本發明公開了煙草行業工控網絡安全防護架構和網絡安全防護方法，其包括：企業管理層系統，包括相互連接后端數據子系統和前端辦公子系統，組成企業管理層網絡；生產管理層系統，包括相互連接的生產管理子系統和生產管理網絡安全子系統，組成生產管理層網絡；過程監控層系統，包括相互連接的設備控制子系統、過程監控子系統和過程監控網絡安全子系統，組成過程監控層網絡；現場控制層系統，包括相互連接的現場控制子系統和現場控制網絡安全子系統，組成現場控制層網絡；企業管理層網絡、生產管理層網絡、過程監控層網絡和現場控制層網絡依次連接。本發明具有降低煙草行業工控網絡安全的風險，易于保障煙草工控系統的正常運行的效果。

技術領域

本發明涉及工控安全的領域，尤其是涉及一種煙草行業工控網絡安全防護架構和網絡安全防護方法。

背景技術

煙草行業隨著科技的發展而逐漸朝著“智能工廠”邁進。煙草行業的生產流程通過工業系統完成，其主要工業系統可以分為制絲、卷包、動能、物流等系統。

相關技術中，煙草行業的工業系統網絡多采用工業環網或樹形網絡進行互聯，利用工業控制系統實現自動化生產。而且各企業工業控制系統均需與生產過程執行管理系統（MES?系統）及生產經營決策管理系統（煙草行業“一號工程”）進行數據交換。這為原本封閉的工業控制網絡帶來了更大的安全挑戰。

針對上述相關技術，發明人認為上述的煙草行業工控系統從煙草公司的企業管理層到生產管理層，再到負責車間生產管控的過程監控層，最后到連通閥門、配電控制器的現場控制層，均存在較大的網絡安全風險，造成了不易于保障煙草工控系統正常運行的缺陷。

發明內容

為了降低煙草行業工控網絡安全的風險，易于保障煙草工控系統的正常運行,?本申請公開了一種煙草行業工控網絡安全防護架構和網絡安全防護方法。

第一方面，本申請公開一種煙草行業工控網絡安全防護架構，采用如下的技術方案：

一種煙草行業工控網絡安全防護架構，包括：

企業管理層系統，包括后端數據子系統和前端辦公子系統，所述后端數據子系統與前端辦公子系統通過網絡連接，組成企業管理層網絡，所述后端數據子系統用于處理并存儲企業管理數據和網頁管理數據，所述前端辦公子系統為管理者提供辦公平臺，用于提供預設的企業管理程序和網頁管理程序；

生產管理層系統，包括生產管理子系統和生產管理網絡安全子系統，所述生產管理子系統和生產管理網絡安全子系統通過網絡相互連接，組成生產管理層網絡，所述生產管理子系統用于根據企業管理層系統的數據信息進行生產管理，所述生產管理子系統通過生產管理網絡安全子系統采用網絡隔離技術與企業管理層網絡連接，所述生產管理網絡安全子系統用于根據企業管理層系統與生產管理層系統之間的信息交換為操作員提供信息安全日志、審計信息和分析預警信息；

過程監控層系統，包括設備控制子系統、過程監控子系統和過程監控網絡安全子系統，所述設備控制子系統、過程監控子系統和過程監控網絡安全子系統通過網絡相互連接，組成過程監控層網絡，所述設備控制子系統通過過程監控層網絡與生產管理層網絡連接，且用于根據生產管理層系統的數據信息進行現場設備控制，所述過程監控子系統用于采集并監控來自現場控制層系統的現場設備信息，所述過程監控網絡安全子系統用于為設備控制子系統與生產管理子系統、生產管理網絡安全子系統之間的連接、設備控制子系統與過程監控子系統之間的連接提供網絡防護；

現場控制層系統，包括現場控制子系統和現場控制網絡安全子系統，所述現場控制子系統與設備控制子系統連接，組成現場控制層網絡，用于根據設備控制子系統的數據信息對應地控制現場設備，所述現場控制網絡安全子系統與現場控制子系統連接，用于提供信息安全日志。

通過采用上述技術方案，綜合防御策略貫穿于該架構中，實現分級、分防線策略，將安全嵌入到應用中，將風險值降到最低，從而降低煙草行業工控網絡安全的風險，易于保障煙草工控系統的正常運行。