01 煙草行業(yè)為什么要做工業(yè)信息安全？

煙草行業(yè)的生產(chǎn)流程伴隨著市場環(huán)境、客戶需求以及自身業(yè)務(wù)的不斷變革。其控制系統(tǒng)歷經(jīng)多次技術(shù)升級改造，逐漸從手工作業(yè)、機械作業(yè)向著高度信息化、自動化、智能化方向發(fā)展。高效的信息互通也使得原有的控制系統(tǒng)難以應(yīng)對其帶來的安全問題。控制系統(tǒng)安全防護能力和安全事件應(yīng)急處置能力相對較弱，安全風(fēng)險突出。生產(chǎn)穩(wěn)定性更加難以保證。煙草行業(yè)作為納稅“大戶”，其控制系統(tǒng)也是國家重點的保護對象，所以工業(yè)信息安全的建設(shè)亦是迫在眉睫。

02 煙草行業(yè)的工業(yè)信息安全風(fēng)險有哪些？

通過對煙草行業(yè)已公開披露的安全事件進行分析，發(fā)現(xiàn)其主要由三方面因素引起，即安全配置因素、安全漏洞因素以及其他異常事件因素。以安全配置因素為例，通常是由于人為的疏忽造成，涉及賬號、口令、授權(quán)、日志、地址通信等方面，反映了系統(tǒng)自身在信息安全方面的脆弱性。安全配置不足可能帶來眾多安全隱患，因此對安全配置進行有效的檢查和加固成為整體安全體系建設(shè)中的重要一環(huán)。

除此之外，通信過程中產(chǎn)生的邏輯漏洞攻擊，也是影響煙草行業(yè)控制系統(tǒng)信息安全的重要因素之一。信息網(wǎng)絡(luò)通信的目標(biāo)是將信息傳遞到目的地，常見的有FTP，HTTP，Telnet等通信協(xié)議，但是，工業(yè)控制網(wǎng)絡(luò)中使用的往往是特定的協(xié)議，例如S7、MODBUS、OPC、PROFINET等規(guī)范協(xié)議，以及其他具有工控系統(tǒng)特征的私有網(wǎng)絡(luò)通信協(xié)議。工業(yè)通信協(xié)議設(shè)計的目標(biāo)在于如何高效、準(zhǔn)確的進行數(shù)據(jù)的傳輸，所以普遍缺少傳統(tǒng)信息網(wǎng)絡(luò)中的認(rèn)證過程。反觀視之，如果工業(yè)通信加入諸如身份認(rèn)證、高精度校驗等元素，其協(xié)議在實時性、準(zhǔn)確性上將難以得到保障，其傳遞信息的保密性、安全性和完整性也會失去意義。

煙草行業(yè)控制系統(tǒng)由于在建設(shè)初期缺乏安全需求推動，在設(shè)計、研發(fā)、部署、運維過程中沒有充分考慮安全問題，一旦被無意或惡意利用，就會造成各種工業(yè)信息安全事件發(fā)生，影響煙草領(lǐng)域生產(chǎn)計劃乃至更嚴(yán)重的生產(chǎn)事故。總體來說，煙草行業(yè)控制系統(tǒng)整體安全現(xiàn)狀不容樂觀，當(dāng)前迫切需要開展面向控制系統(tǒng)的安全建設(shè)。

03 為什么殺毒軟件無法適用于煙草工控主機安全防護？

首先煙草行業(yè)工業(yè)主機是專用設(shè)備，計算性能不足，且其運行的業(yè)務(wù)相關(guān)軟件通常以組態(tài)軟件為主，同時還可能存在一些與業(yè)務(wù)流程相關(guān)的自定義腳本。如果在工業(yè)主機上安裝傳統(tǒng)的殺毒軟件，第一會占用較大的系統(tǒng)資源，對工業(yè)主機正常運行造成影響，嚴(yán)重時還會導(dǎo)致工控主機藍屏死機等情況；第二由于工業(yè)主機不接入互聯(lián)網(wǎng)等原因，不能實時更新殺毒軟件的版本和病毒庫，無法起到有效的病毒查殺作用；第三由于工業(yè)領(lǐng)域編程規(guī)則與信息領(lǐng)域存在差異化，傳統(tǒng)的殺毒軟件由于自身機制可能會誤殺工業(yè)主機中運行的軟件，導(dǎo)致上位機程序異常，而誤殺在控制系統(tǒng)中是致命的。所以傳統(tǒng)的殺毒軟件無法適用于煙草工控主機安全防護。

