《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》

11工作簡(jiǎn)況1.1任務(wù)來源（1）項(xiàng)目提出的背景根據(jù)國(guó)家局《國(guó)煙計(jì)〔2020〕35號(hào)》推進(jìn)卷煙工業(yè)技術(shù)改造的指導(dǎo)意見及近期國(guó)家局行業(yè)云平臺(tái)建設(shè)的發(fā)展看來，隨著兩化融合、智能制造和工業(yè)互聯(lián)網(wǎng)等的廣泛推廣，網(wǎng)絡(luò)安全問題不斷向下延伸。近年來，針對(duì)設(shè)備的工控和智能系統(tǒng)的網(wǎng)絡(luò)攻擊日益增多，安全形勢(shì)愈發(fā)嚴(yán)峻。煙機(jī)設(shè)備作為煙草生產(chǎn)的核心組成部分，一旦遭受網(wǎng)絡(luò)攻擊將極大威脅煙草行業(yè)生產(chǎn)安全。因此，行業(yè)亟需開展針對(duì)煙機(jī)設(shè)備智能化安全技術(shù)要求的研究，以充分發(fā)揮標(biāo)準(zhǔn)在推進(jìn)煙機(jī)設(shè)備智能化建設(shè)中的指導(dǎo)、規(guī)范、引領(lǐng)和保障作用，為煙草行業(yè)實(shí)現(xiàn)安全、可控的智能制造保駕護(hù)航?！稛煵輽C(jī)械設(shè)備工控和智能系統(tǒng)安全要求》行業(yè)標(biāo)準(zhǔn)發(fā)布后，將促進(jìn)煙草行業(yè)結(jié)合生產(chǎn)工藝和操作流程，構(gòu)建全方位立體式、貫穿全生命周期的煙機(jī)設(shè)備工控和智能系統(tǒng)安全管理與2技術(shù)防護(hù)體系?；诒緲?biāo)準(zhǔn)的應(yīng)用實(shí)踐，一是可加快煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全防護(hù)建設(shè)標(biāo)準(zhǔn)化的步伐，強(qiáng)化物理安全、訪問控制、安全基線、安全檢測(cè)、合規(guī)審計(jì)、應(yīng)急響應(yīng)等方面的防護(hù)策略與管理機(jī)制。二是增強(qiáng)煙草企業(yè)生產(chǎn)安全運(yùn)維管控能力，采用更積極主動(dòng)的防護(hù)策略，將工控和智能系統(tǒng)安全整合到煙草機(jī)械設(shè)備全生命周期，降低安全防護(hù)建設(shè)與維護(hù)成本。三是構(gòu)建煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全長(zhǎng)效發(fā)展機(jī)制，提升煙草企業(yè)員工的安全管理意識(shí)和安全技術(shù)能力，并有效降低煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全風(fēng)險(xiǎn)。（3）任務(wù)計(jì)劃本標(biāo)準(zhǔn)編制任務(wù)納入國(guó)家煙草專賣局下達(dá)的2024年度煙草中國(guó)煙草標(biāo)準(zhǔn)化研究中心為協(xié)助管理單位，歸口技術(shù)委員會(huì)為煙機(jī)分標(biāo)委（TC144/SC3）。標(biāo)準(zhǔn)計(jì)劃完成時(shí)間為2024年121.2項(xiàng)目承擔(dān)單位、協(xié)作單位及主要分工本項(xiàng)目由中國(guó)煙草機(jī)械集團(tuán)有限責(zé)任公司牽頭，國(guó)家煙草專賣局煙草經(jīng)濟(jì)信息中心、浙江中煙工業(yè)有限責(zé)任公司、湖北中煙工業(yè)有限責(zé)任公司、云南中煙工業(yè)有限責(zé)任公司、上海煙草機(jī)械有限責(zé)任公司、常德煙草機(jī)械有限責(zé)任公司、許昌煙草機(jī)械有限責(zé)任公司共同承擔(dān)。中國(guó)煙草機(jī)械集團(tuán)有限責(zé)任公司：牽頭承擔(dān)單位，主要負(fù)責(zé)3項(xiàng)目組織協(xié)調(diào)、進(jìn)度安排、總體方向指引、前言及引言的編制、標(biāo)準(zhǔn)審核審定工作，為標(biāo)準(zhǔn)制修訂提供技術(shù)和人員保障。國(guó)家煙草專賣局煙草經(jīng)濟(jì)信息中心：提供包括組織、提供標(biāo)準(zhǔn)、項(xiàng)目調(diào)研、討論、宣講和推廣等多方面的支持工作。浙江中煙工業(yè)有限責(zé)任公司：中國(guó)電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會(huì)工業(yè)控制系統(tǒng)信息安全防護(hù)能力推進(jìn)分會(huì)委員單位。