智慧产业建设引领者
科远智慧
SyncIS系列工控网络安全产品
股票代码:002380
目录
USB 安全管理系统
工控隔离网闸
工控安全审计系统
工控入侵检测系统
日志审计与分析系统
漏洞扫描系统
运维安全审计系统
工控集中安全管理系统
设备清单
解决方案
火电行业
水电行业
化工行业
冶金行业
智能制造行业
主机安全加固系统
产品分类
04
05
06
07
08
09
10
11
12
13
14
15
17
19
21
23
公司介绍 01
工业防火墙
002380
深交所A股上市企业
10+
10多家子公司布局智慧产业各个领域
2000+
2000多名员工,85%以上本科学历
200,000m2
九龙湖、滨江两大园区,20万m2产业基地
智慧工业
让工业充满智慧 让智慧创造价值
智慧城市
让城市更智慧 让生活更美好
科远智慧
中国工业自动化与信息化规模与品牌价值前三强
工业自动化和信息化产品、技术、服务首选供应商
01
智慧产业引领者 · 工控安全守护者
科远智慧,创立于1993年,深交所主板上市企业(2010年)。作为国家级高新技术企业、国家级制造业单项冠军,
我们始终引领智慧产业建设。
核心驱动,自主创新
科远智慧以自主创新为核心,业务涉及“自动化&智能化”、“产业数字化”等板块,构建覆盖企业安全生产、智慧
管理、安全运营全流程的完整产品体系与解决方案,有力支撑国家“双碳目标”、“数字经济”与“产业链自主可
控核心驱动,自主创新”战略。
工控网络安全:自主可控,筑牢基石
30年技术淬炼,铸就科远智慧工控网络安全领域领军实力。
以 “科技创新×自主可控” 为双引擎,推出 SyncIS全栈式工控网络安全产品矩阵。
赋能行业,安全合规
科远智慧工控网络安全等保合规解决方案,已成功应用于电力、冶金、化工等行业,显著提升企业本质安全水平,
为关键基础设施网络安全保驾护航。
0206
科远智慧的工控网络安全产品体系以“自主可控”为核心,围绕
终端、边界、检测、管理四大板块构建纵深防御能力,深度融合
国产化硬件、加密技术及智能平台,在全面满足等保2.0的基础
上,为工业关键基础设施提供全栈防护。
主机安全加固系统
USB安全管理系统
工控安全审计系统
日志审计与分析系统
工控入侵检测系统
漏洞扫描系统
工业防火墙
工控隔离网闸
运维安全审计系统
工控集中安全管理系统
工控网络安全产品
03 安全检测类
终端防护类
边界防护类
安全管理类
科远智慧主机安全加固系统是一款内核级的跨平台安全产品,它
通过运用安全标记、访问控制以及完整性保护等技术手段,提升
了操作系统的防护能力。该系统能够有效地抵御外部攻击和内部
信息泄露,阻止恶意代码的执行和越权访问行为,全面符合等保
2.0标准的要求。
04
提供基于标记的强制访问控制,支持对操作系统
的各类重要资源进行安全保护;提供非法外联探
测,防止信息外泄;保障系统的完整与资源的安
全使用。
主机安全加固系统
功能特点
产品优势
满足等保2.0要求
采用白名单管控机制,可一键固化系统运行环
境,实现安装即防护。系统支持程序白名单共享
部署,并运用独有的补丁追踪技术和智能更新捕
获技术,确保软件安全更新。
系统保护更全面
采用白名单机制实现U盘精细化管控,支持基于设
备类别、供应商ID及产品编号的USB外设精准控
制,有效防范U盘滥用与病毒传播,同时提供对
5G网卡、无线热点、无线网卡及拨号连接等网络
接入方式的细粒度策略管控。
设备管控更精细
支持Windows2000至Windows11操作系统,支
持RedHat、CentOS、Ubuntu、SUSE等主流
Linux系统,支持麒麟、统信、凝思、湖南麒麟、
OpenEuler等国产操作系统。
平台兼容更优越
系统保护更全面 设备管控更精细 用户身份认证更严格 等保更合规 平台兼容更优越
05
科远智慧USB安全管理系统是一款专业级的移动存储安全管控产
品,它通过设备认证、访问授权、病毒查杀以及操作审计等核心功
能,实现对USB设备全生命周期的安全管理。该系统在确保用户便
捷文件传输的同时,可有效遏制了病毒的传播风险,保障数据传输
的安全性和可靠性,为业务系统提供坚实的安全防护。
基于设备唯一性标识对USB移动存储设备进行入
