在經濟全球化、信息網絡化的時代背景下，近年來煙草行業信息化已具有一定規模，MES系統已經建立，實現了從控制系統到實時數據庫的通訊連接。世界范圍內的過程控制系統和SCADA系統廣泛采用信息技術，這些技術使工業設備接口更為簡單，但同時也減弱了控制系統及SCADA系統等與外界的隔離，控制系統面臨的來自網絡方面的威脅也趨向多元化和多發性。

煙草行業控制網絡說明及隱患分析
       煙草行業工業控制網一般采用環網結構，負責控制器、操作站及工程師站之間過程控制數據實時通訊。控制網中各組內的操作站、PLC等設備直接與數采網中的交換機相連。企業上層的信息管理網中，Web發布器、實時數據庫與其他操作員站、監控服務器等全部位于同一局域網中?？刂凭W和企業上層信息管理網通過一個路由器直接相連。

       目前的系統存在以下信息安全隱患：
1、 控制網中各組內的操作站、PLC等設備直接與數采網中的交換機相連，網絡風險性大大增加。

2、 企業上層的信息管理網中，Web發布器、實時數據庫與其他操作站、監控服務器等全部位于同一局域網中，且和控制網通過路由器直接連接，一旦其中某臺計算機感染病毒，勢必將影響信息管理網內其他所有計算機以及控制網的所有設備。

3、 以太環網內的任意一臺裝有控制站編程軟件的機器可以對任意一臺控制器進行控制下裝，存在誤下裝的風險。

4、 網絡中無安全監控平臺，無法對網絡安全事故進行預警和分析，網絡工程師將無法以快的速度判斷問題所在，也就無法迅速準確的做出防護和修復措施。

解決方案

多芬諾安全防護方案網絡拓撲圖

1、區域隔離
       在關鍵通道上部署Tofino工業防火墻，其插件能夠過濾兩個區域網絡間的通信，即使出現網絡故障，也會被控制在初發生的區域內，保證整套裝置及工廠的安全穩定運行。

2、通信管控
       通過對防火墻插件的組態，通訊規則只允許PLC制造商專有協議數據通過，其它基于Windows應用的不必要通訊以及病毒、非法訪問等一律禁止，從而創造出一個單一制造商通信網絡的環境。

3、集中管理
       在網絡中部署CMP配置管理平臺，用于配置、管理、監測網絡中所有的Tofino工業防火墻，并接收來自防火墻的網絡報警信息。無需停車，Tofino工業防火墻特有的“測試”模式允許在線配置防火墻策略。

4、實時報警
       在網絡中部署CMP配置管理平臺，用于配置、管理、監測網絡中所有的Tofino工業防火墻，并接收來自防火墻的網絡報警信息