01 煙草行業為什么要做工業信息安全？

煙草行業的生產流程伴隨著市場環境、客戶需求以及自身業務的不斷變革。其控制系統歷經多次技術升級改造，逐漸從手工作業、機械作業向著高度信息化、自動化、智能化方向發展。高效的信息互通也使得原有的控制系統難以應對其帶來的安全問題。控制系統安全防護能力和安全事件應急處置能力相對較弱，安全風險突出。生產穩定性更加難以保證。煙草行業作為納稅“大戶”，其控制系統也是國家重點的保護對象，所以工業信息安全的建設亦是迫在眉睫。

02 煙草行業的工業信息安全風險有哪些？

通過對煙草行業已公開披露的安全事件進行分析，發現其主要由三方面因素引起，即安全配置因素、安全漏洞因素以及其他異常事件因素。以安全配置因素為例，通常是由于人為的疏忽造成，涉及賬號、口令、授權、日志、地址通信等方面，反映了系統自身在信息安全方面的脆弱性。安全配置不足可能帶來眾多安全隱患，因此對安全配置進行有效的檢查和加固成為整體安全體系建設中的重要一環。

除此之外，通信過程中產生的邏輯漏洞攻擊，也是影響煙草行業控制系統信息安全的重要因素之一。信息網絡通信的目標是將信息傳遞到目的地，常見的有FTP，HTTP，Telnet等通信協議，但是，工業控制網絡中使用的往往是特定的協議，例如S7、MODBUS、OPC、PROFINET等規范協議，以及其他具有工控系統特征的私有網絡通信協議。工業通信協議設計的目標在于如何高效、準確的進行數據的傳輸，所以普遍缺少傳統信息網絡中的認證過程。反觀視之，如果工業通信加入諸如身份認證、高精度校驗等元素，其協議在實時性、準確性上將難以得到保障，其傳遞信息的保密性、安全性和完整性也會失去意義。

煙草行業控制系統由于在建設初期缺乏安全需求推動，在設計、研發、部署、運維過程中沒有充分考慮安全問題，一旦被無意或惡意利用，就會造成各種工業信息安全事件發生，影響煙草領域生產計劃乃至更嚴重的生產事故。總體來說，煙草行業控制系統整體安全現狀不容樂觀，當前迫切需要開展面向控制系統的安全建設。

03 為什么殺毒軟件無法適用于煙草工控主機安全防護？

首先煙草行業工業主機是專用設備，計算性能不足，且其運行的業務相關軟件通常以組態軟件為主，同時還可能存在一些與業務流程相關的自定義腳本。如果在工業主機上安裝傳統的殺毒軟件，第一會占用較大的系統資源，對工業主機正常運行造成影響，嚴重時還會導致工控主機藍屏死機等情況；第二由于工業主機不接入互聯網等原因，不能實時更新殺毒軟件的版本和病毒庫，無法起到有效的病毒查殺作用；第三由于工業領域編程規則與信息領域存在差異化，傳統的殺毒軟件由于自身機制可能會誤殺工業主機中運行的軟件，導致上位機程序異常，而誤殺在控制系統中是致命的。所以傳統的殺毒軟件無法適用于煙草工控主機安全防護。

04 煙草行業工業信息安全政策有哪些？

在煙草行業網絡安全產業蓬勃發展的大背景下，近幾年煙草總局根據行業特點陸續制訂發布了《煙草行業等級保護基本要求》、《煙草行業移動應用安全規范》、《煙草行業信息安全基線管理技術規范》、《煙草行業網絡與信息安全檢查自查指南》、《煙草工業企業生產網與管理網網絡互聯安全規范》、《煙草行業工業控制系統網絡安全基線技術規范》等行業規范，為煙草行業的工業信息安全規劃、建設提供依據與標準，其中《煙草行業信息安全基線管理技術規范》已成為煙草行業各單位信息安全保障體系建設和管理工作的基線要求，需嚴格落實規范要求。

05 煙草行業如何進行工業信息安全設計？

現代卷煙產品大致要經過煙葉初烤、打葉復烤、卷煙制絲、煙支制卷、卷煙包裝五個關鍵生產工藝流程，才能作為商品流轉到消費者手中。每個煙草制品的背后都凝聚著不斷發展的工業信息化、數字化技術，有網絡的地方就要考慮其網絡安全問題，網絡安全對于煙草行業生產而言是不可缺失的一環。煙草行業控制系統信息安全建設應根據其不同的業務類型、生產階段、生產工藝特點以及自身安全需求制定不同的安全建設方案。

天融信以“分級分域、整體保護、積極預防、動態管理”為總體安全防護思想，以煙草行業工控安全技術規范為主要依據，首先從控制系統的運行環境層面考慮，采取合理的管理手段對煙草控制系統進行整體加固，然后采取網絡邊界隔離、分區分域防護、網絡流量監測與審計、主機安全防護、安全運維管理等必要的技術措施對煙草控制系統進行安全防護。

06 天融信煙草行業工業信息安全優勢如何？

天融信依托多年工業信息安全經驗，擁有眾多的行業成功案例，憑借安全研究及技術優勢，構建安全防護檢測、安全運營及安全服務三大體系。通過對煙草行業的各個節點實時安全監測，融合多種安全技術手段從不同層面解決工業信息安全問題，打造出綜合性、一體化的煙草行業工業信息安全產品、服務與解決方案。

作為第一批開展工業互聯網安全研究和研發的企業之一，天融信將先進的信息安全技術與工控業務場景深度融合，安全建設能力覆蓋工業生產企業、工業互聯網平臺企業、標識解析企業等。天融信工業互聯網安全以控制網絡邊界管控、控制區域邊界隔離、控制網絡行為監測審計、工業終端管控、云邊界安全、邊界數據安全、大數據安全等安全能力為核心，構建以設備安全、控制安全、網絡安全、應用安全、數據安全及安全運營為一體的縱深安全技術體系。