目录

前言..................................................................................................................................................... 1

宝牧科技...........................................................................................................................................12

博智安全...........................................................................................................................................16

长扬科技...........................................................................................................................................26

烽台科技...........................................................................................................................................34

国舜股份...........................................................................................................................................46

国泰网信...........................................................................................................................................52

六方云............................................................................................................................................... 74

珞安科技...........................................................................................................................................91

木链科技........................................................................................................................................ 106

齐安科技........................................................................................................................................ 138

融安网络........................................................................................................................................ 146

赛宁网安........................................................................................................................................ 156

双湃智安........................................................................................................................................ 160

天地和兴........................................................................................................................................ 165

网藤科技........................................................................................................................................ 172
星阑科技........................................................................................................................................ 178

中电安科........................................................................................................................................ 182
 前言

前言：工控安全迎来引爆点，创新是第一驱动力

工控系统是国家关键信息基础设施的重要组成部分，同时也是关键基础设施网络

攻击的重点目标。随着互联网在工业控制系统中的广泛应用，针对工业控制系统

的各式网络攻击事件日益增多，尤其在电力、石油、铁路运输、燃气、化工、制

造业、能源、核应用等相关领域的关键网络一直都是全球攻击者的首选目标。

近年来，随着全球地缘政治冲突加剧、网络犯罪规模化、以及中美对抗导致的工

控网络安全风险不断升级，关键基础设施保护成为全球各国政府网络安全战略、

政府预算与法规标准的关注重点。2022 年，中美分别以立法形式推动关键基础

设施安全防护，从资金、标准、法规三个维度推动跨部门协作，在整体设计和实

施阶段为工控安全市场提供支持。

2023 年，两化融合、IT/OT 融合为特征的工业数字化革命已经打开了工控安全

威胁的潘多拉盒子，工控系统安全态势和策略正在从“以 OT 网络为中心”向“以

资产为中心”过渡，攻防技术“军备竞赛”正在快速升级。

可以预见，随着相关法规和市场需求的就绪，2023 年全球和中国工控安全市场

将迎来引爆点，进入高速发展期。

1
 工控安全面临的独特挑战与痛点

与其他网络安全领域相比，工控安全有着巨大差异和独特性，其中较为突出和典

型的四个独特挑战如下：

1. 行业用户对影响业务连续性的安全方案容忍度低

2. 工控系统设备厂商安全性的高度不透明给漏洞管理和安全运营带来巨大

挑战

3. IT/OT 融合、物理网络空间攻击面进一步扩大

4. 工控安全专业人员严重短缺

根据 Dragos 和 Honeywell 的 2022 年度工控安全报告，当前全球工业基础设

施客户最常见的四大痛点分别是：

1. 工控系统环境内部缺乏可见性，80%的工控系统 OT 网络可见性有限。
（比

2021 年减少了 6%）

2. 半数工控系统在网络分段方面存在问题。（比 2021 年减少了 27%）

3. 53%的工控系统在其 OT 网络中建立了未公开或不受控制的连接。（比

2021 年减少了 17%）

4. 54%的工控系统 IT 和 OT 之间缺乏用户管理分离。（比 2021 年增加了

10%）

2
 工控系统存在五大系统性安全风险

2022 年 6 月 GoUpSec 在国内首次报道了 Forescout 的“冰瀑漏洞”报告，该

报告曝光 10 家 OT 供应商产品中的 56 个高危漏洞，给工控系统市场投下一枚

重磅炸弹。

报告指出，主流工控系统产品在设计层面存在根本性的重大安全问题。通俗来说

就是：工控系统（包括一些工控安全方案）的安全设计从根上就是烂透了。

全球主流工控系统厂商产品不安全设计导致的漏洞比比皆是（下图）：

“冰瀑漏洞报告”披露的漏洞中超过三分之一(38%)可导致凭据失窃，21%可导

致固件篡改位，14%可导致远程代码执行。不安全设计问题的主要例证是与未经

3
身份验证的协议相关的九个漏洞，报告还发现了大量糟糕的身份验证方案，这些

方案在实施后表现出低于标准的安全控制。

“冰瀑漏洞报告”暴露了全球工控系统设备普遍存在的五大系统性安全风险：

1. 大量通过安全认证的工控系统设备依然存在已知安全漏洞：受冰瀑漏洞影

响的工控系统产品中有 74%通过了某种形式的安全认证，报告的大多数

问题应该在深入的漏洞发现过程中相对较快地发现。导致此问题的因素包

括有限的评估范围、不透明的安全定义以及对功能测试的关注。

2. 由于缺乏 CVE 漏洞编号，工控系统风险管理变得复杂：仅知道设备或协

议不安全是不够的，资产所有者还需要知道这些组件存在安全漏洞的原因

才能做出有效的风险管理决策。不安全设计导致的问题并不总是能够分配

CVE，因此经常被忽视。

3. 存在大量设计不安全的供应链组件：OT 供应链组件中的漏洞往往不会被

每个受影响的制造商报告，这导致了风险管理的困难。攻击者通过本机功

能在一级设备上获得 RCE 的三种主要途径是：逻辑下载、固件更新和内

存读/写操作。大多数工控系统都不支持逻辑签名，并且大多数设备(52%)