主要在工控系統(tǒng)風(fēng)險(xiǎn)評(píng)估、工廠網(wǎng)絡(luò)安全防護(hù)體系等工業(yè)控制安全防護(hù)領(lǐng)域協(xié)助編制工作。湖北中煙工業(yè)有限責(zé)任公司：生產(chǎn)制造裝備覆蓋較為全面，具有實(shí)踐經(jīng)驗(yàn)豐富、業(yè)務(wù)能力突出，主要在標(biāo)準(zhǔn)化、電氣技術(shù)、網(wǎng)絡(luò)技術(shù)、設(shè)備安全等領(lǐng)域協(xié)助編制工作。云南中煙工業(yè)有限責(zé)任公司：全國(guó)19家卷煙工業(yè)企業(yè)中產(chǎn)銷規(guī)模最大的省級(jí)中煙公司，生產(chǎn)線齊全。通過在工控安全積累的較豐富的實(shí)踐經(jīng)驗(yàn)，協(xié)助編制工作。上海煙草機(jī)械有限責(zé)任公司：中國(guó)第一家從事煙草機(jī)械產(chǎn)品研發(fā)和生產(chǎn)制造的生產(chǎn)企業(yè)，協(xié)助標(biāo)準(zhǔn)的制定和修訂。常德煙草機(jī)械有限責(zé)任公司：行業(yè)的卷接設(shè)備制造基地，協(xié)助標(biāo)準(zhǔn)的制定和修訂。許昌煙草機(jī)械有限責(zé)任公司：專業(yè)從事濾棒成型和輔聯(lián)物流設(shè)備研發(fā)制造企業(yè)，協(xié)助標(biāo)準(zhǔn)的制定和修訂。1.3主要工作過程（起草、試驗(yàn)驗(yàn)證、征求意見、送審、報(bào)批等環(huán)節(jié)及項(xiàng)目研討會(huì)等內(nèi)容）4本項(xiàng)目主要工作過程如下：2024年4月，由中國(guó)煙草機(jī)械集團(tuán)有限責(zé)任公司牽頭成立項(xiàng)目組，正式啟動(dòng)標(biāo)準(zhǔn)制定工作。項(xiàng)目組組織召開標(biāo)準(zhǔn)啟動(dòng)會(huì)暨第一次工作會(huì)，各與會(huì)代表對(duì)編制大綱內(nèi)容進(jìn)行充分討論，重點(diǎn)對(duì)標(biāo)準(zhǔn)項(xiàng)目的重要意義、編制的工作范圍、原則、內(nèi)容框架等內(nèi)容進(jìn)行了研討，形成一致意見。會(huì)議確定項(xiàng)目實(shí)施組織機(jī)構(gòu)及分工、實(shí)施進(jìn)度計(jì)劃，初步討論了《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》總體（2）調(diào)查研究，編制技術(shù)報(bào)告。2024年5月，為了解行業(yè)煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全現(xiàn)狀，從工控和智能系統(tǒng)的硬件安全性能、工控和智能系統(tǒng)的軟件安全性能、工控和智能系統(tǒng)的網(wǎng)絡(luò)安全性能、工控和智能系統(tǒng)的人機(jī)界面安全性能入手，更全面地了解行業(yè)內(nèi)外設(shè)備工控和智能系統(tǒng)安全趨勢(shì)的發(fā)展情況，并為制定未來的發(fā)展規(guī)劃提供參考。同時(shí)，也可以發(fā)現(xiàn)目前行業(yè)內(nèi)外設(shè)備工控和智能系統(tǒng)安全技術(shù)存在的不足，為進(jìn)一步提高設(shè)備工控和智能系統(tǒng)安全性能提供參考。（3）確定框架，細(xì)化分工根據(jù)調(diào)研情況擬定了標(biāo)準(zhǔn)主要框架內(nèi)容。確定由6個(gè)部分系列標(biāo)準(zhǔn)組成，包括“第1部分：范圍”“第2部分：規(guī)范性引用5文件”“第3部分：術(shù)語(yǔ)和定義”“第4部分：煙機(jī)工控和智能系統(tǒng)結(jié)構(gòu)”“第5部分：煙機(jī)工控和智能系統(tǒng)安全保護(hù)對(duì)象”“第6部分：煙機(jī)工控和智能設(shè)備安全要求”。同時(shí)，經(jīng)過充分討論，基本明確了各個(gè)部分的主要內(nèi)容。根據(jù)6大部分內(nèi)容，細(xì)化了任務(wù)分工，由中國(guó)煙草機(jī)械集團(tuán)有限責(zé)任公司牽頭，煙草經(jīng)濟(jì)信息中心，浙江、湖北、云南中煙工業(yè)有限責(zé)任公司，上海、常德、許昌煙草機(jī)械有限責(zé)任公司配合。（4）完善大綱，細(xì)化內(nèi)容，擬定初稿。2024年6月，在浙江中煙召開“工控及智能系統(tǒng)工控安全技術(shù)標(biāo)準(zhǔn)討論交流會(huì)”，開展了為期3天的標(biāo)準(zhǔn)集中編制和研討工作。