达到最佳状态。或者，在浸泡、压缩和干燥阶段，数字化传感器和控制系统可以精确监测和调节处理参数，确保烟叶的水分和压力处于最佳范围，以保证制丝质量的稳定性。

“两化融合”带来新挑战

烟草企业数字化转型过程中，工业控制网络与办公网络互联互通是不可避免的趋势，这种互联互通可以实现实时监控、数据共享和远程操作等功能，提高生产效率和灵活性。然而，这又带来了许多新威胁、新挑战。

从普遍性角度来看，很多烟草企业在工业控制网络与办公网络之间的通信链路上没有进行逻辑隔离和检测防护，工业控制网络基本上不具备任何发现、防御外部攻击行为的手段，外部威胁源一旦进入公司办公网络，就可以一通到底连接到工业网络现场控制层网络，直接影响工业生产。

从系统角度来看，企业工业控制网络中的设备（如操作站），广泛使用Windows系统，控制单元多采用通用中大型通用PLC。由于需要保证工业软件稳定运行，这些设备通常无法进行系统升级甚至无法安装杀毒软件和进行补丁维护，存在大量已知漏洞，导致工业控制系统网络安全风险普遍存在。

烟草行业是我国税收的重要来源，也是国民经济重要产业。一旦遭受到网络攻击，不仅会对企业经济利益造成损失，还可能导致供应链中断，破坏市场信任，甚至对国家税收收入和就业率造成负面影响。因此，保障行业稳定运行和国家经济发展，加强烟草企业网络安全防护和应急响应能力至关重要。

帮助企业管理者“自省吾身”

某市烟草企业在工控安全建设方面存在一些亟需解决的问题。具体而言，针对制丝、卷包、物流和动力这几个工控系统网络，工控安全防护措施存在不足：

(1) 工控网络中PLC、工控主机、工业生产服务器、生产控制软件等软硬件资产不清。

(2) 工控网络架构多次改造，实际运行和资产不符现象广泛存在。

(3) 工控网络边界访问控制策略缺失，一旦服务器或操作站感染病毒，病毒将迅速通过工控网络传播到其他设备，直接影响 HMI、PLC 等设备正常运行。

(4) 针对整个制丝集控网络中存在的风险情况不能及时掌握，缺少针对工控异常行为检测手段。

同时，该烟草企业工控网络安全建设必须满足网络安全等级保护2.0与《YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范》等政策法规和行业标准中提出的相关管理要求、技术要求及工控网络安全建设的相关要求。

综合该企业工控系统实际情况，长扬科技根据烟草行业核心业务系统安全建设需求，为该企业构建工控安全管理和服务体系，实现工控系统网络安全防护，全面提升工控网络整体安全性，保障系统安全稳定运行，为后期合规性建设做好准备。

帮助企业“修善其身”

打造烟草行业工控安全新防线

首先，长扬科技对该企业整个工控网进行全面网络风险评估，主要包括以下两方面：

• 评估工控应用、网络、上位机和下位机等技术层面的网络安全风险隐患。

• 评估合规性、组织与人员、风险管理、安全策略、业务连续性、第三方管理等管理制度和要求的合规与合理性。

图1 服务流程建设图

经过风险评估，长扬科技深入了解该企业工控网络系统安全现状，详细掌握工控系统存在的威胁和风险。评估结果使长扬科技安全服务团队精确定位工控安全具体建设需求，为进一步提出安全建议提供有力支持。此外，团队将该烟草企业目前存在的安全隐患按照紧急重要程度进行分类，确保前期在工控安全建设阶段进行合理规划和投入。

结合评估结果及企业实际需求，长扬科技具体安全措施如下：

（1）在该企业各车间工业控制系统生产网和管理网边界部署工业防火墙进行管理网和生产网的逻辑隔离，对两网间数据交换进行安全防护，确保生产网不会因与管理网互联而增加网络安全风险。

（2）针对各车间内部（如各类操作站、网络访问关系、PLC 等工控设备、通讯协议、无线通信）的安全风险，采用如下防护手段：

• 在操作员站、工程师站、HMI 等各类操作站部署工控主机安全防护软件，采用白名单形式进行安全防护和系统加固。基于内核级防护，实现用户行为记录、可移动设备监视管理、业务应用看门狗、进程监视、异常进程及病毒监视预警、病毒隔离、系统加固等关键安全服务。该软件自身具有防卸载、数据完整性保护、系统防破坏等特点。

  
  

  
  

• 通过部署工业异常监测系统，可以监测工控网络相关业务异常和入侵行为。该系统利用工业流量深度解析能力，采用白名单模型、黑名单特征库、流量基线、无流量监测等策略，实现对制丝网络核心异常行为和异常流量等威胁进行分析检测。一旦出现异常情况，系统能够及时触发报警机制，提醒相关人员采取适当应对措施。

（3）部署安全运维管理平台，实现对制丝系统安全设备的统一集中管理，帮助企业高效管理各车间内众多的工控网络设备、服务器、操作站以及安全设备，并掌握各个节点风险现状。通过该平台，企业可以进行远程运维的管控和审计，确保烟草工业控制系统整体持续安全运营，及时处理各类设备故障与网络威胁。

图2 建设方案总体安全分区结构示意图

最终，该烟草企业在本次工控安全建设项目完成后，通过全面风险评估让生产运维人员和管理人员清晰获悉自身工控网络中的风险，提升运维人员效率的同时，也为管理人员对安全规划提供了有力支撑。

通过生产网和管理网隔离，该企业成功实现对制丝、卷包等车间生产网的访问控制，阻断来自管理网的非法行为；在部署多项安全防护措施后，企业有效避免了工控网中网络、主机应用等各层面安全问题的发生，从而大大降低了企业在生产业务中断等方面的风险。

此外，该企业工控网络安全建设满足网络安全等级保护2.0与《YC/T 580-2019 烟草行业工业控制系统网络安全基线技术规范》相关要求，防护系统顺利通过二级等保防护要求检测。

既要审时度势，又要稳中求进

随着科技不断进步，网络安全建设与烟草行业的融合创新正成为推动行业现代化、促进行业高质量发展的重要战略支点。企业发展既要正确认识行业网络安全工作面临的“时”与“势”，又要清醒看待行业改革发展的“稳”与“进”。只有真正贯彻国家网络强国和制造强国的发展战略，才能完成烟草行业数字化转型。

正如古语所说：“千里之行，始于足下。”长扬科技将紧密跟随时代潮流，与烟草企业同行，不断创新，秉持着高标准、高效率、高质量原则，为烟草行业数字化转型和可持续发展注入强大动力。