将其逻辑编译为本机机器代码。这些系统中有 62%接受通过以太网下载

固件，而只有 51%具有此功能的身份验证。

4. 对工控系统的攻击技术开发比想象得更容易：对单个专有协议进行逆向工

程需要 1 天到 2 人工周，而对于复杂的多协议系统则需要 5 到 6 个人工

月。这意味着，针对 OT 的恶意软件或网络攻击可以由一个规模较小但技

4
 术娴熟的团队以较低成本开发。随着以 ChatGPT 为代表的人工智能专家

系统的崛起，时间和成本还将被大大降低。

5. 普遍缺少专业安全管理人员：2022 年工控安全重大事件中暴露的问题大

多与工控系统运营者缺乏专业安全管理人员和相关技能培训有关。

2023 年工控安全态势迅速恶化

根据 Dragos 最新发布的工控安全报告，2022 年工控系统相关硬件和软件漏洞

数量比 2021 年增加了 27%，针对工业组织的勒索软件攻击增加了 87%。针对

工业基础设施的攻击的复杂性和数量也有所增加，遭受攻击的工控系统（ICS）

中 80%缺乏对 ICS 流量的可见性，一半存在网络分段问题和不受控制的 OT 网

络连接。

当前工控系统产品普遍存在多个层面的安全问题：从安全认证产品中持续存在不

安全设计，到拙劣的安全防御实践。糟糕的漏洞管理以及提供虚假安全感的安全

认证，这些都导致工控系统风险管理工作变得异常复杂和艰难。

此外，整个工控系统设备行业的不透明性正在损害工控系统产品的安全性。许多

不安全的设计问题并未分配 CVE 漏洞编号，因此经常被忽视并继续使用。

当前阶段，大量证据显示全球工控安全威胁态势正在快速恶化。除相关报告揭示

的问题外，GoUpSec 认为 2023 年工控安全态势还将面临以下五大新挑战：

5
 1. 地缘战争和黑客活动政治化导致工控系统攻击武器库的“核扩散”和“变

异”