經(jīng)充分研討，確定了6大部分組成的可行性及基礎(chǔ)組成框架，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第一版）。（5）修改完善，形成征求意見稿。2024年7月，組織騰訊會(huì)議對(duì)討論稿進(jìn)行討論，確定了詳細(xì)的網(wǎng)絡(luò)拓?fù)鋱D及技術(shù)要求部分修訂意見，并于會(huì)后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第二版），分發(fā)各配合單位研討。2024年8月，在云南中煙開展工控和智能系統(tǒng)安全標(biāo)準(zhǔn)研討會(huì)，對(duì)討論稿第二版集中研討交流。對(duì)“第5部分：煙機(jī)工控和智能系統(tǒng)安全保護(hù)對(duì)象”“第6部分：煙機(jī)工控和智能設(shè)備安全要求”內(nèi)容進(jìn)行了修改完善，并于會(huì)后進(jìn)行了詳細(xì)編制調(diào)6整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第三版），分發(fā)各配合單位研討。2024年9月，組織騰訊會(huì)議對(duì)討論稿第三版進(jìn)行討論，調(diào)整了網(wǎng)絡(luò)拓?fù)渲懈鲗哟蔚亩x及技術(shù)要求的內(nèi)容整合，并于會(huì)后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（討論稿第四版），分發(fā)各配合單位研討。2024年10月，組織騰訊會(huì)議對(duì)討論稿第四版進(jìn)行討論，增分：術(shù)語(yǔ)和定義”的合理性及規(guī)范性，并對(duì)全篇的格式進(jìn)行了規(guī)范調(diào)整，于會(huì)后進(jìn)行了詳細(xì)編制調(diào)整，形成《煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求》（征求意見稿）。2相關(guān)領(lǐng)域的國(guó)內(nèi)外標(biāo)準(zhǔn)研究和制修訂情況2.1國(guó)外機(jī)構(gòu)及組織相關(guān)研究情況國(guó)際電工委員會(huì)（IEC）制定的IEC62443《工業(yè)通信網(wǎng)絡(luò)-網(wǎng)絡(luò)和系統(tǒng)安全》是一個(gè)基于國(guó)際標(biāo)準(zhǔn)的網(wǎng)絡(luò)安全框架，旨在為工業(yè)自動(dòng)化系統(tǒng)（ICS系統(tǒng)）的安全運(yùn)行提供支持，涵蓋設(shè)計(jì)、實(shí)施及管理等多個(gè)方面。為此，該系列中的各種標(biāo)準(zhǔn)規(guī)定了適用于組件制造商、系統(tǒng)集成商和運(yùn)營(yíng)商的規(guī)則，全面涵蓋了自動(dòng)化領(lǐng)域的信息安全問題，包括物理安全、網(wǎng)絡(luò)安全、訪問控制、數(shù)據(jù)保護(hù)等。其中IEC62443-2-1描述了網(wǎng)絡(luò)信息安全管理系統(tǒng)所要求的元素和工作流程，IEC62443-3-3描述了工業(yè)762443-4-1是從產(chǎn)品開發(fā)維度要求組件制造商必須確保產(chǎn)品的安全，IEC62443-4-2則提出了設(shè)備和系統(tǒng)制造商要實(shí)現(xiàn)產(chǎn)品安全交互。目前，IEC62443標(biāo)準(zhǔn)已被廣泛應(yīng)用于各種行業(yè)，包括化工、電力、水處理、交通運(yùn)輸?shù)?。許多國(guó)家也將IEC62443標(biāo)準(zhǔn)列為必要的網(wǎng)絡(luò)安全要求，包括美國(guó)、加拿大、德國(guó)、荷美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)制定了工業(yè)控制系統(tǒng)安全指南(NIST.SP800.82)。NIST.SP800.82指南是為應(yīng)對(duì)日益增多的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)攻擊而制定的。這些攻擊已經(jīng)在不同行業(yè)和領(lǐng)域中造成了大量的損失。例如，2008年，烏克蘭的一座煤礦遭受了網(wǎng)絡(luò)攻擊，使得礦井的電力系統(tǒng)癱瘓，導(dǎo)致了兩名工人的死亡。類似的攻擊事件還有2015年烏克蘭電網(wǎng)攻擊事件等。這些事件表明，設(shè)備工業(yè)控制和智能系統(tǒng)的安全已成為一個(gè)迫切的問題。