在经济全球化、信息网络化的时代背景下，近年来烟草行业信息化已具有一定规模，MES系统已经建立，实现了从控制系统到实时数据库的通讯连接。世界范围内的过程控制系统和SCADA系统广泛采用信息技术，这些技术使工业设备接口更为简单，但同时也减弱了控制系统及SCADA系统等与外界的隔离，控制系统面临的来自网络方面的威胁也趋向多元化和多发性。

　　烟草行业控制网络说明及隐患分析

　　烟草行业工业控制网一般采用环网结构，负责控制器、操作站及工程师站之间过程控制数据实时通讯。控制网中各组内的操作站、PLC等设备直接与数采网中的交换机相连。企业上层的信息管理网中，Web发布器、实时数据库与其他操作员站、监控服务器等全部位于同一局域网中。控制网和企业上层信息管理网通过一个路由器直接相连。

　　目前的系统存在以下信息安全隐患：

　　1、控制网中各组内的操作站、PLC等设备直接与数采网中的交换机相连，网络风险性大大增加。

　　2、企业上层的信息管理网中，Web发布器、实时数据库与其他操作站、监控服务器等全部位于同一局域网中，且和控制网通过路由器直接连接，一旦其中某台计算机感染病毒，势必将影响信息管理网内其他所有计算机以及控制网的所有设备。

　　3、以太环网内的任意一台装有控制站编程软件的机器可以对任意一台控制器进行控制下装，存在误下装的风险。

　　4、网络中无安全监控平台，无法对网络安全事故进行预警和分析，网络工程师将无法以最快的速度判断问题所在，也就无法迅速准确的做出防护和修复措施。

　　解决方案

Guard安全防护方案网络拓扑图

　　区域隔离

　　在关键通道上部署Guard工业防火墙，其插件能够过滤两个区域网络间的通信，即使出现网络故障，也会被控制在最初发生的区域内，保证整套装置及工厂的安全稳定运行。

　　通信管控

　　通过对防火墙插件的组态，通讯规则只允许PLC制造商专有协议数据通过，其它基于Windows应用的不必要通讯以及病毒、非法访问等一律禁止，从而创造出一个单一制造商通信网络的环境。

　　集中管理

　　在网络中部署CMP配置管理平台，用于配置、管理、监测网络中所有的Guard工业防火墙，并接收来自防火墙的网络报警信息。无需停车，Guard工业防火墙特有的“测试”模式允许在线配置防火墙策略。

　　实时报警

　　在网络中部署CMP配置管理平台，用于配置、管理、监测网络中所有的Guard工业防火墙，并接收来自防火墙的网络报警信息。