2. ChatGPT 为代表的生成式人工智能技术大幅降低黑客攻击工控专有协议

的技术门槛

3. 主流工控系统安全设计 2022 年曝出的大量安全设计缺陷短时间难以改善

4. 中美对抗或导致对关键基础设施的高级持续攻击威胁进一步提升

5. 网络犯罪成为第三大“经济体“，在“武器扩散”和生成式人工智能的助

力下将扩大对工控系统的行业攻击范围

工控安全市场热点与产品关键能力

随着企业数字化转型和 IT/OT 融合的深入，资产、漏洞、威胁快速增长，工控

安全市场正在转向体系化的纵深防御，但过程并非一帆风顺。无论是专业工控安

全厂商还是传统 IT 安全厂商，都意识到用户的痛点就是市场的热点，例如可见

性、主动性、业务连续性相关的“安全债”和新威胁的叠加，对工控安全市场的

创新能力提出了更高要求。

根据 GoUpSec 对数十位国内 CISO 的调查，2023 年中国工控安全市场的九大

热点分别是：

1. 基于风险管理的暴露管理（资产、漏洞发现与管理，工控安全管理平台）

6
 2. 物理网络安全（U 盘管理、无线工业物联网、智慧城市、车联网、智能武

器）

3. 网络安全（通信加密、分段、基于机器学习和人工智能的流量与行为分析）

4. 身份与访问管理（零信任）

5. 主动安全（内部和外部攻击面与资产管理、欺骗式防御）

6. 威胁检测与响应（勒索软件）

7. 入侵与攻击模拟（靶场）

8. 供应链安全

9. 认证与培训（安全意识、安全工程、安全评估、安全框架、开发和实施咨

询服务等）

从震网病毒到殖民地管道攻击，“蠕行”十几年的工控安全市场正在经历一次重

大蜕变：从进化缓慢的“小众”网络安全细分市场转变为政策、威胁、（外部）

技术和创新四轮驱动的高动态高增长市场，新需求和新威胁的迭代周期大大缩短，

对工控安全领域网络安全厂商的创新力和敏捷性提出了更高要求。

以下，是 GoUpSec 行业 CISO 调查总结的工控安全解决方案十大关键能力和创

新点：

1. 机器学习与人工智能（威胁检测、事件响应）

2. 自动化资产发现和管理（提高可视性）

3. 持续网络活动和威胁监控

7
 4. 二级设备（控制器）完整性验证、访问控制

5. 漏洞评估和风险管理

6. 与 SIEM 和 SOC 的平台化集成（面向 IT/OT 融合的一体化工控安全管理

平台）

7. 业务连续性（故障诊断与恢复，ByPass 功能，减少误报，提高安全运维

效率）

8. 可信计算与合规性（满足国家标准（《工业控制系统信息安全防护指南》

与等级保护 V2.0）及相关行业规范

9. 零信任方法（强化身份与权限管理、内部威胁）

10.物理网络安全（生产环境、U 盘与工业无线物联网）

工控安全产品的选型常见基准问题

综合“以资产为中心”的工控网络安全新阶段面临的挑战、痛点和趋势，工控安

全行业客户在选择工控安全解决方案时可能需要与厂商沟通确认以下基准问题：

 是否支持与客户现有网络安全产品（例如 SIEM、SOAR、配置管理数据

库、SOC、NAC、防火墙等）快速集成？

 是否提供资产发现/分析/库存解决方案？

 是否提供以资产发现、可见性和网络拓扑为中心的工控安全管理平台功

能？

 是被动还是主动安全解决方案？还是两者兼而有之？

8
  资产发现和威胁检测方案是连续的还是基于时间点的？

 监控工具如何降低误报和标记优先级？

 是否提供测试平台、仿真或以安全为中心的数字孪生解决方案？

 是否提供硬件/固件/软件供应链安全解决方案？

 是否为 OT 提供托管检测和响应服务？

 是否提供针对垂直行业（例如医疗、国防、交通运输）的定制安全解决方

案/案例？

 与工控设备厂商、其他相关安全厂商和机构存在何种股权、（潜在）收购、

合作关系。

 是否有预防勒索软件、DDoS、内部威胁、APT 的针对性方案？

 是否提供免费测试？（由于工控系统部署的独特性，不存在所谓通用的工

控安全解决方案，因此在企业环境中对方案进行选型测试很有必要）

正如前文所述，在 OT/IT 融合的大背景下，“以资产为中心”工控安全新阶段

的核心目标和锚定的关键业绩指标是“运营弹性”，最终目标是将工控环境的物

理网络安全与 IT 安全纳入统一的治理模型中。

工控系统安全是涉及物理安全、网络安全、供应链安全、生产安全的高度复杂的

跨领域综合学科，面临着独特的安全威胁挑战；与此同时，工控安全正经历从“OT

网络为中心”向“资产为中心”的重大范型转移，技术创新再次成为第一驱动力。

世界上没有完全相同的工控系统，因此也不存在“通用”安全解决方案，面对工

9
控安全威胁态势的快速恶化，大量工控专业厂商和传统安全厂商针对新威胁和新

需求纷纷推出新的解决方案，这也给行业 CISO 的选型增加了难度。

为了帮助 CISO 拨开营销迷雾，提高市场能见度，全面了解潜在工控安全战略合

作伙伴。GoUpSec 深入调研了 17 家国内工控安全“酷厂商”（包括专业厂商

和综合安全厂商），从产品功能、应用行业、成功案例、安全策略等维度对各厂

商工控安全产品及服务进行调研了解，整理形成了 2023 年中国网络安全行业

《工控安全产品及服务购买决策参考》。

10
本次报告共收录 17 家国内网络安全厂商，共计 68 个工控安全产品及服务，具

体成功实施案例 42 例，分别来自石油、石化、电力电网、智能制造、钢铁、冶

金、烟草、煤矿、市政、燃气、交通、水利、军工等重点行业。

以下为 17 家网络安全厂商工控安全产品及服务详情，排名按照公司简称首字母

顺序。

11
宝牧科技

一、公司名称：

宝牧科技（天津）有限公司

二、公司 logo：

三、工控安全产品名称：

安全通信终端

四、产品特点及优势：

12
特点：

宝牧科技安全通信终端是 4G/5G 物联网应用中集数据采集、网络互连、国密加

密传输和边缘计算等多个功能的安全接入终端网关，集成了工业、路由、国密芯

片加密、终端边界防护和接入认证，可有效解决从终端传输侧发起的数据泄露和

篡改、身份伪装、非法接入、恶意攻击等安全问题，实现“最后一公里加密安全”。

产品支持有线无线，便于在不改变网络拓扑的情况下使用 VPN 快速组网和链路

冗余，完全满足等保和密评的要求。

优势：

全面支持国家各种标准；

高速的数据流加密；

支持国密局 IPSec 协议规范；

工业国密加密无线路由器（DTU）;