NIST.SP800.82指南包含了以下內(nèi)容：工業(yè)控制系統(tǒng)的基本概念和定義、工業(yè)控制系統(tǒng)特性，面臨的威脅和脆弱性風(fēng)險(xiǎn)、工業(yè)控制系統(tǒng)安全程序開發(fā)與部署、工業(yè)控制系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)、工業(yè)控制系統(tǒng)安全控制等。該標(biāo)準(zhǔn)旨在保護(hù)ICS的安全性，為工業(yè)控制系統(tǒng)的設(shè)計(jì)、制造、測(cè)試、使用和維護(hù)提供了重要的指導(dǎo)和建議。2.2國(guó)內(nèi)相關(guān)部門及組織研究情況我國(guó)的工業(yè)主管部門及相關(guān)機(jī)構(gòu)也制定了多項(xiàng)工控安全防護(hù)指南及標(biāo)準(zhǔn)，如表1所示。例如，工業(yè)和信息化部印發(fā)《工8業(yè)控制系統(tǒng)信息安全防護(hù)指南》，為國(guó)內(nèi)工業(yè)企業(yè)制定工控安全防護(hù)實(shí)施方案提供指導(dǎo)方向。該文件充分體現(xiàn)了《國(guó)家網(wǎng)絡(luò)安全法》中網(wǎng)絡(luò)安全支持與促進(jìn)、網(wǎng)絡(luò)運(yùn)行安全、網(wǎng)絡(luò)信息安全、監(jiān)測(cè)預(yù)警與應(yīng)急處置等法規(guī)在工控安全領(lǐng)域的要求，是《國(guó)家網(wǎng)絡(luò)安全法》在工業(yè)領(lǐng)域的具體應(yīng)用。突出了工業(yè)企業(yè)主體責(zé)任，根據(jù)我國(guó)工控安全管理工作實(shí)踐經(jīng)驗(yàn)，面向工業(yè)企業(yè)提出工控安全防護(hù)要求，確立企業(yè)作為工控安全責(zé)任主體，要求企業(yè)明確工控安全管理責(zé)任人，落實(shí)工控安全責(zé)任制。考慮我國(guó)工控安全現(xiàn)狀，強(qiáng)調(diào)了工業(yè)控制系統(tǒng)全生命周期安全防護(hù)，涵蓋工業(yè)控制系統(tǒng)設(shè)計(jì)、選型、建設(shè)、測(cè)試、運(yùn)行、檢修、廢棄各階段防護(hù)工作要求，從安全軟件選型、訪問控制策略構(gòu)建、數(shù)據(jù)安全保護(hù)、資產(chǎn)配置管理等方面提出了具體實(shí)施細(xì)則。1234567899全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)（SAC/TC260）提出《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》（GB/T32919-2016指南針對(duì)各行業(yè)使用的工業(yè)控制系統(tǒng)給出的安全控制應(yīng)用基本方法，是指導(dǎo)選擇、裁剪、補(bǔ)償和補(bǔ)充工業(yè)控制系統(tǒng)安全控制，形成適合組織需要的安全控制基線，以滿足組織對(duì)工業(yè)控制系統(tǒng)安全需求，實(shí)現(xiàn)對(duì)工業(yè)控制系統(tǒng)進(jìn)行適度、有效的風(fēng)險(xiǎn)控制管理。本標(biāo)準(zhǔn)提供了可用于工業(yè)控制系統(tǒng)的安全控制列表，規(guī)約了工業(yè)控制系統(tǒng)的安全控制選擇過程，以便構(gòu)造工業(yè)控制系統(tǒng)的安全解決方案。為工業(yè)控制系統(tǒng)信息安全設(shè)計(jì)、實(shí)現(xiàn)、整改工作提供指導(dǎo)，也為工業(yè)控制系統(tǒng)信息安全運(yùn)行、風(fēng)險(xiǎn)評(píng)估和安全檢查工作提供參考。中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布的《信息安全技術(shù)—網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）中第5部分對(duì)工控安全進(jìn)行詳細(xì)描述，并專門對(duì)工控分層模型等內(nèi)容進(jìn)行了描述。該部分規(guī)定了工控和智能系統(tǒng)應(yīng)實(shí)現(xiàn)相應(yīng)級(jí)別的安全通用要求之外，還擴(kuò)展了包括身份鑒別、訪問控制和安全審計(jì)等安全要求。如控制設(shè)備應(yīng)進(jìn)行安全性檢測(cè)，并通過專用設(shè)備和專用軟件進(jìn)行更新。相應(yīng)的控制設(shè)備應(yīng)關(guān)閉或拆除軟盤驅(qū)動(dòng)、光盤驅(qū)動(dòng)、USB接口、串行口或多余網(wǎng)口等，并使用專用設(shè)備和專用軟件進(jìn)行更新。