网授权,实现USB存储设备安全接入管控,未经
过授权的外部移动存储介质一律禁止使用。
获得“USB 移动存储介质管理系统(三级)”网专证书
提供物理隔离、病毒隔离、文件隔离三重防护
USB 安全管理系统
功能特点
产品优势
白名单式设备接入控制
使用专业病毒库,自动对插入系统的USB移动存
储设备进行病毒扫描,对扫描出的病毒文件进行
告警、隔离或删除。
设备病毒查杀
支持根据文件后缀、特征值设置文件白名单,自
动屏蔽高风险文件;支持对文件后缀设置黑名
单,防止重要敏感文件的外泄。
文件黑白名单管控
可以通过WEB、FTP、SFTP、UNC、OTG以及专
用C/S客户端等访问方式,多样化访问USB移动存
储设备上的资源,满足各类新老系统使用环境的
要求。
多样化的访问方式
多层次的安全防护 全面的工控协议支持 便捷的安全防护规则构建 灵活的部署管理
06 科远智慧工业防火墙是一款专为工业控制系统量身打造的边界防护
产品。它通过深度解析工业协议、识别威胁特征以及应用可信白名
单技术,实现了安全域之间的有效隔离,并提供内外网攻击的防护
措施,确保工控系统的安全与稳定运行。。
可识别近百种工业协议,可对OPC、Modbus、Profibus、SiemensS7、EtherNetIP、IEC104、DNP3、
IEC61850、Profinet、 BacNet、Omron Fins、MELSEC-Q、SCNet、SONet、MQTT 等30余种主流工业协议进行
深度解析,同时支持以自定义的方式对私有协议进行适配。
工业防火墙
功能特点
产品优势
工控协议深度解析更全面
支持对主流工控协议进行值域级的精准指令控
制,如协议的功能码、寄存器值、数据类型、服
务码等,都可进行细粒度内容管控,实现对所有
工业通信数据包的深度检测,防止异常指令攻击
行为的发生。
工控指令管控更精准
支持透明模式和路由模式部署,路由模式下支持
静态路由、动态路由(OSPF)和策略路由 , 适应
复杂的工业网络环境;同时支持测试模式和工作
模式,方便实施部署。
网络适应性更强大
物理隔离更充分 集成入侵更安全 协议过滤更彻底
两个独立主机之间通过具有信息摆渡功能的专用隔离部件进行数据摆渡,将数据从内网侧嵌入式主机摆渡至外网侧
嵌入式主机,专用隔离部件是两个嵌入式主机之间唯一的可信物理信道。
功能特点
物理隔离
支 持 对 I C M P 、 U D P 、 T C P 、 A R P 、 U D P
Flood-Attack等网络攻击进行检测防御,当检测
到攻击行为时,能够记录源IP、攻击类型、攻击
目标、攻击时间,并发出告警日志。
集成入侵检测
支持根据源IP、源端口、目的IP、目的端口、源
MAC、目的MAC对UDP和TCP协议进行综合过滤。
协议过滤
科远智慧工控隔离网闸是一款工业级别的硬件隔离设备,其通过协议剥离及内容检测技术,实现
生产网络与管理网络的安全物理隔离,确保数据的单向安全传输,满足等保合规的要求。
工控隔离网闸
产品优势
07
丰富的工控协议支持 多维度的异常监测审计 领先的智能学习引擎
科远智慧工控安全审计系统是一款旁路部署的工业网络安全监测产
品,它利用工控协议深度解析技术,实时监控网络流量并识别异常
行为(包括异常流量、非法接入及违规操作等),同时完整记录网
络数据,为安全审计与事件溯源提供坚实依据。
精准识别近百种工控协议,可对OPC、Modbus、
Profibus、SiemensS7、Ethernet/IP、IEC104、
DNP3、IEC61850、Profinet、BacNet、
OmronFins、MELSEC-Q、SCNet、SONet、MQTT
等30余种主流工业协议进行指令级的深度解析。
工控安全审计系统
功能特点
产品优势
工控协议精准识别与深度分析
持续监测指定工业协议的通信状态,对影响业务
连续性的流量中断事件进行实时报警,及时发现
生产环境中的安全隐患。
业务中断实时报警
详细记录工控业务中的操作行为,如指令变更、负
载变更、组态变更等指令级操作数据,便于对安全
事件进行追溯。
业务操作行为全面审计
实时监测工控网络的运行状态,自动学习正常通
信规则,建立可信行为基线,对网络中的异常指