无线通信支持多种模式；

支持 Modbus,IEC104 等工业协议采集；

五、成功案例：

电网：系统数据加密安全配网自动化防护；

电网：电网计量系统的计量数据加密传输安全防护；

13
燃气：燃气管道监测数据、储气站数据加密安全防护；

环保：环保监测数据加密传输安全防护；

高速公路：高速公路 ETC 收费数据加密传输安全防护；

铁路：客票系统数据加密安全防护；

税务局：税务局网络安全保障服务；

住房公积金：住房公积金管理中心数据传输安全建设；

六、适用行业：

烟草、电力、冶金、石油石化、燃气、环保、水务、轨道交通、高速公路等行业

客户以及国家关键基础设施。

七、联系人姓名及职位

姓名：邱锋

职位：市场总监

联系方式：022-27958633

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

宝牧科技是专业从事物联网基础设施网络安全产品自主研发的国家高新技术企

业和科技部入库企业，主要为国家关键基础设施企业提供符合等级保护及密评

（商用密码应用安全性评估）的产品及解决方案。公司加密产品集成了工业级、

14
路由器、国密芯片加密、丰富的终端边界防护和接入认证于一体，并且满足等保

（信息安全技术网络安全等级保护二级以上）和密评的要求。

—— 宝牧科技副总经理 肖海涛

15
博智安全

一、公司名称：

博智安全科技股份有限公司

二、公司 logo：

三、工控安全产品名称：

博智工控网络靶场、博智工控安全审计系统、博智工控主机卫士、博智工控漏洞

扫描系统、博智工控漏洞挖掘平台、博智工控网络自动化渗透测试平台

四、产品特点及优势：

博智工控网络靶场

特点：

博智工控网络靶场，能够基于虚拟化云平台实现多行业设备和业务的仿真，并通

过接入相应的物理基础设备完成跨多行业的、具备完整安防体系的靶场环境，让

安全验证和渗透测试人员能在网络的各层面开展攻击面获取、边界爆破、横向渗

透、权限提升维持、目标攻陷、痕迹清除等操作，也能让网络安全和运维人员开

展暴露面收敛、安全加固、防护策略配置、溯源分析等防御相关的操作，支撑各

16
种专项训练、红蓝对抗、夺旗解题、运维比赛、安全评估等服务。

优势：

1.虚实结合的环境构建。将虚拟网络环境与真实的物理环境，以即插即用的方式

无障碍连通，同时提供第三方设备的接入能力，对虚实结合的网络进行统一的管

理和调度，并能通过拼接已有场景的方式快速完成复杂环境的构建

2.PDCA 定向培养。具备职业能力模型和评估模型的编排能力，综合学员的学习

成绩、练习成绩和考试成绩等数据，多维度、全方面的评估学员的能力，并对标

学员的职业目标给出差距和改进建议，让教员可以根据每个学员的实际情况制订

差异化的学习计划

3.实时评估动态导调。支持 10 种以上的数据探针，通过对采集到的数据进行关

联分析，识别出参训人员的行为，精确展现战场的态势，让导调人员能够准确掌

握训练情况，按需调整任务内容，做到实侦、实打、实抗，切实提高参训人员的

能力，让不会的变会，让会的变精

4.基于知识图谱的智能化攻击。内置超过 200 个攻防工具，能够根据知识图谱自

动推演攻击路径实施攻击，并能根据攻击反馈实时调整下一步的攻击方式，实现

整个攻击过程的自动化及攻防博弈

5.成熟的平台架构体系。支持不少于 500 人同时在线进行学习和训练，支持最大

1000 节点的大规模网络仿真环境，支持秒级的环境启动和复用

博智工控安全审计系统

特点：

系统采用旁路方式，基于通信报文深度解析技术，实时检测针对 PLC、DCS、上

17
位机等重要的工控设备的网络攻击、用户误操作、用户违规操作、非法设备接入

以及蠕虫、病毒等恶意软件的传播行为，并实时报警，同时详实记录一切网络通

信行为，包括指令级的工业控制协议通信记录，为工业控制系统的安全事故调查

提供坚实的基础。

优势：

1、工控协议指令级检测与审计。支持 25 种以上工控协议（Modbus TCP、S7、

DNP3、IEC104 等）通信报文深度解析，能够检测出数据包的有效内容特征、

负载和可用匹配信息。

2、基于白名单的工业业务审计。系统采用白名单方式包括资产白名单、协议白

名单、功能码白名单等，对网络中资产与流量进行审计，及时发现网络威胁。

3、恶意代码检查。对工控信息设备进行已知/未知恶意文件攻击、各类木马、蠕

虫、间谍软件、WEB 等进行恶意代码检查。

4、协议还原。支持 http、ftp、smtp、pop3、imap 等协议的还原与文件病毒

检测。

博智工控主机卫士

特点：