組織在采購(gòu)和使用工控和智能系統(tǒng)重要設(shè)備時(shí)應(yīng)通過專業(yè)機(jī)構(gòu)的安全性檢測(cè)。該擴(kuò)展部分適用于工控和智能系統(tǒng)擁有者、使用者、設(shè)計(jì)實(shí)現(xiàn)者以及信息安全管理部門，為工控和智能系統(tǒng)信息安全設(shè)計(jì)、實(shí)現(xiàn)、整改工作提供指導(dǎo)，也為工控和智能系統(tǒng)信息安全運(yùn)行、風(fēng)險(xiǎn)評(píng)估和安全檢查工作提供參考。3標(biāo)準(zhǔn)編制原則及主要內(nèi)容確定的依據(jù)3.1標(biāo)準(zhǔn)適用范圍本文件規(guī)定了煙草機(jī)械設(shè)備工控與智能系統(tǒng)結(jié)構(gòu)、安全保護(hù)對(duì)象及安全要求。本文件適用于國(guó)產(chǎn)煙草機(jī)械設(shè)備的設(shè)計(jì)、制造、安裝、調(diào)試、測(cè)試、組網(wǎng)、運(yùn)行及改造。3.2標(biāo)準(zhǔn)編制原則本項(xiàng)目標(biāo)準(zhǔn)編制原則如下：一是符合國(guó)家相關(guān)政策導(dǎo)向，充分與行業(yè)政策有效銜接。二是面向煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全的本質(zhì)需求，堅(jiān)持三是突出行業(yè)特色，處理好適用性、包容性與多元化的關(guān)四是充分體現(xiàn)煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全發(fā)展趨勢(shì)，堅(jiān)持前瞻性和落地性相結(jié)合。五是保持與其他相關(guān)標(biāo)準(zhǔn)協(xié)調(diào)一致性，把握好標(biāo)準(zhǔn)的廣度3.3標(biāo)準(zhǔn)主要內(nèi)容確定的依據(jù)(如標(biāo)準(zhǔn)主要技術(shù)指標(biāo)、參數(shù)、公式、性能要求、試驗(yàn)方法、檢驗(yàn)規(guī)則等確定的依據(jù)，如相關(guān)試驗(yàn)、驗(yàn)證、調(diào)研、統(tǒng)計(jì)分析情況及數(shù)據(jù)等)本標(biāo)準(zhǔn)的主要內(nèi)容包括：范圍、規(guī)范性引用文件、術(shù)語(yǔ)和定義、煙機(jī)工控和智能系統(tǒng)結(jié)構(gòu)、煙機(jī)工控和智能系統(tǒng)安全保護(hù)對(duì)象、煙機(jī)工控和智能設(shè)備安全要求6個(gè)部分，其中后4個(gè)部分內(nèi)容確定的依據(jù)如下：（1）術(shù)語(yǔ)和定義本章節(jié)依據(jù)《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全術(shù)語(yǔ)、概念和模型》（GB/T40211）和《信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》（GB/T41400）中術(shù)語(yǔ)和定義內(nèi)容，對(duì)在煙草機(jī)械設(shè)備行業(yè)中的專用術(shù)語(yǔ)進(jìn)行了補(bǔ)充。其中GB/T40211和GB/T41400引入了目前被廣泛接受和認(rèn)可的IEC/TS62443-1-1:2009《工業(yè)通信網(wǎng)絡(luò)網(wǎng)絡(luò)和系統(tǒng)安全第1-1部分：術(shù)語(yǔ)、概念和模型》中的術(shù)語(yǔ)和定義，這些術(shù)語(yǔ)和定義基本上全面覆蓋了工業(yè)控制系統(tǒng)安全相關(guān)的內(nèi)容，項(xiàng)目組按照“術(shù)語(yǔ)和定義”不再進(jìn)行內(nèi)容重復(fù)的原則，最終確定在本標(biāo)準(zhǔn)中用裝置”“智能數(shù)據(jù)采集與控制裝置”“網(wǎng)絡(luò)邊界”等5個(gè)煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全技術(shù)要求的關(guān)鍵術(shù)語(yǔ)和定義進(jìn)行規(guī)定。（2）煙機(jī)工控和智能系統(tǒng)結(jié)構(gòu)隨著計(jì)算機(jī)、通訊、控制技術(shù)的飛速發(fā)展，滿足煙草機(jī)械設(shè)備控制要求的工控系統(tǒng)組合愈來愈多，工控系統(tǒng)構(gòu)架中的基本元素更加豐富，單一元素的功能越來越強(qiáng)大。