令和行为进行实时告警。
异常网络状态实时告警
08
全面的日志采集类型
先进的关联分析算法
高效的大数据搜索,快速溯源
多样化自定义报表
科远智慧日志审计与分析系统是一款专为工业控制设计的日志管理
产品,它支持从多种源头采集日志,并进行大数据关联分析,以实
现对安全事件的追溯和审计取证。该系统为工业控制网络的运维工
作提供了智能化的日志分析能力。
系统提供TCP、UDP、SYSLOG、SNMP、FTP、
SFTP、WMI、代理插件上传、文本文件上传等多种
方式进行日志采集,可智能识别各种路由器、交换
机、防火墙、应用系统等设备产生的日志信息。
日志审计与分析系统
功能特点
产品优势
采用大数据搜索技术,通过垂直搜索引擎对无序
化的信息进行高效检索,使用倒排索引、事件关
联评分机制实现单台设备即可实时检索亿级规模
日志。
大数据搜索技术,快速溯源
利用大数据分析算法,使用非关系型数据库,通
过全内存运算的方式,对事件信息进行复杂的关
联分析与时间序列关联分析处理,对安全威胁事
件进行及时告警。
关联分析算法更先进
系统根据不同的业务场景,预置丰富多样的报表
和各事件板块进行主题数据分析,提供高效、智
能的报表生成工具,轻松整合多源数据,形成全
局数据视野,掌控网络全局。
丰富的自定义报表
日志采集更全面
09
全面的工控协议支持
动态响应的安全检测手段
配置简易,可自定义入侵特征规则库
具备强大报表功能,便于分析与防范
通过预置检测规则检测各种木马、蠕虫、僵尸网
络、缓冲区溢出、DDoS、扫描探测、欺骗劫持等
各类攻击行为。
系统内置了各种工控协议特征库和多个工控厂商
产品的漏洞库、特征库,超过8600种以上。
安全检测能力更强大 威胁特征库更完善
支持OPC、SIEMENSS7、Modbus、Profibus、
IEC104、CIP、MMS、DNP3、PROFINET、FINS等
多种工控协议深度解析,以及值域级粒度的检测。
工控协议解析更深度
系统支持应用识别库,支持2000种以上网络主流
应用的自动识别;同时还支持文件类型识别和深
度内容检测。
海量的应用识别库
科远智慧工控入侵检测系统是一款旁路部署的工业网络安全监测产
品,它通过协议分析和入侵检测引擎实时识别网络攻击行为,具备
高检出率和低误报率的特性。该系统与防火墙共同作用,形成互补
的防护机制,能够满足等级保护和行业合规性的要求。
工控入侵检测系统
功能特点
产品优势
10
丰富的漏洞知识库 无损的扫描技术 覆盖广泛的扫描对象
集工控设备漏扫、系统漏扫、数据库漏扫、弱口令检测、视频安全检测、镜像检测、基线配置核查于一体,能够全
面、精准地检测出工控网络中存在的各类脆弱性风险、安全配置问题、不合规行为、弱口令以及不必要开放的端口
等安全漏洞问题。
功能特点
漏洞检测更精准
漏洞扫描系统采用自主研发的底层核心引擎,支
持资产指纹识别、无损的工控漏洞扫描、以及资
产安全漏洞匹配 等无损化检测技术。
扫描更无损
漏洞知识库兼容CVE、CNNVD、CNVD等主流标
准,漏洞知识库数量160000多条,其中工控专有
的漏洞知识库数量4000多条,漏洞修复建议清
晰、详细、可操作性强。
漏洞知识库更丰富
科远智慧漏洞扫描系统,作为一款专为工业领域打造的硬件产品,
内置了设备指纹识别技术和漏洞数据库。该系统能够对工控设备及
其系统进行全面的扫描检测,旨在提供详尽的安全报告以及针对性
的修复建议,从而实现对安全风险的精确控制。
漏洞扫描系统
产品优势
11
自动化运维等丰富的运维场景支持
深度的数据库运维审计与控制
多种系统和协议的运维全程审计
实时的运维命令审计和阻断
支持基于TELNET、SSH协议的字符终端运维审计;支持RDP、X11、VNC等图形终端运维审计;支持SFTP、
FTP、RDP磁盘通道、剪切板等文件传输操作审计;支持各类关系型通用数据库和国产数据库的运维审计;支持
WEB应用、虚拟机应用等应用终端的运维操作审计。
运维场景支持更丰富
支持被运维系统特权账户的集中化管理,减小账
户信息泄露的风险,实现权限最小化管理。系统
支持账户的定期自动改密,降低特权账户被暴力
破解的风险,满足等保合规的要求。
特权账户管理更集中
支持对字符操作(SSH/TELNET协议)指令或指令
