1、行业安全现状：

烟草公司整体业务流程核心为物流配送，客户可通过网站订购，手机网页与电话等多种形式向烟草公司订货，烟草公司将这部分数据信息经各服务器处理后传至各个服务器，并下发给仓储系统和分拣系统，分拣系统PLC运行，将烟草分拣并打包，由此可见工控网络安全将会影响整个物流的正常运作，目前控制系统存在以下安全隐患：

1）整个物流网络中未进行明确的分域分级管理，整个网络区域边界不明确，缺乏必要的网络隔离防护手段，导致物流网极易遭到管理网的病毒攻击和入侵。

2）网络边界防护措施薄弱，管理区网络与生产区网络未对数据交换进行安全控制，给生产网增加了风险。

3）缺乏有效的网络监控和日志审计。当前烟草的工业控制系统中几乎没有考虑到应有的网络状态监控和操作日志行为审计需求。在日志安全方面，大部分服务器在日志审计方面都没有比较完善的保障机制。

2、解决方案：

烟草公司物流工控系统面临各种安全风险，仅仅采用被动防御和修补是不可靠的，需要的是整体解决方案，针对烟草物流工控系统的特点，需要从以下几个方面来解决安全问题：

1）威胁管理：部署威胁管理平台，对烟草物流工业控制系统进行风险评估，漏洞分析，安全性分析以便正确、及时的了解目前系统的安全现状,方便根据实际情况有计划有步骤的完成风险评估以及后续安全数据收集分析工作。

2）互联接口安全功能设计：在管理区网络与生产区网络之间部署IAD智能保护平台，满足互联接口的安全功能特性，包括身份鉴别、访问控制、网络互联控制、恶意行为防范、安全审计等。

3）安全审计设计：在生产执行层和分拣系统之间部署监测审计平台，对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录；

4）入侵防范设计：在生产执行层边界处部署监测审计平台，监视端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击等，当检测到严重入侵事件时提供报警。

5）恶意代码防范设计： 在分拣系统边界以及分拣系统内部部署IAD智能保护产品，启用恶意代码检测及阻断功能。

3、业务价值：

针对烟草物流工控网络系统各层级可能存在的威胁进行评估，以便正确、及时的了解目前工控系统的安全现状，为后期进行整改、修补工作提供依据，以使工控系统更安全、稳定的运行。