博智工控主机卫士能够监控工控主机的进程状态、本地访问控制状态、USB 端

口状态，以白名单的技术方式，全方位地保护主机的资源使用，以及监控本地设

备安全基线配置。根据白名单的配置，工控主机卫士会禁止非法进程的运行，禁

止非法网络的访问连接，禁止非法 USB 设备的接入，从而切断病毒和木马的传

播与破坏路径。

18
优势：

1、可信应用白名单。禁止白名单以外的程序加载运行，替代传统杀毒软件黑名

单病毒库防范恶意代码的方式，避免误报同时有效防御未知恶意程序和木马。

2、可信 USB 白名单。规范 USB 设备使用，并防止各种 USB 作为媒介的攻击行

为。

3、访问控制。可自动学习工控终端设备与其它设备发起的网络连接，发现非法

连接可即时阻断。

4、文件完整性保护。对特定的对象（关键文件目录及应用程序、动态链接库、

驱动文件等）提供保护，有效阻止恶意程序通过不同途径对关键对象的恶意改变。

5、系统基线保护。基线安全监控功能，可对设备本地安全中账户策略、审核策

略、安全选项策略、IP 安全策略、进程审计及系统日志策略进行监控配置，灵

活配置工控终端设备的基线安全。

6、兼容性强。运行环境支持全系列 Windows 操作系统；支持 RedHat、CentOS

等主流 Linux 操作系统；支持麒麟等国产操作系统，满足国家自主可控的需要。

博智工控漏洞扫描系统

特点：

博智工控漏洞扫描系统是一款对工控网络进行脆弱性分析和评估的综合管理系

统。该系统通过丰富的系统漏洞库，不仅对在工业控制系统中使用的传统 IT 设

备/系统，比如操作系统、交换机、路由器、弱口令、FTP 服务器、Web 服务器

等进行漏洞风险评估，同时还支持对工业控制系统中所特有的设备/系统，比如

SCADA、DCS、PLC 等进行已知漏洞的识别和检测，及时发现安全漏洞，客观

19
评估工控网络风险等级。博智工控漏洞扫描系统具备发现漏洞、评估漏洞、展示

漏洞、跟踪漏洞等完备的漏洞管理能力。

优势：

1、行业领先的工控漏洞数。支持 6 万余种漏洞测试插件，工控漏洞数超过 1000

种，能够定期更新漏洞，工控漏洞数量处于业内领先水平。

2、工业资产准确识别。依托态势感知类产品的技术积累，建立工业资产指纹库，

能够准确识别工业资产，识别范围广，处于业内领先地位（40 种主流工控协议

指纹识别，支持检测的设备型号超过 400 种，支持的工控厂商超过 80 种）。

3、无损扫描方式。根据客户需要，可以提供深度扫描（系统离线进行）和无损

扫描方式（系统在线进行），扫描方式灵活，解决用户担心扫描过程对系统造成

影响的后顾之忧。

博智工控漏洞挖掘平台

特点：

博智工控漏洞挖掘平台是一款采用智能 Fuzzing 技术，对工控设备（PLC、RTU

等）、工控系统（DCS、SCADA 等）、工业操作系统（VxWorks 等）进行未知

漏洞挖掘、安全性及协议健壮性测试的评估设备。针对不同工控网络通信协议的

特点精心构造随机测试报文，深度挖掘工控设备或系统的各类未知漏洞，清晰定

位问题并提供测试报文便于问题回溯，能够帮助用户提高工控网络安全等级，提

升工控设备厂商产品安全性和竞争力，增强监管单位、测试机构检测能力和权威

性。

优势：

20
1、支持测试的协议数量业内领先。支持 70 余种协议模糊测试，包括常用网络

协议、工控协议、物联网协议等，其中工控协议超过 30 种。不仅支持已知的协

议，还支持用户协议自定义。

2、测试过程可视化。提供工业资产全方位测试过程的监控，包括 ARP 监控、ICMP

监控、TCP 端口监控、离散数据监控及模拟数据监控等手段，具有彩色 TFT 显

示屏，能够实时呈现被测试工业资产状态。

3、覆盖的工业资产全面。具备网口、WIFI 接口、4G 接口外，还具备业务卡扩

展插槽，并提供了相应的 RS232、RS485/422、CAN 等业务卡，能接入大部分

的工业控制网络进行测试。

4、漏洞根源回溯。被测设备状态异常时，支持通过中继电源掉电和上电、继电

器输出（RELAY OUTPUT）两种方式重启被测设备并循环分段回放测试报文，

逐步分析完成故障定位。

博智工控网络自动化渗透测试平台

特点：

博智工控网络自动化渗透测试平台以知识图谱技术为核心，知识推演为关键能力，

将先验知识转化为自动化的流程，实现工控网络资产测绘、攻击路径推演、攻击

载荷加载、目标风险验证等过程自动化，简化了渗透测试过程，降低了人力成本

和时间成本，提升了工控网络安全防护能力。

优势：

1、工控网络资产测绘。支持多种扫描方式，能够全方位、多维度的探测全网或

