01

卷烟厂是专门从事卷烟生产的企业，属于烟草行业，国家烟草专卖局（以下简称为“国家局”）作为行业主管单位，按照中央网信办、工业和信息化部、公安部等国家相关部门要求，结合行业实际，相继下发了一系列网络安全建设指导文件，加强各单位网络安全保障工作，构建坚实防线，护航生产运营，维护企业核心竞争力，实现高质量发展。

① 2014年国家局发布行业标准《烟草行业信息系统安全等级保护实施规范》（YC/T 495-2014）

该标准规定了烟草行业信息系统安全等级保护实施过程中的流程、等级划分与确定方法、技术保护和安全管理的要求。本标准适用于指导烟草行业新建和已投入使用的信息系统安全等级保护的实施，为烟草行业信息系统的定级、技术防护、安全管理提供依据。

② 2014年国家局发布行业标准《烟草工业企业生产网与管理网网络互联安全规范》（YC/T 494-2014）

该标准规定了烟草工业企业生产网与管理网网络连接架构与要求,给出了烟草工业企业生产网与管理网互联接口安全模型及其安全功能、性能要求。适用于烟草工业企业实施生产网与管理网的网络安全互联。

③ 2019年国家局发布行业标准《烟草行业工业控制系统网络安全基线技术规范》（YC/T 580-2019）

该标准规定了烟草行业典型工业控制系统的分类以及系统定级、安全域划分和保护要求，确定等级为一、二、三级的工控系统均应满足本标准的工控系统均应满足本标准的工控系统安全基线要求。其中对卷烟工业企业，明确工控系统包括制丝控制系统、卷包控制系统、物流系统、动力能源控制系统。

④ 2019年国家局印发《中共国家烟草专卖局党组关于印发烟草行业问责工作实施办法（试行）的通知》（国烟党〔2019〕49号）

将网络安全工作纳入行业问责范围。具体问责情形包括：违反网络安全工作相关规定，履行网络安全主体责任不力，对网络安全问题和隐患不及时处置、不进行整改的；出现或发生对行业造成严重不良社会影响或严重后果的网络安全责任事件、事故等。

⑤ 2022年国家局印发《关于加强行业网络安全等级保护工作的通知》（国烟信办〔2022〕35号）

明确等级保护建设范围、行业重要信息系统定级原则及开展等保测评工作。提到要建立常态化、动态更新的信息系统等级保护管理备案机制，通过技术手段实现统一管理本单位及所属单位信息系统等级保护工作情况，对于行业推广系统的地市级分支系统或子系统和国家局、行业直属单位及地市级单位的其他重要系统应定为第二级。

02

卷烟厂的主要工作是将烟叶等原材料加工成成品卷烟。卷烟的生产过程包括烟叶的选择、发酵、切丝、烘干、调配、加香、卷制、包装等多个环节，涉及从原料处理到成品卷烟包装的多个步骤，最终保证生产出符合市场需求的卷烟产品。目前卷烟厂生产控制系统主要涉及以下四个系统：

制丝控制系统

制丝控制系统负责将烟叶加工成适合卷制的烟丝，主要包括预处理、烟叶处理、调配与加香、制丝线控制等步骤，涉及制丝设备种类繁多，各类设备之间相互配合共同完成从烟叶到烟丝的加工过程，主要包括烟叶分选机、烟叶回潮机、叶片加料机、切丝机、烘丝机、烟丝膨胀设备、烟丝加香设备、除尘设备、振动输送机、烟丝成分分析仪等设备。

图1 制丝车间现场环境图

卷包控制系统

卷烟厂的卷包系统工艺过程是将制好的烟丝加工成成品卷烟并进行包装的关键环节，主要涉及烟丝供送、卷制、接装、包装、质量检测、成品入库与销售等工作，在卷烟生产过程中进行在线检测，如重量、长度、外观等，保证生产效率及质量；涉及卷包设备主要包括卷烟机、接装机、小包包装机、大箱包装机等设备。

图2 卷包车间现场环境图

动力能源控制系统

卷烟厂动力能源控制系统主要包括能源计量、能源的生产与供应、能源分配与管理、污水处理、环境自动监测、能源自动化调控等功能，从而实现能源的高效利用，降低能源成本，提高生产效率，同时确保生产过程的环保和安全。