04 煙草行業(yè)工業(yè)信息安全政策有哪些？

在煙草行業(yè)網(wǎng)絡(luò)安全產(chǎn)業(yè)蓬勃發(fā)展的大背景下，近幾年煙草總局根據(jù)行業(yè)特點陸續(xù)制訂發(fā)布了《煙草行業(yè)等級保護基本要求》、《煙草行業(yè)移動應(yīng)用安全規(guī)范》、《煙草行業(yè)信息安全基線管理技術(shù)規(guī)范》、《煙草行業(yè)網(wǎng)絡(luò)與信息安全檢查自查指南》、《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》、《煙草行業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全基線技術(shù)規(guī)范》等行業(yè)規(guī)范，為煙草行業(yè)的工業(yè)信息安全規(guī)劃、建設(shè)提供依據(jù)與標(biāo)準(zhǔn)，其中《煙草行業(yè)信息安全基線管理技術(shù)規(guī)范》已成為煙草行業(yè)各單位信息安全保障體系建設(shè)和管理工作的基線要求，需嚴(yán)格落實規(guī)范要求。

05 煙草行業(yè)如何進行工業(yè)信息安全設(shè)計？

現(xiàn)代卷煙產(chǎn)品大致要經(jīng)過煙葉初烤、打葉復(fù)烤、卷煙制絲、煙支制卷、卷煙包裝五個關(guān)鍵生產(chǎn)工藝流程，才能作為商品流轉(zhuǎn)到消費者手中。每個煙草制品的背后都凝聚著不斷發(fā)展的工業(yè)信息化、數(shù)字化技術(shù)，有網(wǎng)絡(luò)的地方就要考慮其網(wǎng)絡(luò)安全問題，網(wǎng)絡(luò)安全對于煙草行業(yè)生產(chǎn)而言是不可缺失的一環(huán)。煙草行業(yè)控制系統(tǒng)信息安全建設(shè)應(yīng)根據(jù)其不同的業(yè)務(wù)類型、生產(chǎn)階段、生產(chǎn)工藝特點以及自身安全需求制定不同的安全建設(shè)方案。

天融信以“分級分域、整體保護、積極預(yù)防、動態(tài)管理”為總體安全防護思想，以煙草行業(yè)工控安全技術(shù)規(guī)范為主要依據(jù)，首先從控制系統(tǒng)的運行環(huán)境層面考慮，采取合理的管理手段對煙草控制系統(tǒng)進行整體加固，然后采取網(wǎng)絡(luò)邊界隔離、分區(qū)分域防護、網(wǎng)絡(luò)流量監(jiān)測與審計、主機安全防護、安全運維管理等必要的技術(shù)措施對煙草控制系統(tǒng)進行安全防護。

06 天融信煙草行業(yè)工業(yè)信息安全優(yōu)勢如何？

天融信依托多年工業(yè)信息安全經(jīng)驗，擁有眾多的行業(yè)成功案例，憑借安全研究及技術(shù)優(yōu)勢，構(gòu)建安全防護檢測、安全運營及安全服務(wù)三大體系。通過對煙草行業(yè)的各個節(jié)點實時安全監(jiān)測，融合多種安全技術(shù)手段從不同層面解決工業(yè)信息安全問題，打造出綜合性、一體化的煙草行業(yè)工業(yè)信息安全產(chǎn)品、服務(wù)與解決方案。

作為第一批開展工業(yè)互聯(lián)網(wǎng)安全研究和研發(fā)的企業(yè)之一，天融信將先進的信息安全技術(shù)與工控業(yè)務(wù)場景深度融合，安全建設(shè)能力覆蓋工業(yè)生產(chǎn)企業(yè)、工業(yè)互聯(lián)網(wǎng)平臺企業(yè)、標(biāo)識解析企業(yè)等。天融信工業(yè)互聯(lián)網(wǎng)安全以控制網(wǎng)絡(luò)邊界管控、控制區(qū)域邊界隔離、控制網(wǎng)絡(luò)行為監(jiān)測審計、工業(yè)終端管控、云邊界安全、邊界數(shù)據(jù)安全、大數(shù)據(jù)安全等安全能力為核心，構(gòu)建以設(shè)備安全、控制安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全及安全運營為一體的縱深安全技術(shù)體系。