者指定区域内的资产及其信息，通过对资产信息进行关联分析和聚合分析，可自

21
动绘制包含所有资产的网络拓扑图。

2、工控漏洞自动化利用。支持对工控网络中漏洞的自动化利用，包括远程溢出

漏洞、代码执行漏洞、命令执行漏洞、上传漏洞、SQL 注入漏洞、未授权漏洞

等，能够基于已验证的漏洞进行攻击利用。

3、工控漏洞利用知识图谱构建。支持从工控漏洞描述中抽取出漏洞相关信息，

并以此快速构建工控漏洞利用知识图谱；支持对工控漏洞利用知识图谱进行展示

和管理，支持通过人工方式对知识图谱进行调整和修正。

五、成功案例：

以建龙西钢工业网络安全为场景，构建面向钢铁行业的工业互联网安全加固解决

方案，构建基于边界防护、监测预警、入侵检测、数据保护、配置核查等的多层

次纵深防御体系，形成一套适应钢铁行业发展，集指导、监测、防护、响应于一

体的防护体系，不断提高钢铁行业工业信息安全保障水平，实现钢铁行业工业控

制系统 “安全管理规范有序、安全风险管控有数、安全态势直观可见、网络攻

击主动防御、安全事件响应快速”的总体目标。

从工业互联网防护对象视角出发，围绕设备、控制、网络、平台（应用）、数据

五大防护对象，设计基于钢铁工艺流程、基于协议深度解析、基于钢铁智能化生

产、基于可信技术框架的平台、基于数据全生命周期的安全防护五大系统，形成

整套安全解决方案。

本项目结合钢铁企业工业互联网安全的实际情况，形成全面的安全解决方案，从

基础自动化、过程自动化、制造执行系统、企业资源计划、决策等多个网络层次，

落实网络安全方案的投资部署，结合工控网络安全的特殊性，针对性研发防护手

22
段，对网络安全防护效果进行评估、创效评定、技术成果的转化，项目具有典型

应用示范作用，具有较强的借鉴意义和示范价值，目前已在多家产线和子公司推

广应用。

本项目在充分借鉴传统网络安全框架和国外相关工业互联网安全框架的基础上，

结合钢铁行业工控系统的特点，分析钢铁行业网络安全脆弱性，构建面向钢铁行

业的工业互联网网络安全解决方案，并在建龙西林钢铁有限公司等典型钢铁企业

进行推广实施，解决了钢铁行业工业网络纵深安全防护需求。

（1）项目设计的钢铁行业解决方案防护体系全面，方案主要从工业互联网设备、

控制、网络、平台（应用）、数据五个维度构建纵深防护体系，并从分层角度利

用隔离技术加强网络安全能力，覆盖了钢铁行业工业互联网领域的所有对象，体

系全面，有效解决了目前针对钢铁行业防护措施片面化、表面化的痛点。

（2）本项目结合目前钢铁行业 L0，L1，L2，L3、L4 等分层概念，在不同层间，

利用不同的隔离技术和安全防护方法，保证各级网络通讯的安全，使得安全防护

更加深入，防护措施更加合理，形成了一套适应于钢铁企业指导、监测、防护、

响应于一体的防护体系，有效解决了目前无定制化钢铁冶金行业纵深防护方案的

困境。

（3）本项目以钢铁行业工业互联网设备、控制、网络、平台、数据五个安全因

素为对象，覆盖钢铁企业生产经营活动的主要模式和场景，满足各类防护需求，

灵活性高，能够在钢铁冶金行业、区域复制推广，具有很好的通用性，解决了目

前钢铁行业纵深防护多样化需求。

六、适用行业：

23
军工机构、科研机构、行业监管机构、测评认证机构等；电力、石油、石化、轨

道交通、烟草、煤炭、钢铁及智能制造等工业行 业，自动化设备厂商。

七、联系人姓名及职位

姓名：章丹馨

职位：市场经理

联系方式：18751911387

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

在制造强国和网络强国两个战略的驱动下，我国的工业互联网迅速发展。在加快

数字化转型的过程中，中国工业互联网市场不断扩大，切实保障工业互联网安全

是促进数字经济平稳发展的关键举措。从工业企业端来讲，全球领先的工业互联

网企业均在组建 IT&OT 融合的信息安全管理团队，建立企业工业安全运营中心，

对工业控制系统进行安全监测和安全运营。在全球工业互联网发展的推动之下，

工控安全市场迎来快速发展。

——博智安全董事长 傅涛

24
25
长扬科技

一、公司名称：

长扬科技（北京）股份有限公司

二、公司 logo：

三、工控安全产品名称：

长扬科技以“智能工业安全大脑”为核心，构建集团级工业网络安全保障体

系，以信创安全生态为底座安全，以工业安全靶场为能力提升手段，面向工业网

络安全监测、工业网络安全防护、工业视觉安全分析、数据安全防护治理四个层

次，自主研发了工业互联网安全态势感知类、安全防护类、监测审计类、漏洞扫

描挖掘类、工业终端安全类、安全检测工具类、病毒查杀工具类、工业安全靶场

