前言：

数字化转型已成为烟草行业质量变革、效率变革和动力变革的重要驱动力，是“十四五”时期行业高质量发展的必由之路。本文以某地烟草企业为例，通过分析其烟草物流管理存在的安全问题和安全风险，提出了启明星辰烟草物流安全解决方案，有效提升烟草企业的物流管理水平，促进烟草企业的稳定、健康发展。

烟草行业作为我国经济发展的支柱型产业，其中烟草物流是烟草配送营销的关键环节。尤其随着“数字烟草”战略推进和建设，各地烟草公司逐渐建立了半自动或全自动的物流仓储、分拣系统，通过信息化和工业化的不断深化融合，推动烟草企业在物流领域不断提质增效。

以某烟草企业的物流中心管理系统为例，主要包含物流管理信息系统、仓库管理系统、分拣管理系统、运输管理系统等核心子系统，工控系统设备主要有PLC、打码机、扫码机、自动化标签机等设备，覆盖了卷烟出入库、分类分拣等环节，工控网络已基本按照业务系统属性划分出网络区域，在工控网与办公网边界也具备基本的逻辑隔离技术措施。

启明星辰通过对该烟草企业物流中心工控系统进行调研分析，发现其信息安全方面存在的突出问题，主要包括以下几个方面：

1、除基本逻辑隔离措施外，工控网络内部缺少其他网络安全防护手段（系统脆弱性识别、异常监测等），日常运维工作外包给网络集成商，对于所有的运维操作无控制、无审计，出现安全问题时不能进行及时准确定位和追踪排障，存在日常监测管理的重要缺失和隐患点。

2、缺乏实时有效、全面的安全保障能力，面对网络攻击无法有效识别、预警、防范和应急响应，信息安全技术措施部署不到位、运行维护专业化相对滞后，安全保障能力不强，应急响应措施不足。

3、缺乏信息安全数据贯通和网络安全处置协同能力，各系统间信息安全数据的共享交换和统筹管理能力不足，网络安全运营模式考虑不充分缺乏安全创新性。

具体安全风险如下：

1、网络安全风险：各网络区域间未充分采取安全隔离措施，在通过办公网访问物流工控网络过程中，不能有效拦截办公网中木马病毒及针对工控系统开发的恶意软件，存在网络攻击通过一个节点入侵、扩散至整个工控系统风险。对工控网络流量和访问关系缺乏有效的监测手段，不能及时提供工控网络安全风险预警和故障定位，存在发生故障后，排障时间长、原因无法定位的风险，存在第三方人员通过非法IP接入网络风险。

2、主机安全风险：监控主机和PC等使用windows系统，具有系统、软件版本低，安全策略不全面等现象，存在病毒防范能力低，易被入侵的风险。

3、控制设备安全风险：控制系统中的PLC及扫码机、打码机等设备存在固有漏洞，若修补不及时存在被恶意利用风险。部分控制设备及应用为国外设备，存在安全不可控风险。

4、数据安全风险：数据安全风险：部分工业通讯协议安全机制缺乏、端口与服务不设限使用。

5、管理安全风险：工控系统资产梳理不清，资产脆弱性掌握不充分，易导致系统高价值资产面临较大威胁。

启明星辰烟草物流安全解决方案

启明星辰以该烟草企业的物流工控系统为防护对象，围绕新场景下网络安全管理目标，构建一套完整的“事前有防范、事中有应对、事后有追溯”烟草物流安全解决方案，实现行业化、智能化、安全化的典型数字化转型实践，有效提升烟草企业的物流管理水平，促进烟草企业的稳定、健康发展。

1、监管要求为前提。

以烟草行业规范YC/T 580-2019《烟草行业工业控制系统网络安全基线技术规范》为主线，以YC/T 495-2014《烟草行业信息系统安全等级保护实施规范》、YC/T494-2014《烟草行业工业企业生产网与管理网网络互联安全规范》为基础，综合考虑等级保护和工业互联网安全相关标准规范，将行业环境下标准要求有机融入各项安全过程中。

2、解决突出问题为先导。

通过对系统所处环境、相关方的需求和风险分析，确定工控网络安全管理体系范围、要求及其过程，按照“先边界安全加固、后深入内部防护” 的思路，纵向分层，横向分区构建安全可靠的网络结构，对各项安全技术措施进行持续监督、评价和改进。

3、管理为先，技术跟随。

从网络风险管理角度出发，综合考虑安全管理一体化、标准化、智能化、可视化要求，初步实现物流安全一张图、技术管理一平台、安全监测与响应一条线的综合安全管理目标，贴近物流中心业务实景，安全为业务保障服务。

1、梳理系统业务流程 ，夯实结构安全。

综合考虑物流工控系统的组网结构、业务访问关系、通信协议、部署环境等多方面因素，沿用原网络划分出的区域，确定重要网络边界。将办公网和物流工控网为第一层边界，通过部署工业网闸，实现网络安全隔离与访问控制，保障生产安全。同时，在不改变原组网结构的基础上，通过在工控网的两个汇聚交换机处部署工业防火墙，借助工控协议的深度解析能力和基于白名单的安全策略，实现工控行为的合规性控制，实现网络分层、分域保护。

2、补齐安全基因缺陷，持续性措施保护。

在设置的安全管理区，通过部署工控漏洞扫描系统，定期对SCADA、PLC等工控资产和临时接入设备进行无损扫描，提供资产漏洞识别、资产漏洞修复评估与管理，在根源上为企业提供安全可靠的工控环境；通过部署工业运维审计（堡垒机）和日志审计系统，集中管理运维账号，实时控制运维操作权限和命令，阻断异常行为，对事件进行全面审计，保障系统安全运维。工业主机安全防护在原防护系统的基础上，进行策略优化，实现对主机安全防护能力的补齐。

3、打造高效安全监测，精准化风险管控。

在出库和分拣线1区域的汇聚交换机旁路部署工控异常监测与审计系统，实现工控行为识别与合规性检查、审计与告警。设置安全管理区部署全流量检测和威胁分析系统，进行物流工控网络攻击双向检测、APT沙箱检测、全量数据存储检索、应用元数据解析、攻击回溯取证和数据安全分析。为增强统一管理能力，在办公网部署工控态势感知系统，以工控网部署的安全设备为探针，对物流工控网络的安全设备进行实时检测与管理，从全局分析、外部攻击、横向攻击、恶意外连多维度主动掌握工控网络运行的安全状态。

4、适度引入安全新技术，加强主动防御能力。

基于网络欺骗防御技术，应用工业蜜罐系统，参照生产业务仿真构建蜜网，延缓攻击者对实际业务网络的攻击，保护真实网络资产，同时以技术手段实现对攻击者的追踪。工业蜜罐系统打破了现有攻防不对称的局面，结合其他安全系统共同构成主动安全防御体系。

在“数字烟草”建设的大背景下，烟草企业积极推进烟草产业与信息化的深度融合，烟叶复烤、制丝、卷包、物流等各个生产环节均广泛应用工业控制系统，其和企业管理网进行数据交换的需求愈加紧密。启明星辰将不断探索高效、全面的工控网络安全防护体系，充分整合产品、平台和服务资源，在企业生产信息化建设持续深入过程中，有效保障企业的正常运行，筑牢行业创新发展“压舱石”。