國(guó)外FOCKE和意大利GD等為代表的煙草機(jī)械企業(yè)都推出了各自的煙草技術(shù)設(shè)備工控系統(tǒng)，他們的工控系統(tǒng)架構(gòu)中基本都包含：監(jiān)控系統(tǒng)（HMI）--通訊總線→特殊功能模塊/主控器--控制總線→驅(qū)動(dòng)系統(tǒng)/分布式I/O→檢測(cè)器件/執(zhí)行器件等組件。圖1德國(guó)Hauni公司M5卷接機(jī)組及工控系統(tǒng)架構(gòu)圖圖2德國(guó)Hauni公司PROTOS2-2卷接機(jī)組圖3德國(guó)FOCKE公司FC800硬盒包裝機(jī)組及工控系統(tǒng)架構(gòu)圖圖4德國(guó)FOCKE公司F8硬盒包裝機(jī)組及工控系統(tǒng)架構(gòu)圖圖5意大利GD公司GDX6S軟盒包裝機(jī)組及工控系統(tǒng)架構(gòu)圖近年來，隨著工控系統(tǒng)軟硬件技術(shù)和性能的不斷提高，用于工控系統(tǒng)的各組件性能均得到提升：HMI由觸摸屏（TS）發(fā)展到工控機(jī)（IPC）；主控器由可編程邏輯控制器（PLC）發(fā)展到工控機(jī)（IPC）；驅(qū)動(dòng)系統(tǒng)由單一驅(qū)動(dòng)功能發(fā)展到控制+驅(qū)動(dòng)功能；總線技術(shù)由傳統(tǒng)的中速現(xiàn)場(chǎng)總線發(fā)展到高速工業(yè)以太網(wǎng)，而上述工控系統(tǒng)元素的性能提升意味著工控系統(tǒng)架構(gòu)節(jié)點(diǎn)功能的增強(qiáng)：主控器IPC可集成特殊功能模塊的控制功能；監(jiān)控系統(tǒng)（HMI）IPC可完成主控器的控制功能；伺服系統(tǒng)控制器可滿足主控器功能；工業(yè)以太網(wǎng)將控制總線和通訊總線合二為一等。為加快國(guó)產(chǎn)煙機(jī)工控系統(tǒng)技術(shù)進(jìn)步，煙機(jī)公司于2008年批準(zhǔn)成立了煙機(jī)產(chǎn)品統(tǒng)一電控平臺(tái)的項(xiàng)目組開展國(guó)產(chǎn)煙機(jī)工控系統(tǒng)研究，經(jīng)過多年的實(shí)踐、改進(jìn)和完善，逐漸形成了以倍福IPC為控制核心，以ETHERCAT總線為主、PROFIBUS/PROFINET和ADS通訊協(xié)議，符合數(shù)據(jù)規(guī)范和通訊協(xié)議的伺服控制系統(tǒng)，并包含適合整個(gè)生產(chǎn)線的人機(jī)界面的符合技術(shù)發(fā)展和滿足煙機(jī)產(chǎn)品需求的完整的解決方案。形成方案后，煙機(jī)公司組織在ZJ119（12000支/分）卷接機(jī)組、ZBZB49（600包/分）包裝機(jī)組和ZL29型濾棒成型機(jī)組上進(jìn)行前期試點(diǎn)應(yīng)用，目前已覆蓋國(guó)產(chǎn)煙機(jī)卷接、輔聯(lián)、成型和包裝等主力機(jī)型。該工控系統(tǒng)方案相比目前最主流的卷接包和成型機(jī)組的電控系統(tǒng)，在硬件選型上更為新型，在系統(tǒng)構(gòu)架上更為合理，操作系統(tǒng)更為主流，在編程環(huán)境更為人性化，性能指標(biāo)有了大幅提高，形成較大的階段性的突破。隨著煙草行業(yè)智能化、數(shù)字化建設(shè)的快速發(fā)展，煙草機(jī)械設(shè)備也在加快向智能化、數(shù)字化轉(zhuǎn)型，煙機(jī)公司在各控股企業(yè)設(shè)備智能管理系統(tǒng)行業(yè)應(yīng)用的基礎(chǔ)上，通過統(tǒng)一界面設(shè)計(jì)風(fēng)格、統(tǒng)一功能定義、統(tǒng)一技術(shù)架構(gòu)、統(tǒng)一數(shù)據(jù)標(biāo)準(zhǔn)、統(tǒng)一技術(shù)資料標(biāo)準(zhǔn)，融合推出集團(tuán)公司統(tǒng)一標(biāo)準(zhǔn)化的“煙機(jī)設(shè)備智能管理系統(tǒng)”（TIMS：Tobacco-machineryIntelligentManagementSystem完成ZB25/28/45/47/48//415/416/417等包裝機(jī)組、YF17A/ZF19輔聯(lián)設(shè)備TIMS系統(tǒng)研發(fā)，截至目前，行業(yè)卷接、包裝、輔聯(lián)和成型設(shè)備TIMS系統(tǒng)應(yīng)用設(shè)中包裝機(jī)組171組、卷接機(jī)組141組、成型機(jī)組1組、輔聯(lián)設(shè)（IEC62264-1）中經(jīng)典層級(jí)模型，按照功能從上到下分為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。其中現(xiàn)場(chǎng)設(shè)備層主要由執(zhí)行器、傳感器等構(gòu)成，負(fù)責(zé)生產(chǎn)中的物理變量和電信號(hào)轉(zhuǎn)換，以及數(shù)據(jù)采集和控制命令執(zhí)行，是智能制造數(shù)字化的基礎(chǔ)。