类、睿脑工业视觉 AI 安全类、数据安全类、信创专用产品类、零信任安全类在

内的 12 大系列 50 余款产品。

四、产品特点及优势：

26
长扬工业互联网安全态势感知产品体系

特点：以可视、可控、可管为建设目标，长扬科技工业互联网安全态势感知平台

为安全运营管理赋能。平台以网络安全数据、关键基础设施行业数据为基础，以

包含设备资产指纹、漏洞信息、安全事件信息、物联网感知数据及网络模型等海

量数据的资源池为支撑，运用自主知识产权的云计算、大数据及人工智安全感知

技术，通过 AI 分析方法精准感知网络安全威胁，全面提升企业关键基础设施网

络安全风险评估、态势感知、监测预警及应急处置能力。

优势：

可视协同：管理、运营大数据全面分析与可视化，以统一化视角，实现监、管、

控的可视预警与扁平化协同应急指挥。

灵活部署：产品部署方式灵活，可结合企业现有结构，进行集中部署或分布式多

级部署。

多级联动：提供威胁时间应急处置与多级联动，形成事件闭环管理，更加贴合工

业现场环境，提高企业的本质安全能力

长扬工控安全产品体系

特点：长扬科技的工控安全产品系列，是基于主动防御理念，采用机器自学习技

术，动态构建控制系统、主机、网络和云平台的安全防护策略和预警策略的产品

体系。采用长扬科技工控安全体系产品，可构建满足等保 2.0 及关键信息基础设

施安全保护条例要求的安全解决方案，切实加强工业网络的整体安全防御能力，

形成事件监测、响应处置、决策反制的安全闭环。

优势：

27
工业为本：依据不同的工业网络场景，定制精细的工业安全控制策略切实增强工

业网络的内生安全、网络安全和协同安全。

合法合规：国产化、自主可控，产品线全面，技术成熟度高。

安全底座：深入主机运行代码、分区隔离、监测与审计、运行与维护、集中化安

全管理为决策，协同打造工业网络的互联互通的安全底座。

网络协同：自适应构建工业网络互联互通防护体系，从监测预警、实时防护，集

中处置，构建完整的工业控制网络、工业互联网网络、工业数据全方位的安全闭

环。

行业保障：依据行业基础信息设施的滚动发展，建立动态的行业安全保障模型和

完整解决方案。

长扬睿脑工业视觉 AI 安全产品体系

特点：基于计算机视觉深度学习技术，长扬科技构建了智能安全生产预警分析专

有模型：工业现场视觉 AI 分析与安全预警平台。通过视觉 AI 识别技术，对安全

生产运营过程中的各种行为进行图像建模、行为分析、风险识别，从而降低对监

控和安保人员的依赖，提高安全事件监测的及时性和准确性。

优势：

弹性扩展：采用“中心+边缘”架构设计，AI 算力自由分配，按需扩展。

数据协同：特征模型集中存储，中心、边缘同步共享；异常数据集中存储，按需

同步到相关部门。

算法协同：构建开放算法生态服务架构，多算法融合创新，并实现统一管理。

集中管控：组织用户集中管控、算法模型集中升级、边缘设备集中监控、视频流

28
集中接入等。

适用多检测场景：可运用到企业生产安全监测、无人值守巡检等多个生产场景。

长扬数据安全服务体系

特点：长扬科技依托在工业互联网安全、工控安全领域扎实的技术实力和场景化

经验，通过采集、传输、存储、使用、销毁等技术手段，覆盖数据全生命周期，

为客户设计一套以“数据资产安全管理平台”为核心的数据安全纵深防御体系。

可为客户提供数据资产梳理、数据安全防护能力评估、安全建设增补一体化服务，

帮助企业全面抵御数据安全风险，同时助力企业发挥数据的创新应用价值。

优势：

数据资产可查清：支持主流和常见的结构化和非结构化数据源扫描方式，及时了

解数据资产情况。

数据安全风险可控制：通过实时安全审计、数据挖掘与分析技术，实时发现数

据资产安全风险，发出警告，控制安全风险外溢。

数据安全事件可追溯：利用数据安全标签技术，结合安全审计日志，可追溯数

据历史状态及安全事件。

数据安全态势可视化：通过对数据全生命周期的安全监测，自动生成图表，可

直观呈现数据各阶段情况，快速决策。

数据安全防护能力可评测：可提供数据安全防护能力评测，检验系统数据安全防

护能力水平，发现数据安全风险，持续优化数据安全防护方案。

长扬零信任安全产品体系：

29
特点：长扬零信任安全产品体系，采用“以身份为基石、安全业务访问、动态访

问控制、持续信任评估”的机制，为企业提供零信任身份安全产品与解决方案。

实现从端点到管道再到云端的身份化、动态化、可度量、自适应的零信任安全访

问控制架构，帮助企业快速完成数字化转型下的基础架构升级，保障终端接入安

全、数据传输安全、核心应用安全，帮助企业实现网络无边界安全保障。

优势：