集进行控制,通过指令或指令集黑白名单实现对
操作指令的有效管理。系统内置常见高风险指令
集并可在线对内置高风险指令集进行维护。
运维过程管控更实时
针对重复性的运维工作,支持预置脚本和任务,定
期自动化执行,有效降低运维人员的工作量;自动
运维任务支持超时机制,限定时间内未完成的任务
自动切断运维通道,保障运维安全。
支持自动化运维
系统内置电子工单功能,运维人员可以在线填写
工单,工单经审批通过后,运维人员可立即取得
相应访问权限, 实施运维操作。
工单管理
科远智慧运维安全审计系统通过监控网络及安全设备的操作,实现
账号的集中管理、高强度认证、细粒度权限控制以及协议审计,确
保运维操作全程的可管理性、可控性和可追溯性,有效预防误操作
和越权风险。
运维安全审计系统
功能特点
产品优势
12
集中式的安全策略配置与安全事件管理
可视化的安全设备管控
标准化的安全日志接入与输出
多维度的安全事件关联分析与溯源定位
科远智慧工控集中安全管理系统是一个集成化的管控平台,它通过
集中管理安全设备、策略和日志,并进行综合分析,有效消除了信
息孤岛现象,从而提升了工控网络的整体安全防御能力,并且有助
于降低运维成本。
工控集中安全管理系统
产品优势
支持自定义用户角色,可根据需要配置不同角色的功能使用权限实现用户分权管理;支持安全域管理,可按照企
业的组织架构划分不同的安全域,不同用户具备不同安全域内的安全设备访问权限,实现用户分权分域管理。
用户分权分域管理
集中管理全系列工控安全产品,支持对工控网络
内所有安全设备进行设备信息维护、设备状态监
测、安全策略配置、设备日志采集,实现网络安
全状态可视、策略可管、威胁可控。
安全设备统一管理
可主动或被动识别网络资产,支持自定义编辑网
络节点和网络层级,实现工控网络拓扑可视化。
工控网络拓扑可视化
可对各类安全设备的安全策略进行灵活配置,支持
单点配置、批量应用、模板化管理,并支持通过安
全域划分进行差异化安全策略配置。系统可基于对
工控网络安全状况的检测和评估结果,提供安全策
略配置建议。
灵活多样的策略配置
系统内置丰富的风险知识库和安全策略规则,可
自定义配置各类安全事件指标的阈值、风险等
级、关键字等条件,建立贴合企业安全管理要求
的工控安全风险管理体系。
丰富的安全策略知识库
功能特点
13
14
设备清单(支持自主可控)
产品名称 产品型号 产品描述
主机安全加固系统 SyncIS-SRS
USB安全管理系统 SyncIS-AUG
工业防火墙 SyncIS-IF
工控隔离网闸 Synckeeper
工控安全审计系统 SyncIS-IDA
日志审计与分析系统 SyncIS-SLA
工控入侵检测系统 SyncIS-IDS
漏洞扫描系统 SyncIS-IVSS
运维安全审计系统 SyncIS-OSA
工控集中安全管理系统 SyncIS-IGC
支持应用软件白名单防护、网络安全防护、强制访问控制、外设管
理、日志记录审计。支持Linux系统、支持国产系统、支持
Windows系统等。
支持介质接入管理、介质映射、文件访问控制、策略管理、日志审
计等功能。内置恶意代码库,支持本地恶意代码扫描功能。
支持OPC、Modbus、Siemens S7等工控协议的深度报文解析,支持
白名单自学习,内置工控威胁漏洞库,基础防火墙等功能。
支持将系统边界区域进行物理隔离,同时支持对ICMP、UDP、
TCP 、ARP 、UDP Flood-Attack等网络攻击进行检测防御、协议过
滤、正反向隔离切换。
支持工控网络异常数据或行为识别与检测,工控通讯协议指令级检测
与审计,支持OPC、Modbus、Siemens S7等工控协议的深度报文解
析,流量日志、攻击日志,白名单自学习,数据留存等功能。
支持集群、级联部署;系统功能:日志收集、日志分析、日志规范
化、日志审计、日志联动分析、告警分析、自定义规则等。
支持OPC、Modbus、Siemens S7等工控协议的深度报文解析,支持
工控入侵检测,病毒检测,DDoS攻击检测,应用控制检测,日志与
可视化等功能。并支持网监对接功能。
支持发现工控设备如SCADA、DCS、HMI、PLC等、以及网络设备漏