這一層的設(shè)備直接與生產(chǎn)現(xiàn)場(chǎng)的物理過程交互，為整個(gè)控制系統(tǒng)提供了最原始的數(shù)據(jù)來源?，F(xiàn)場(chǎng)控制層由DCS控制器、PLC等組成，接收現(xiàn)場(chǎng)設(shè)備層數(shù)據(jù)并計(jì)算控制量，操作員站和工程師站可實(shí)現(xiàn)多種控制功能，對(duì)現(xiàn)場(chǎng)設(shè)備進(jìn)行監(jiān)視和控制。在這一層，控制指令的生成和執(zhí)行直接影響著生產(chǎn)過程的穩(wěn)定性和準(zhǔn)確性。過程監(jiān)控層涵蓋操作員站、工程師站等，集中監(jiān)控生產(chǎn)現(xiàn)場(chǎng)和狀態(tài)，把控企業(yè)生產(chǎn)狀況。通過對(duì)現(xiàn)場(chǎng)數(shù)據(jù)的匯總和分析，為生產(chǎn)管理提供實(shí)時(shí)的信息支持。生產(chǎn)運(yùn)營(yíng)層包含MES、MIS系統(tǒng)等，實(shí)現(xiàn)生產(chǎn)過程的執(zhí)行管理、數(shù)據(jù)處理和指揮調(diào)度。這一層級(jí)主要負(fù)責(zé)協(xié)調(diào)生產(chǎn)流程，優(yōu)化資源配置，以提高生產(chǎn)效率和質(zhì)量。決策管理層由ERP、CRM等組成，整合各類資源，為企業(yè)管理經(jīng)營(yíng)者提供決策支持?；谌娴臄?shù)據(jù)和分析，幫助企業(yè)制定長(zhǎng)遠(yuǎn)的發(fā)展戰(zhàn)略和決策。本章節(jié)依據(jù)上述材料，并根據(jù)對(duì)煙草機(jī)械設(shè)備行業(yè)主要設(shè)備制造企業(yè)和卷煙工業(yè)企業(yè)等用戶的調(diào)研結(jié)果，提出了典型煙機(jī)工控和智能系統(tǒng)組成架構(gòu)。典型煙機(jī)工控和智能系統(tǒng)組成架構(gòu)包括了現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過程監(jiān)控層及工業(yè)通訊網(wǎng)絡(luò)，各層設(shè)備通過網(wǎng)絡(luò)互聯(lián)，完成設(shè)備端實(shí)時(shí)信號(hào)的傳送，達(dá)到檢測(cè)和控制的目的。本章節(jié)中使用拓?fù)涫疽鈭D表示了典型煙機(jī)工控和智能系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)，同時(shí)對(duì)現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過程監(jiān)控層及工業(yè)通訊網(wǎng)絡(luò)的組成以及功能作出了規(guī)定。其中：現(xiàn)場(chǎng)設(shè)備層由伺服系統(tǒng)、I/O系統(tǒng)、專用裝置、智能數(shù)據(jù)采集與控制裝置組成；現(xiàn)場(chǎng)控制層由控制器及控制程序組成；過程監(jiān)控層由人機(jī)界面組成；工業(yè)通訊網(wǎng)絡(luò)由現(xiàn)場(chǎng)總線及工業(yè)以太網(wǎng)（3）煙機(jī)工控和智能系統(tǒng)安全保護(hù)對(duì)象本章節(jié)依據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239）中“5.1等級(jí)保護(hù)對(duì)象”，同時(shí)經(jīng)過多次專題會(huì)議技術(shù)研討，項(xiàng)目組確定將保護(hù)對(duì)象明確為“現(xiàn)場(chǎng)設(shè)備層、現(xiàn)場(chǎng)控制層、過程監(jiān)控層、工業(yè)通訊網(wǎng)絡(luò)”。其中：智能數(shù)據(jù)采集與控制裝置及通用安全防護(hù)的安全要求；現(xiàn)場(chǎng)控制層安全要求應(yīng)包括控制器和控制程序及通用安全防護(hù)的安全要求；過程監(jiān)控層安全要求應(yīng)包括人機(jī)界面及通用安全防護(hù)的安全要求；工業(yè)通訊網(wǎng)絡(luò)要求應(yīng)包括現(xiàn)場(chǎng)總線及工業(yè)以太網(wǎng)的安全要（4）煙機(jī)工控和智能設(shè)備安全要求本章節(jié)依據(jù)《息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型》（GB/T41400）中“工業(yè)控制系統(tǒng)信息安全防護(hù)能力成熟度模型架構(gòu)圖”的能力建設(shè)過程維度，即涵蓋工業(yè)設(shè)備安全、工業(yè)主機(jī)安全、工業(yè)網(wǎng)絡(luò)邊界安全、工業(yè)控制軟件安全、工業(yè)數(shù)據(jù)安全5個(gè)過程類的安全要求，以及《信息安全技術(shù).