图3 动力车间现场环境图

物流系统

卷烟厂物流系统负责烟草从原料采购、生产加工到成品销售的整个物流过程，主要涉及到原料物流管理、生产物流管理、成品物流管理、物流信息系统、智能仓储系统、运输车队管理等业务系统，各系统之间相互配合实现物料和成品的高效流转，降低物流成本，提高生产效率，同时确保产品的质量和交付的准时性；所涉及设备包括输送机、自动分拣机、条码扫描器、自动化装卸机器人、堆垛机、自动化包装机、封口机、标签打印机等设备。

图4 物流中心现场环境图

03

在数字化时代、“两化”融合的行业发展背景下，烟草行业作为国民经济的重要组成部分，网络安全至关重要，随着5G、物联网等数字技术与烟草产业深度融合，如烟草生产经营管理一体化平台、工业互联网云平台、烟田数字化等，系统之间互联互通性逐步加强，网络安全问题也日益凸显。一方面，烟草行业涉及大量敏感信息，如生产配方、销售数据、客户信息等，这些信息一旦泄露，将对企业造成严重损失，甚至影响国家经济安全。另一方面，烟草行业面临着来自外部的各种网络攻击威胁，如黑客攻击、恶意软件感染、数据泄露等。此外，内部员工的安全意识薄弱也给网络安全带来了隐患。

卷烟厂工业控制系统逻辑层次一般分为过程管理层、过程监控层和现场控制层。过程监控层设备与过程管理层间通讯常使用OPC协议，过程监控层的I/O 服务器与现场控制设备通讯常使用S7、Modbus/TCP、Ethernet/IP等工业协议。主机操作系统主要采用Windows系统，应用软件主要采用SIEMENS WinCC、GE IFix、施耐德Intouch等产品，服务器逐渐改造采用虚拟化部署。主要包括制丝控制系统、卷包控制系统、动力能源控制系统、物流系统四个重要业务系统，各业务系统，各车间及工控主机成为网络攻击的重灾区。

国家局150条检查要求提出重要工艺需实现防护，但大部分卷烟厂生产网内部并未根据网络层级、系统属性、工艺流程等划分不同安全域，且无任何安全防护技术措施；

各生产车间虽然管理独立，但是各车间网络、生产管理网、生产控制网、无线网、视频网等网络边界不清晰，各制丝、卷包、动力、物流车间之间缺少访问控制措施，非法攻击容易以生产网其他车间系统为跳板，对其他车间网络进行攻击，从而影响车间工业控制系统正常运行；

对生产内网的工控资产安全状况、生产内网安全状况不能及时掌握，内部缺少工业流量审计技术手段，无法对重要的用户行为和重要安全事件进行审计，现场运维人员对制丝集控、卷包数采、动力能管控制系统、物流系统的工控网络协议传输情况不可知，也未定期对工控指令风险情况进行回溯和排查分析，往往只能发生问题再处理问题，安全运营管理非常被动；

主机类设备系统自身存在漏洞和病毒木马问题，但为了保障生产，并未提升恶意代码防范能力；也未对设备的安全策略进行配置优化，如密码策略、USB防护、注册表防护、安全加固策略等；

现场涉及大量自动化软硬件、网络、安全设备，缺少可控的运维管理措施，无法有效集中运维管控；

04

为解决卷烟厂在安全技术方面面临的典型问题，提升卷烟厂工业控制系统整体安全防护能力，切实满足国家层面、行业层面的建设要求，从安全区域边界防护、网络流量监测、安全计算环境防护、安全管理中心四个方面进行安全建设规划，威努特四件套能够完美契合各层级防护需求。

在各车间边界、过程管理层与过程监控层区域之间、重要区边界部署工业防火墙实现区域隔离，阻止恶意访问行为；在各车间、过程监控层部署工控安全监测与审计系统，实时监测通信流量，及时发现异常并告警；在工程师站、操作员站、服务器及虚拟机上部署工控主机卫士，加强主机安全防护能力，防范木马、病毒及恶意代码程序对主机系统的破坏；建立安全管理中心，通过统一安全管理平台对所有安全设备日志集中收集分析，运维统一管理，提高运维效率。