洞、主机系统漏洞、数据库漏洞、WEB漏洞、工控漏洞、弱口令检
测等问题,并提供安全解决建议。
支持旁路、双机、集群方式部署;支持SSH/RDP/Telnet/VNC动态
智能命令识别、监控、屏幕录相及回放,支持oracle/ftp/web的审
计、命令识别及回放,支持单点登录、密码托管及设备密码管理。
实现设备状态监视、设备发现、报警分析、安全设备管理、安全策
略管理、安全审计日志、用户管理等功能。
15 火电行业解决方案
火电行业作为国家关键信息基础设施的核心组成部分,其网络安全建设在政策法规层面面临严格要求。《网络安全
法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规明确规定了电力行业的网络安全责任义务。特
别是《网络安全等级保护基本要求》(等保2.0)对电力监控系统的安全防护提出了强制性标准要求。
从行业监管角度看,国家发改委27号令《电力监控系统安全防护规定》及配套实施细则构建了电力行业网络安全监
管框架。在技术层面,随着“智慧电厂”建设的推进,传统工业控制系统与信息网络的深度融合使得安全边界日益
模糊。OT与IT系统的互联互通在提升运营效率的同时,也带来了新的攻击路径。
概述
本方案主要依据《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》、GB/T22239-2019《信息安
全技术网络安全等级保护基本要求》、《信息安全技术关键信息基础设施安全保护要求》等规定和标准要求,以及相
关行业和业务需求进行设计编制。
解决方案
边界隔离
为保障火电厂生产控制大区安全防护标准以满足行业
防护需求和建设原则,秉承安全分区网络专用原则,
安全I区内部DCS机组之间利用工业防火墙进行逻辑
隔离,安全I区和安全II区之间部署工控隔离网闸进行
物理隔离。
入侵检测与安全审计
采用旁路方式在交换机部署工控入侵检测系统、工控
安全审计系统,检测生产控制系统中的操作行为和异
常网络行为,便于进行事件取证和定责。
运维管控
为规范电力监控系统运维管理,需部署运维审计系
统,主要三大功能:一是统一账号管理,集中管控
运维人员身份;二是精细权限分配,基于最小权限
原则设置访问控制;三是完整操作审计,全程记录
运维行为。
主机加固
针对火电厂所有操作系统,需部署具备系统加固、白
名单防护、恶意代码拦截、数据访问控制和外设管控
等核心功能的工业主机安全防护系统,以满足电力行
业安全规范要求。
移动介质管控
为保障火电厂生产控制大区安全防护标准以满足行业
防护需求和建设原则,在工控机上可部署USB安全管
理系统,以此做到对移动介质使用的全流程管理。
统一管理
为满足等保要求,需部署工控集中安全管理系统,实
现对工控安全设备数据采集与统一管控,提升电力监
控系统安全监管能力。
拓扑图
16
电
力
调
度
数
据
网
图例 工业防火墙
计算服务器
数据服务器
一号机组 公用系统 二号机组 辅控
系统
NCS
系统
测控单元
锅炉DCS系统 汽机DCS系统 电气系统 锅炉DCS系统 汽机DCS系统 水系统 煤系统 除尘除灰系统
操作站 配置站 历史数据库 接口机 操作站 配置站 接口机 数据服务器 操作站 配置站 历史数据库 接口机 操作站 配置站 接口机 操作站 配置站 接口机
实施分析站 综合管理站
1#DCS
接口机
辅控系统
接口机
纵向加密
装置
纵向加密
装置
公用系统
接口机
打印机 SIS服务器 镜像服务器 其他应用系统
工控安全审计 工控入侵检测 主机加固 工控集中
安全管理
日志审计
与分析系统
运维安全
审计系统
管理信息大区 漏洞扫描 USB安全管理 工控隔离网闸
安全II区
安全I区
2 #DCS
接口机
NCS
接口机
解决方案 边界隔离
为确保水电厂生产控制大区的安全防护标准,满足行
业防护需求及建设原则,遵循安全分区网络专用原
则,安全I区与安全II区之间通过部署工业防火墙实现
逻辑隔离。
入侵检测与安全审计
通过旁路方式在交换机上部署工控入侵检测系统及工
控安全审计系统,以监控生产控制系统中的操作行为
和网络异常行为,便于进行事件追踪和责任归属。
运维管控
为规范电力监控系统的运维管理,必须部署运维审