信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239）中“整體安全保護(hù)”的規(guī)定，在具體的條款起草編寫過程中，項(xiàng)目組充分聽取和參考了煙機(jī)設(shè)備制造企業(yè)、卷煙工業(yè)企業(yè)等用戶和行業(yè)外標(biāo)桿企業(yè)以及，反復(fù)推敲討論了本標(biāo)準(zhǔn)文件發(fā)布后的落地執(zhí)行的具體情形，提煉出了“行業(yè)最佳實(shí)踐”具體條款內(nèi)容，最后明確現(xiàn)場(chǎng)設(shè)備層安全要求、現(xiàn)場(chǎng)控制層安全要求、過程監(jiān)控層安全要求、工業(yè)通訊網(wǎng)絡(luò)安全要求及其他相關(guān)安全要求，為煙草企業(yè)開展煙草機(jī)械設(shè)備工控和智能系統(tǒng)安全防護(hù)建設(shè)提供依據(jù)?，F(xiàn)場(chǎng)設(shè)備層安全要求包括伺服系統(tǒng)、I/O系統(tǒng)、專用裝置、智能數(shù)據(jù)采集與控制裝置及通用安全防護(hù)的安全要求。其中，伺服系統(tǒng)安全主要包含防止未經(jīng)授權(quán)的設(shè)備接入、數(shù)據(jù)傳輸要求及與過程監(jiān)控層的數(shù)據(jù)交互形式的限制；I/O系統(tǒng)安全要求包含對(duì)外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳送要求、數(shù)據(jù)的安全性及校驗(yàn)功能要求；專用裝置對(duì)外部網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)南拗疲恢悄軘?shù)據(jù)采集與控制裝置安全要求包含安全性認(rèn)證、安全保護(hù)機(jī)制、數(shù)據(jù)傳輸安全性及校驗(yàn)和數(shù)據(jù)完整性檢查要求?，F(xiàn)場(chǎng)控制層安全要求包括控制器和控制程序及通用安全防護(hù)的安全要求。其中，控制器和控制程序的安全要求包含網(wǎng)絡(luò)安全的認(rèn)證、控制器設(shè)備的安全功能控制手段、外接存儲(chǔ)設(shè)備接入限制、上線前安全性檢測(cè)及安全審計(jì)；通用安全防護(hù)要求包含網(wǎng)絡(luò)隔離措施、接入設(shè)備安全檢測(cè)、深度包檢測(cè)功能防護(hù)。過程監(jiān)控層安全要求包括人機(jī)界面及通用安全防護(hù)的安全要求。其中，人機(jī)界面的安全要求包含主機(jī)安全要求、權(quán)限管控要求、數(shù)據(jù)庫(kù)連接要求、工業(yè)控制軟件及智能管理軟件安全要求；通用安全防護(hù)要求包含日志審計(jì)要求、網(wǎng)段隔離要求、移動(dòng)存儲(chǔ)介質(zhì)使用要求、安全軟件兼容性測(cè)試、上線過程中調(diào)試環(huán)境安全可控要求、補(bǔ)丁處理要求、網(wǎng)絡(luò)邊界防護(hù)要求、網(wǎng)絡(luò)安全審計(jì)要求。工業(yè)通訊網(wǎng)絡(luò)要求包括現(xiàn)場(chǎng)總線及工業(yè)以太網(wǎng)的安全要求。其中，現(xiàn)場(chǎng)總線的安全要求包含數(shù)據(jù)的實(shí)時(shí)性完整性和準(zhǔn)確性工業(yè)以太網(wǎng)的安全要求包含業(yè)務(wù)網(wǎng)絡(luò)隔離要求、防止未經(jīng)授權(quán)訪問要求、安全通信機(jī)制要求、設(shè)備管理功能要求。其他相關(guān)安全要求包含安全管理機(jī)制要求、數(shù)據(jù)的敏感性和保密性及對(duì)外傳輸按照分類分級(jí)要求、工業(yè)以太網(wǎng)工控系統(tǒng)網(wǎng)絡(luò)及智能系統(tǒng)網(wǎng)絡(luò)隔離要求、往外部傳輸數(shù)據(jù)的唯一出口要求、外接裝置接入要求、對(duì)外安全日志接口要求及進(jìn)口煙機(jī)參照?qǐng)?zhí)行要求。3.4本標(biāo)準(zhǔn)與被修訂標(biāo)準(zhǔn)在標(biāo)準(zhǔn)技術(shù)內(nèi)容、水平方面的對(duì)比情況本標(biāo)準(zhǔn)屬于行業(yè)煙草機(jī)械設(shè)備工控和智能系