結合某市煙草物流中心網(wǎng)絡現(xiàn)狀，梳理工控網(wǎng)絡安全風險如下：生產控制網(wǎng)與企業(yè)管理網(wǎng)互聯(lián)互通，在實現(xiàn)物流分揀業(yè)務自動化的同時，也將企業(yè)管理網(wǎng)絡中的安全風險（如掃描嗅探、入侵攻擊、病毒等）帶入生產控制網(wǎng)絡。分揀線PLC控制器缺乏安全保護，易受錯誤指令及異常流量攻擊風險，造成生產安全事件發(fā)生。工控系統(tǒng)網(wǎng)絡缺乏必要的安全監(jiān)測與審計手段，安全風險和安全事件無法預警、定位及追溯。根據(jù)對某市煙草物流分揀系統(tǒng)及工控系統(tǒng)的安全風險與漏洞分析，對該網(wǎng)絡系統(tǒng)提出如下安全整改設計：

在生產控制網(wǎng)與企業(yè)管理網(wǎng)的邊界串行部署工業(yè)網(wǎng)閘設備，借助基于私有協(xié)議的數(shù)據(jù)擺渡和業(yè)務白名單的安全策略，實現(xiàn)網(wǎng)絡隔離與業(yè)務流量單向傳輸，保障工控網(wǎng)絡免受源自互聯(lián)網(wǎng)的攻擊威脅。

在重要PLC系統(tǒng)前部署工控防火墻，進行專項安全防護與細粒度的工控指令控制。

針對上位機終端操作系統(tǒng)老舊、漏洞頻發(fā)的問題，通過部署工控主機衛(wèi)士產品，進行基于白名單機制的主機進程、外設、應用程序的行為管控。

新建運維管理區(qū)，部署工控監(jiān)測審計系統(tǒng)、工控漏洞掃描系統(tǒng)及工控態(tài)勢感知平臺，對工控網(wǎng)絡進行實時安全監(jiān)測、定期漏洞掃描與安全設備集中管控，達到全網(wǎng)安全態(tài)勢可查、可管、可審、可控的安全要求。