计系统,其主要功能包括:首先,实现统一账号管
理,以便集中管控运维人员的身份;其次,进行精
细权限分配,依据最小权限原则设置访问控制;最
后,实施完整操作审计,全程记录运维行为。
主机加固
针对水电厂所有操作系统,必须部署具备系统加固、
白名单防护、恶意代码拦截、数据访问控制以及外设
管控等核心功能的工业主机安全防护系统,以满足电
力行业安全规范的要求。
移动介质管控
为确保水电厂生产控制大区的安全防护标准,满足行
业防护需求及建设原则,可在工控机上部署USB安全
管理系统,实现对移动介质使用过程的全面管理。
统一管理
为满足等保要求,必须部署工控集中安全管理系统,
实现工控安全设备数据的采集与统一管控,从而提升
电力监控系统的安全监管能力。
水电行业作为国家关键信息基础设施的核心组成部分,其网络安全建设在政策法规层面面临严格要求。《网络安全
法》《数据安全法》《关键信息基础设施安全保护条例》等法律法规明确规定了电力行业的网络安全责任义务。特
别是《网络安全等级保护基本要求》(等保2.0)对电力监控系统的安全防护提出了强制性标准要求。
从行业监管角度看,国家发改委27号令《电力监控系统安全防护规定》及配套实施细则构建了电力行业网络安全监
管框架。在技术层面,随着\"智慧电厂\"建设的推进,传统工业控制系统与信息网络的深度融合使得安全边界日益模
糊。OT与IT系统的互联互通在提升运营效率的同时,也带来了新的攻击路径。
概述
本方案主要依据《电力监控系统安全防护规定》、《电力监控系统安全防护总体方案》、GB/T22239-2019《信息
安全技术网络安全等级保护基本要求》、《信息安全技术关键信息基础设施安全保护要求》等规定和标准要求,以及
相关行业和业务需求进行设计编制。
17 水电行业解决方案
拓扑图
18
维护
工程师站 实时数据库
工作站B 工作站C 大屏显示 打印机
纵向加密装置 纵向加密装置
纵向加密装置
工作站A 通信服务器 实时数据库
数据采集 保护信息子系统
集控中心专线
调度中心专线
磁盘阵列 水情自动化系统
PMU装置 安控装置 数据服务器
AGC AVC
发电机组 开关站 公用设施 坝区
On call主机 通讯服务器
配置站 操作站 通讯机 运动装置1 运动装置2 电能量
采集系统
行波测距 故障录波
系统
电力市场
报价
梯级水库调度
自动化系统
保信子站 水情自动
测报系统
水库调度
自动化系统
电力调度中心
集控中心安全I区 集控中心安全II区
水电厂安全I区 水电厂安全II区
管
理
信
息
大
区
管
理
信
息
大
区
图例 工业防火墙 工控安全审计 工控入侵检测 主机加固 工控集中
安全管理
日志审计
与分析系统
运维安全
审计系统
漏洞扫描 USB安全管理 工控隔离网闸
解决方案 安全区域边界规划
为确保安全分区及专网专用,必须在各控制域之间配
置工业防火墙以实现逻辑隔离。
安全通信环境规划
必须通过旁路方式在交换机上部署工业入侵检测系
统及工控安全审计系统,以便监控生产控制系统中
的操作行为和网络异常行为,从而便于进行事件取
证和责任归属。
安全计算环境规划
针对化工行业所有操作系统,必须部署具备系统加
固、白名单防护、恶意代码拦截、数据访问控制以
及外设管控等核心功能的工业主机安全防护系统,
以满足化工行业安全规范的要求。
安全管理中心规划
为满足等保要求,必须部署集工控集中安全管理系
统,实现工控安全设备数据的采集与统一管控,从而
提升网络安全管理的便捷性。
化工行业工控网络安全建设主要体现为政策合规与行业安全的双重驱动。在国家层面,《网络安全法》《数据安全
法》《关键信息基础设施安全保护条例》等法律法规明确将化工行业纳入重点保护范围,强制要求落实等保2.0工业
控制系统安全扩展要求;工信部《工业控制系统信息安全防护指南》更针对性地制定了化工行业安全规范。这些政
策法规的密集出台,源于化工行业的高危特性——其易燃易爆、有毒有害的生产工艺和连续化生产特点,使得网络
安全事件可能引发重大生产事故、环境污染甚至人员伤亡。在政策合规刚性要求和安全生产现实需求的双重压力
下,化工行业工控网络安全建设已成为保障国家能源安全、产业链安全和生态环境安全的必要举措。
概述
