• 有烟草制造行业的工控系统种类较多，如卷接包装连接机、风送系统、除尘系统、喂丝机、废烟处理系统、提升机、条烟输送封装箱系统、滤棒成型系统、储丝柜系统等。这些系统在建设初期主要考虑易用性和快速部署，因此存在数据流向不清晰、隔离措施不完善、隔离强度不达标等问题，容易引发各跨网交换非授权访问风险以及系统间病毒横向传播风险。
• 各工控系统的上位机、服务器等主机，可能存在系统及工控应用漏洞、管理员不允许打补丁、身份鉴别过于单一等情况；同时主机无针对已知、未知病毒的防护措施，容易发生误操作、非法攻击、勒索病毒感染等安全事件，烟草制造企业迫切需要提升工控主机安全防御能力。
• 各工控系统内部缺少对工业流量监测审计的手段，无法针对工控系统协议层面存在的恶意攻击、异常流量进行审计，更无法对工控指令攻击和控制参数篡改进行实时监测和告警，极易产生网络入侵事件，最终导致安全生产事故的发生。

烟草制造企业工控安全防护拓扑示意图

1. 采用工业应用审计系统对整体工控网络及锅炉控制系统交换机中的全流量通信、操作行为、异常行为等进行审计及预警；通过部署入侵检测系统实时监测工控网络异常流量，对异常的、入侵行为的数据进行检测和报警。对异常操作行为与数据进行实时检测和报警。
2. 在生产线操作员站部署的工控主机等部署工控主机卫士软件。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

1. 分别在过程监控层到生产管理层边界部署工业防火墙，精准按域进行防护。
2. 在过程监控层操作员站、工程师站、服务器、工作站等部署工控主机卫士软件。以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。

1. 分别在生产管理层到企业资源层边界部署工业网闸，提升外联安全接入区隔离强度，实现接近于物理隔离的高安全隔离目标。
2. 在生产管理层操作员站、工程师站、服务器、工作站等部署工控主机卫士软件，以白名单方式阻止非法进程运行及非法USB等外设接入，防止工业主机被破坏。