通过在卷烟厂制丝/卷包/动能车间边界及重要区域边界部署威努特工业防火墙实现区域隔离，增强卷烟厂生产网各区域边界防护能力，清晰网络边界，以白名单的技术防护理念解决边界防护能力欠缺问题。威努特工业防火墙主要具备以下亮点：

威努特工业防火墙集成硬件加密引擎，为卷烟厂制丝、卷包、动能等监控层业务系统和现场控制层设备的数据加密传输提供了高安全性的保证。另外，通过对工业防火墙和后台管理系统之间的所有数据交换进行加密，确保整个系统的安全性和可靠性。同时硬件物料精心选型，从电路设计、结构设计、系统冗余、时延、可靠性、环境要求等方面严格要求，保证整体的可靠性。其中：

• 全部电口均支持硬件故障自动旁路转换（Bypass）功能：一旦设备故障，设备自动Bypass离线，正常业务流量不会中断，切换速度达到工业级要求；

• 工作环境可满足温度：-40～75℃，湿度：5%～95% 无凝结；

• 无风扇全封闭设计，电源采用1+1冗余供电；

• 业务端口与管理端口分离设计；

• 多种灵活的安装方式，包括导轨安装、机柜安装、壁挂式安装等。

基于卷烟厂各工业控制系统相对固化的特点，安全问题及安全防护措施有别于传统IT系统。威努特创新性地提出了建立工控系统的可信任网络白环境工控软件白名单理念，通过建立工业控制协议白名单访问控制策略，保证只有可信任的指令和消息才能在工控网络上传输。

针对逻辑性、时序性强的业务流程如制丝系统，威努特工业防火墙能够配置通讯周期和工艺序列，如果报文提前或超时到来、到来时序不符合预期，能够立即发出告警并拦截，为卷烟厂工业控制系统构筑安全“白环境”整体防护体系，保护卷烟厂各车间基础设施安全。

威努特工业防火墙具备硬件级安全策略写保护，保证卷烟厂工业现场生产业务确定后，安全防护策略也一并确定，通过硬件“钥匙开关”、特殊的PCBA专利设计以及应用层软件可靠性设计，和生产业务共频，无法被非授权更改，真正实现了策略配置的安全性：

• 硬件级安全策略写保护非系统或应用层面的软件控制；

• 设备外观上有明显置位开关，通过专用钥匙控制，避免人为误操作；

• 支持在硬件级写保护模式下，设备状态、日志、告警等信息的上报。

通过在卷烟厂制丝/卷包/动能车间及过程监控层部署威努特工控安全监测与审计系统，实时监测通信流量，掌握生产网络安全现状，及时发现生产网内异常情况并告警。威努特工控安全监测与审计系统主要具有以下亮点：

威努特工控安全监测与审计系统具有“只听不说”对控制网络“真零影响”的特点，从硬件设计上着手，更改逻辑链路层设计，做到单向接收流量，从硬件上杜绝报文回注的可能性。

网口接收或者发送的数据线在硬件上断开，保证物理上不能接收数据或者发送数据，实现单向传输的同时不影响正常的以太网协商，真正做到旁路设备对现场业务网络零影响。能够有效避免攻击者控制安全设备通过镜像口往卷烟厂制丝、卷包、动能等重要控制系统注入恶意报文。

识别100多种工业协议，提供主流工业协议的深度报文解析，有效识别协议动态端口，提供报文格式检查，完整性检查，指令检查等功能，支持OPC、Modbus TCP、S7、Ethernet/IP等十余种主流工控协议支持超过1000种的功能码识别。

搭载威努特自主研发的深度数据包解析引擎，能够识别解析卷烟厂生产网络所有工业通讯协议，覆盖OPC、Modbus TCP、SiemensS7、DNP3、IEC104、Ethernet/IP(CIP)、MMS、PROFINET和FINS等在内的30多种工控网络协议，可对工控协议做指令级检测与审计，对各类数据包进行快速有针对性的捕获与深度解析。另外，在遵循工业控制系统可用性与完整性的基础上，能够检测出数据包的有效内容特征、负载和可用匹配信息，如恶意软件、具体数据和应用程序类型。