本方案主要依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、《信息安全技术关键信息基础设施
安全保护要求》、《工业控制系统信息安全防护指南》等规定和标准要求,以及相关行业和业务需求进行设计编制。
化工行业解决方案
19
图例 工业防火墙 工控安全审计 工控入侵检测 主机加固 工控集中
安全管理
日志审计
与分析系统
运维安全
审计系统
漏洞扫描 USB安全管理 工控隔离网闸
拓扑图
20
外网
全局工程师站
操作员站
安管交换机 A4/A3彩色激光打印机
OPC核心交换机
安管交换机 A4/A3彩色激光打印机
OPC核心交换机
安管交换机 A4/A3彩色激光打印机
OPC核心交换机
安管交换机 A4/A3彩色
激光打印机
OPC核心交换机
工程师站 历史
服务器
历史
服务器
OPC
服务器
中央控制室CCR
PP装置FAR
外网
操作员站 工程师站 历史
服务器
历史
服务器
OPC
服务器
外网
操作员站 工程师站
工程师站 IDM站
DCS/PLC
甲醇制烯烃
装置FAR
工程师站 IDM站
DCS/PLC
醋酸乙烯
装置FAR
工程师站 IDM站
DCS/PLC
空分/煤气化/净化/
甲醇合成装置FAR
工程师站 IDM站
DCS/PLC
历史
服务器
历史
服务器
OPC
服务器
外网
操作员站 工程师站 历史
服务器
历史
服务器
OPC
服务器
外网
安全管理中心
全局报表服务器 全局历史服务器 全局OPC服务器 AAS服务器 APC服务器 IDM站 全局IDM服务器 PID服务器 操作导航服务器
解决方案 安全区域边界
为确保安全区域的明确划分和专用网络的独立性,必
须在普度模型的各个层级之间实施工业防火墙或工控
隔离网闸的安全隔离措施。
安全通信环境
必须通过旁路方式在交换机上部署工控入侵检测系
统和工控安全审计系统,以便监控生产控制系统内
的操作行为和网络异常活动,便于后续的事件取证
和责任归属。
安全运维管控
为规范冶金行业网络管理,必须部署运维审计系
统,其主要功能包括:首先,实现统一账号管理,
以便集中管控运维人员的身份;其次,进行精细权
限分配,依据最小权限原则设置访问控制;最后,
实施完整操作审计,全程记录运维行为。
安全计算环境
针对冶金行业所有操作系统,必须部署具备系统加
固、白名单防护、恶意代码拦截、数据访问控制以及
外设管控等核心功能的工业主机安全防护系统,以满
足冶金行业安全规范的要求。
移动介质管理
为确保生产区域中移动存储设备的安全使用,应在生
产区内部署USB安全管理系统,实现对移动存储设备
使用过程的全面管理。
安全管理中心
为满足等保要求,必须部署工控集中安全管理系统,
实现工控安全设备数据的采集与统一管控,从而提升
对网络系统的安全监管能力。
冶金行业工控网络安全建设的与政策要求密切相关。随着《网络安全法》《数据安全法》《关键信息基础设施安全
保护条例》等法规的实施,冶金行业作为重点工业领域,被明确纳入关键信息基础设施保护范围,必须落实等保2.0
标准中的工业控制系统安全扩展要求。国家工信部发布的《工业控制系统信息安全防护指南》《冶金行业智能制造
标准体系建设指南》等政策文件,专门针对冶金行业提出工控网络安全建设的具体规范,要求企业建立覆盖设备、
网络、数据等多层次的安全防护体系。同时,在\"智能制造\"和\"数字化转型\"的政策推动下,冶金企业必须同步推进工
控系统安全建设,确保生产网络与信息化系统的安全可靠运行。
概述
本方案主要依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、《信息安全技术关键信息基础设施
安全保护要求》、《工业控制系统信息安全防护指南》等规定和标准要求,以及相关行业和业务需求进行设计编制。
冶金行业解决方案
21
拓扑图
22
OPC
服务器
L0
现场设备层
L1
现场控制层
L2
集中控制层
L3
生产管理层
L4
企业资源层
实时数据库
服务器
数采机
炼铁控制模型
能源采集
服务器
OPC
服务器
焦化控制模型
能源采集
服务器
OPC
服务器
轧钢控制模型
能源采集
服务器
