Q6: 烟草制丝系统安全防护方案？

Q6: 烟草制丝系统安全防护方案？

A: 烟草行业制丝线的工控安全防护需围绕 PLC 控制系统和生产管理网络展开：

1. PLC 系统防护：制丝线的 PLC 控制器（通常为西门子 S7 系列或罗克韦尔 ControlLogix）是控制核心。在 PLC 控制网络与上位监控网络之间部署工控防火墙，对 S7 或 EtherNet/IP 协议通信实施白名单控制，仅允许正常的读写操作和状态监控通信。
2. 网络分层隔离：将制丝线网络划分为设备控制层（PLC 通信）、监控层（HMI/SCADA）和管理层（生产管理）。各层之间部署防火墙进行隔离，控制层与管理层之间禁止直接通信。
3. 终端白名单防护：对制丝线的操作站和工程师站部署终端白名单安全软件。由于制丝线控制系统版本较老、软件兼容性要求高，白名单机制比传统杀毒软件更适合。
4. 程序保护：PLC 程序和参数是制丝线的核心资产，需防止未授权的修改和下载。防火墙策略应严格限制对 PLC 的程序上传/下载操作，仅允许经授权的工程师站在授权时段进行。
5. 安全监测与审计：在监控层核心交换点旁路部署入侵检测系统。部署日志审计系统，记录所有对 PLC 的操作行为，支持安全事件追溯。
6. USB 管控：制丝线工程师站经常需要使用 USB 设备进行程序传输，需部署 USB 安全管控措施，仅允许经过认证的 USB 设备接入。