烟草行业工控安全

概述

烟草行业是国民经济的重要行业，其生产过程高度自动化，工控系统的安全稳定运行直接关系到生产效率和产品质量。烟草行业的工控系统覆盖原料处理、制丝、卷包、滤棒成型、包装和物流仓储等核心生产环节，涉及PLC、SCADA、MES和WMS等多种类型的控制系统和管理系统。

烟草行业具有生产连续性要求高、产品配方保密性强、设备供应商多样化等特点。工控系统通常需要7×24小时不间断运行，安全设备的部署和维护必须在不停产的前提下进行。生产配方和工艺参数是企业的核心商业秘密，防范数据泄露是安全防护的重要内容。

工控系统架构

烟草行业的工控系统按照生产流程可分为制丝系统、卷包系统、物流系统和辅助生产系统。

制丝系统是烟草生产的首要环节，负责将烟叶原料加工成符合工艺要求的烟丝。制丝线通常采用PLC+SCADA的控制架构，PLC负责现场设备的实时控制，SCADA系统负责生产过程监控和参数设定。制丝线设备品牌以西门子、罗克韦尔等为主，通信协议包括Profinet、Modbus TCP和EtherNet/IP等。

卷包系统负责将烟丝卷制成香烟并进行包装。卷包设备包括卷烟机、包装机、滤棒成型机和小包机等，品牌众多（如 PROTOS、GDX 系列），通信协议复杂多样。卷包车间通常采用集中监控方式，上位机通过工业网络连接各卷包设备。

物流系统负责原料、辅料和成品的仓储和输送，包括自动化立体仓库、AGV输送系统和分拣系统。物流系统采用WMS（仓储管理系统）+ WCS（仓库控制系统）+ PLC的架构，通信协议涵盖Profinet、OPC DA/UA等多种类型。

主要安全风险

烟草行业工控系统面临的安全风险具有行业特殊性。设备品牌多样化导致协议种类繁多，安全管理和策略配置难度大。制丝和卷包设备长期运行、补丁更新困难，操作系统和软件平台存在大量已知漏洞。

SCADA服务器和工程师站是常见的安全薄弱环节。SCADA服务器通常运行Windows操作系统，若连接U盘等移动存储介质或通过远程维护通道接入，可能感染恶意软件。工程师站拥有对PLC和控制器的配置权限，若缺乏严格的访问控制，攻击者可利用工程师站下发恶意控制指令。

IT与OT的互联也是重要风险来源。MES系统需要与ERP和OT系统双向通信，生产数据上传和管理指令下发的通道如果缺乏安全隔离，可能被攻击者利用从IT侧向OT侧扩散。生产配方和工艺参数在系统间传输过程中若未加密，存在被窃取的风险。

安全防护体系建设

烟草行业工控安全防护应按照等保2.0要求进行建设，结合行业特点构建纵深防御体系。

在网络边界防护层面，制丝、卷包和物流等OT系统网络应与办公网络和管理网络之间部署工控防火墙，实现逻辑隔离。在OT系统内部，按照业务功能划分安全域，在域间部署工控防火墙，对Profinet、Modbus TCP、OPC等协议实施细粒度访问控制。

在终端安全层面，对SCADA服务器、工程师站和操作员站部署终端安全防护，实施外设管控、进程白名单和移动存储介质管理。禁止在OT系统终端上使用未经授权的软件和外部存储设备。

在安全运维层面，建立统一的远程运维通道，远程访问必须通过加密VPN并实施多因素认证。所有对OT系统的配置变更必须经过审批流程，变更过程应完整记录以备审计。

在安全监测层面，在关键网络节点部署工控入侵检测系统，实时监测异常协议行为和潜在攻击活动。部署安全审计系统，记录所有网络操作和设备访问日志，满足等保合规的审计追溯要求。

等保合规建设

烟草行业工控系统通常定级为等保第二级或第三级。制丝系统、卷包系统等核心生产控制系统通常定级为第三级，物流自动化系统和管理信息系统通常定级为第二级。第三级系统需要每年至少进行一次等保测评，第二级系统通常建议每两年进行一次测评。

等保合规建设需要对照GB/T 22239-2019的基本要求，结合工控安全扩展要求逐项落实。在安全物理环境方面，控制机房应具备防火、防水、防静电等基本防护条件。在安全通信网络方面，应实现网络分区和通信加密。在安全区域边界方面，应部署访问控制和入侵检测设备。在安全计算环境方面，应实施身份认证、访问控制和安全审计。在安全管理中心方面，应建立集中的安全管理和监测平台。

烟草企业应将工控安全建设纳入企业整体安全规划，在数字化转型过程中同步提升工控系统的安全防护能力，确保生产安全与网络安全协调发展。

常见问题