工程师站 操作员站 工程师站 操作员站 工程师站 操作员站 工程师站 操作员站 工程师站 操作员站 工程师站 操作员站 工程师站
工业控制环网 工业控制环网 工业控制环网 工业控制环网 工业控制环网 工业控制环网
1#热钢 N#冷钢
DCS/PLC DCS/PLC DCS/PLC DCS/PLC DCS/PLC DCS/PLC DCS/PLC DCS/PLC
1#球团 2#烧结 3#高炉
操作员站
OPC
服务器
DMZ区能源管理服务器
质量检测
能源采集器
操作员站 工程师站
炼钢
控制模型
能源采集
服务器
数采机 数采机
关系数据库
服务器
MES系统应用
服务器
计划排产
服务器
办公区
炼铁厂 炼钢厂 焦化厂 轧钢厂 能环管理部 质检部
图例 工业防火墙 工控安全审计 工控入侵检测 主机加固 工控集中
安全管理
日志审计
与分析系统
运维安全
审计系统
漏洞扫描 USB安全管理 工控隔离网闸
环保专线
运维管理
为确保系统运维管理的规范化,必须实施运维审计
系统,其核心功能涵盖:首先是统一账号管理,实
现运维人员身份的集中控制;其次是精确权限分
配,依据最小权限原则设定访问权限;最后是全面
操作审计,对运维活动进行全程记录。
解决方案
边界隔离
为了确保安全区域的划分和专网专用,必须在场控
层与集中监控层之间设置工业防火墙以实现逻辑隔
离。同时,在集中监控层与MES层之间安装工控隔
离网闸。
入侵检测与安全审计
必须通过旁路方式在交换机上部署工控侵入检测系
统和工控安全审计系统,以监控生产控制系统内的
操作活动和网络异常行为,方便进行事件追踪和责
任归属。
主机安全加固
针对厂区内的所有操作系统,必须安装一套集成了系
统加固、白名单保护、恶意软件拦截、数据访问控制
以及外设管理等关键功能的工业主机安全防护系统,
确保计算环境的安全性。
移动存储设备管理
为了确保生产区域中移动存储设备的安全使用,应在
生产区内安装USB安全管理系统,实现对移动存储设
备使用过程的全面管理。
集中管理
为满足等保要求,必须部署工控集中安全管理系统,
实现工控设备数据的收集和统一管理,从而增强整体
的安全监管能力。
智能制造行业的工控网络安全建设源于全球制造业数字化转型加速与随之而来的安全挑战,工业4.0、中国制造2025
等战略推动工控系统与IT系统深度融合,打破了传统封闭生产环境。传统工控设备普遍存在漏洞、弱口令等安全隐
患,且攻击动机从技术炫耀演变为国家级攻击、勒索病毒和工业间谍,可能导致生产停摆、设备损坏甚至人员伤亡。
政策层面,国际标准(如IEC62443)和国内法规(如《网络安全法》《等保2.0》)将制造业列为关键基础设施,要
求强化安全防护。此外,全球化竞争与地缘政治因素(如供应链脱钩、APT攻击溯源难)进一步推动工控安全向动态
化、智能化方向发展,需在生产效率与安全防护间寻求平衡。
概述
本方案主要依据GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、《信息安全技术关键信息基础设施
安全保护要求》、《工业控制系统信息安全防护指南》等规定和标准要求,以及相关行业和业务需求进行设计编制。
智能制造行业解决方案
23
图例 工业防火墙 工控安全审计 工控入侵检测 主机加固 工控集中
安全管理
日志审计
与分析系统
运维安全
审计系统
漏洞扫描 USB安全管理 工控隔离网闸
拓扑图
24
ERP
WEB服务器 文件服务器 数据库服务器 归档服务器 QMS服务器 MES服务器 配置站 大屏显示系统
SCADA服务器 SCADA服务器 操作站
配置站 操作站 操作站 操作站
操作站
生产调度 过程监控
ERP
英特网
安全管理中心
安全管理中心
冗余OS
服务器
冗余OS
服务器
办公网
www.sciyon.com
DCS1 DCS2
操作站 操作站
HMI PLC PLC 操作站
车间1 车间N
企业管理层
MES层
集中监控层
现场控制层
中国 • 南京 江宁区清水亭东路1266号
电话(TEL): +86 25 6859 8968 传真(FAX): +86 25 6983 6118
www.sciyon.com 版本:2025.08
更多产品信息,请拨打24小时全国服务热线
400-881-8758