通过在工程师站、操作员站及制丝、卷包等系统服务器上部署威努特工控主机卫士提升终端环境安全，解决工控主机带毒运行困扰，从软件白名单、安全基线、U盘管控、安全加固等多方面加强主机恶意代码防范能力。威努特工控主机卫士主要具有以下亮点：

工控主机卫士采用“白名单”防护机制阻止恶意代码执行，与卷烟厂常用的SIEMENS WinCC、GE IFix、施耐德Intouch等工控软件具备良好的系统兼容性，不会出现传统杀毒软件对工控软件的误杀现象。

工控主机卫士先进的软件“白名单”防护机制，与传统防病毒软件相比不仅能对已知的恶意代码进行防护，还可以有效阻止各类未知的恶意软件的感染、运行和扩散。

工控主机卫士会通过自动扫描本地磁盘所有的可执行文件，对每个文件生成数字签名，之后根据所有PE文件的数字签名创建白名单数据库。

工控主机卫士可按照等保标准级、自定义标准等进行基线配置管理，包括账户策略、审核策略、安全选项、IP安全、进程审计、系统日志等。通过开启密码复杂度、强制密码历史、关闭guest账户、开启系统和账户审核、关闭默认共享、进行进程审计等措施最大限度保护工作站、服务器等设备的安全。

工控主机卫士能够对外设实现识别管控：

• U盘控制，可针对单个U盘实现“只读、读写、执行”的及组合的权限控制。在经过主机卫士的注册后可对每一个U盘权限单独控制。

• 光驱控制，可禁用光驱，防止通过光驱泄露数据或感染病毒。

• 无线网卡控制，可禁用无线网卡的使用，防止通过无线网络泄露数据和感染病毒。

• 蓝牙设备控制，可禁用蓝牙设备，防止通过蓝牙连接泄露数据和感染病毒。

• 串口设备控制，可禁用串口设备，防止通过串口泄露数据和感染病毒。

• 并口设备控制，可禁用并口设备，防止通过并口泄露数据和感染病毒。

通过在卷烟厂生产管理侧部署威努特统一安全管理平台，建立安全管理中心，构建全局运维视图，对工控网络中网络安全设备进行统一管控，对安全日志进行统一收集并关联分析，安全策略集中配置管控，解决安全风险不得知、不得见、不得控的问题。威努特统一安全管理平台主要具有以下亮点：

统一安全管理平台可统一管理在卷烟厂各车间及其他区域部署的所有安全设备：工业防火墙、工控安全监测与审计平台、工控主机卫士、工业互联防火墙、安全运维管理系统、入侵检测系统、日志审计与分析系统、工控安全隔离与信息交换系统等。能够对安全设备进行策略统一管理、设备运行状态统一监测。

系统能够针对安全设备和现场设备的画布拖拽，实现基于业务的拓扑可视，通过拓扑可重点展示放置于制丝、卷包等各车间的安全设备防护范围，告警状态、通联关系等。

无需单独采购策略管理平台和基于日志、流量分析的态势感知平台，统一安全管理平台支持在单一设备上集中日志收集和态势感知两大功能组件，在完成基础策略配置工作后，设备自动收取安全设备、网络设备、主机系统的日志及告警，实现多设备多维度关联分析，通过可视化技术展现卷烟厂工业控制网络安全态势。

05

卷烟厂在烟草产业链中扮演着至关重要的角色，在整个生产过程中，需要严格控制每一个环节，制丝、卷包、物流等各个业务系统之间紧密配合环环相扣，保证业务系统安全运行，最终才能确保成品卷烟的质量和生产效率。卷烟厂工业控制系统的网络安全防护建设整体遵循 “一个中心，三重防护”的建设原则，从区域边界防护、通信流量监测、主机安全加固、统一管理平台四个方面为卷烟厂搭建纵深防御体系。

威努特四件套解决方案能够让安全投入效益最大化，通过持续有效的工控网络安全防护，减少网络安全风险，全面保障卷烟厂制丝控制系统、卷包控制系统、动力能源控制系统、物流系统等重要业务系统正常稳定运行，同时为卷烟厂未来“工业化”与“信息化”深度融合打下安全基础，为卷烟厂企业数字化转型道路提供安全座驾，让卷烟厂能够更加专注于业务，提高生产效率，提升核心竞争力，助力卷烟厂向智能制造迈进。