[发明专利]烟草行业工控网络安全防护装置和网络安全防护方法

权利要求书

1.一种烟草行业工控网络安全防护装置，其特征在于，包括：

企业管理层系统，包括后端数据子系统和前端办公子系统，所述后端数据子系统与前端办公子系统通过网络连接，组成企业管理层网络，所述后端数据子系统用于处理并存储企业管理数据和网页管理数据，所述前端办公子系统为管理者提供办公平台，用于提供预设的企业管理程序和网页管理程序；

生产管理层系统，包括生产管理子系统和生产管理网络安全子系统，所述生产管理子系统和生产管理网络安全子系统通过网络相互连接，组成生产管理层网络，所述生产管理子系统用于根据企业管理层系统的数据信息进行生产管理，所述生产管理子系统通过生产管理网络安全子系统采用网络隔离技术与企业管理层网络连接，所述生产管理网络安全子系统用于根据企业管理层系统与生产管理层系统之间的信息交换为操作员提供信息安全日志、审计信息和分析预警信息；其中, 所述的生产管理网络安全子系统包括第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备，所述第一工业信息安全日志平台、工控运维审计设备、工控监测分析预警平台和工控隔离交换设备通过接入生产管理层网络实现与生产管理子系统的相互连接，所述工控隔离交换设备与企业管理层系统连接，用于实现网络隔离;

过程监控层系统，包括设备控制子系统、过程监控子系统和过程监控网络安全子系统，所述设备控制子系统、过程监控子系统和过程监控网络安全子系统通过网络相互连接，组成过程监控层网络，所述设备控制子系统通过过程监控层网络与生产管理层网络连接，且用于根据生产管理层系统的数据信息进行现场设备控制，所述过程监控子系统用于采集并监控来自现场控制层系统的现场设备信息，所述过程监控网络安全子系统用于为设备控制子系统与生产管理子系统、生产管理网络安全子系统之间的连接、设备控制子系统与过程监控子系统之间的连接提供网络防护；其中, 所述过程监控网络安全子系统包括工业防火墙、第一工控入侵检测设备、第一工控网络监测审计设备、第二工控网络监测审计设备、第二工控入侵检测设备和工控漏洞扫描设备，所述生产管理层网络与过程监控层网络之间、设备控制子系统与过程监控子系统之间均设置工业防火墙，所述第一工控入侵检测设备、第一工控网络监测审计设备、工控漏洞扫描设备均接入过程监控层网络以实现与设备控制子系统、过程监控子系统的连接，所述第二工控入侵检测设备和第二工控网络监测审计设备连接于设备控制子系统与现场控制子系统之间;

现场控制层系统，包括现场控制子系统和现场控制网络安全子系统，所述现场控制子系统与设备控制子系统连接，组成现场控制层网络，用于根据设备控制子系统的数据信息对应地控制现场设备，所述现场控制网络安全子系统与现场控制子系统连接，用于提供信息安全日志；所述现场控制网络安全子系统包括第二工业信息安全日志平台，所述第二工业信息安全日志平台与现场控制子系统连接。

2.根据权利要求1所述的一种烟草行业工控网络安全防护装置，其特征在于：所述设备控制子系统包括第一控制站、第二控制站、第三控制站和第四控制站，所述第一控制站、第二控制站、第三控制站和第四控制站均通过对应的工业防火墙接入过程监控层网络实现与过程监控子系统连接；

所述现场控制子系统包括制丝集控站、卷包数采站、动力能管站和物流系统站，所述第一控制站与制丝集控站连接，所述第二控制站与卷包数采站连接，所述第三控制站与动力能管站连接，所述第四控制站与物流系统站连接，所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控入侵检测设备连接，所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工控网络监测审计设备连接；

所述制丝集控站、卷包数采站、动力能管站和物流系统站均与对应的第二工业信息安全日志平台连接；

所述生产管理子系统、过程监控子系统、第一控制站、第二控制站、第三控制站和第四控制站均安装有工控主机加固程序，所述工控主机加固程序用于对各种不安全因素进行主动防御且对数据的完整性进行保护。