[发明专利]烟草行业工控网络安全防护装置和网络安全防护方法

说明书

本发明公开了烟草行业工控网络安全防护架构和网络安全防护方法，其包括：企业管理层系统，包括相互连接后端数据子系统和前端办公子系统，组成企业管理层网络；生产管理层系统，包括相互连接的生产管理子系统和生产管理网络安全子系统，组成生产管理层网络；过程监控层系统，包括相互连接的设备控制子系统、过程监控子系统和过程监控网络安全子系统，组成过程监控层网络；现场控制层系统，包括相互连接的现场控制子系统和现场控制网络安全子系统，组成现场控制层网络；企业管理层网络、生产管理层网络、过程监控层网络和现场控制层网络依次连接。本发明具有降低烟草行业工控网络安全的风险，易于保障烟草工控系统的正常运行的效果。

技术领域

本发明涉及工控安全的领域，尤其是涉及一种烟草行业工控网络安全防护架构和网络安全防护方法。

背景技术

烟草行业随着科技的发展而逐渐朝着“智能工厂”迈进。烟草行业的生产流程通过工业系统完成，其主要工业系统可以分为制丝、卷包、动能、物流等系统。

相关技术中，烟草行业的工业系统网络多采用工业环网或树形网络进行互联，利用工业控制系统实现自动化生产。而且各企业工业控制系统均需与生产过程执行管理系统（MES 系统）及生产经营决策管理系统（烟草行业“一号工程”）进行数据交换。这为原本封闭的工业控制网络带来了更大的安全挑战。

针对上述相关技术，发明人认为上述的烟草行业工控系统从烟草公司的企业管理层到生产管理层，再到负责车间生产管控的过程监控层，最后到连通阀门、配电控制器的现场控制层，均存在较大的网络安全风险，造成了不易于保障烟草工控系统正常运行的缺陷。

发明内容

为了降低烟草行业工控网络安全的风险，易于保障烟草工控系统的正常运行, 本申请公开了一种烟草行业工控网络安全防护架构和网络安全防护方法。

第一方面，本申请公开一种烟草行业工控网络安全防护架构，采用如下的技术方案：

一种烟草行业工控网络安全防护架构，包括：

企业管理层系统，包括后端数据子系统和前端办公子系统，所述后端数据子系统与前端办公子系统通过网络连接，组成企业管理层网络，所述后端数据子系统用于处理并存储企业管理数据和网页管理数据，所述前端办公子系统为管理者提供办公平台，用于提供预设的企业管理程序和网页管理程序；

生产管理层系统，包括生产管理子系统和生产管理网络安全子系统，所述生产管理子系统和生产管理网络安全子系统通过网络相互连接，组成生产管理层网络，所述生产管理子系统用于根据企业管理层系统的数据信息进行生产管理，所述生产管理子系统通过生产管理网络安全子系统采用网络隔离技术与企业管理层网络连接，所述生产管理网络安全子系统用于根据企业管理层系统与生产管理层系统之间的信息交换为操作员提供信息安全日志、审计信息和分析预警信息；

过程监控层系统，包括设备控制子系统、过程监控子系统和过程监控网络安全子系统，所述设备控制子系统、过程监控子系统和过程监控网络安全子系统通过网络相互连接，组成过程监控层网络，所述设备控制子系统通过过程监控层网络与生产管理层网络连接，且用于根据生产管理层系统的数据信息进行现场设备控制，所述过程监控子系统用于采集并监控来自现场控制层系统的现场设备信息，所述过程监控网络安全子系统用于为设备控制子系统与生产管理子系统、生产管理网络安全子系统之间的连接、设备控制子系统与过程监控子系统之间的连接提供网络防护；

现场控制层系统，包括现场控制子系统和现场控制网络安全子系统，所述现场控制子系统与设备控制子系统连接，组成现场控制层网络，用于根据设备控制子系统的数据信息对应地控制现场设备，所述现场控制网络安全子系统与现场控制子系统连接，用于提供信息安全日志。

通过采用上述技术方案，综合防御策略贯穿于该架构中，实现分级、分防线策略，将安全嵌入到应用中，将风险值降到最低，从而降低烟草行业工控网络安全的风险，易于保障烟草工控系统的正常运行。