降低安全风险：默认不信任任何设备和用户，基于持续风险评估进行访问决

策、加密传输等措施，降低安全风险。

节省运营成本：用动态访问控制策略，摒弃静态的访问控制规则，持续评

估，动态调整，增强安全性的同时，节省运营成本

减少攻击面：采用先认证、后访问的方式，把应用隐藏在后面，减少应用或

资产的暴露，从而减少攻击面。

提升用户体验：单点登录(SSO)和多因素认证(MFA)结合，既提高安全性，

又提升了用户体验。一次认证，全面登陆，提高工作效率。

长扬工控系统安全服务

特点：

基于对国家标准、政策法规的长期研究，长扬科技安全服务团队对工控系统在各

行业特点及业务流程特点的研究及工程经验进行总结，运用一系列创新技术手段，

配合发展动态的统计分析，打造出一套“全方位、定制化、一站式”的安全服务

体系，其内容包括安全咨询、等保建设咨询、风险评估、安全设计、运维管理、

安全培训等，用户可根据业务需要选择相应的模块组合。

30
项目前

安全战略规划

安全合规咨询

安全风险评估

解决方案设计

项目中

项目实施集成

全线运维保障

项目后

安全技术支持

安全运营管理

安全事件处置

安全培训

专题研讨文案

安全意识培训

攻防实践演练

五、成功案例：

某石油石化企业工控系统等保合规及态势感知建设项目

某电力能源企 DCS 控制系统等保三级整改项目

某钢铁冶金企业自动化工业网络安全防御解决方案

某智能制造企业工业互联网安全体系建设规划落地实践

31
六、适用行业：

电力、石油石化、轨道交通、城市市政、智能制造、钢铁冶金等行业

七、联系人姓名及职位

姓名：崔君

职位：品牌策划经理

联系方式：15001238766

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

数字化是将现实社会重构的重大的技术发展和革新，将为网络安全市场创造良好

的机遇，新时代数字技术的驱动下，紧密结合业务场景的实用主义安全需求成为

主流。

长扬科技作为工业互联网安全领域的第一批践行者，可为客户提供包括工控风险

评估服务、等保 2.0 建设咨询服务、安全集成服务、安全运维服务、安全培训服

务、攻防演练现场保障服务、恶意程序分析服务、勒索病毒处理服务、APT 事

件处理服务和安全运营处置一体化等 10 余项专业服务，致力为国家关键信息基

础设施的稳定运行提供坚实的安全基座。

——长扬科技副总裁 汪义舟

32
33
烽台科技

一、公司名称：

烽台科技(北京)有限公司

二、公司 logo：

三、工控安全产品名称：

灯塔数字安全运营中心

四、产品特点及优势：

特点：

1、生产系统集中监测

针对工业企业建设的能源管理系统(EMS)、生产执行系统(MES)、集中计量

系统等生产信息化系统，提供集中化的安全监测，通过分析设备状态、威胁告警、

数据安全等，实现业务系统故障的及时告警与可视化管理，构建信息化系统、自

34
动化系统等生产系统的监测体系，保障生产业务系统的稳定运行。

2、系统故障精准诊断

业务故障诊断、工单管理等功能解决了生产系统出现故障问题场景下的故障

定位耗时长、效率低的问题，支持系统管理员利用设备拓扑图快速定位故障源，

一键分发处理工单，实现故障的闭环处理。

3、资产设备远程巡检

工业企业集团设备管理日常现场点巡检的场景，存在路程耗时长、纸质报告

易丢失、报告汇总效率低等问题，运维管理功能支持用户远程检查设备状态、网

络状态等，实现设备巡检的远程化 线上化，具备周期性、电子化的巡检报告生

成能力，提高巡检工作的效率。

4、安全防护合规检查

合规性管理功能基于工业企业安全管理规定、工业控制系统安全防护指南等

文件，建立企业安全风险评估能力，实现企业安全风险的综合评估，反映企业的

安全状态，以量化的方式体现企业的安全风险和安全工作成果。

5、企业安全态势感知

通过对工业企业生产信息化的安全态势分析，全面掌握工业企业的实时安全

态势，监测生产系统和重要资产的漏洞、威胁、风险等，及时感知网络安全事件，

提供分析研判、响应处置的安全闭环管理能力。

35
优势：

灯塔数字安全运营中心借助先进的工业物联网、互联网、云计算、大数据分

析、数据建模、5G 通讯等技术，依据 ACCM 设备管理理论，建立适合工业企业

的设备管理平台，通过对站点设备（系统）状态、数据、功率、能源等数据的采

集、清洗、传输、分析、积累、建模、应用，挖掘数据的潜在价值，使设备状态

监控及预测性维修水平得到大幅提升，减少设备故障停机及相关维修费用，实现

现场少人值守。

最终通过信息化、智能化手段提升设备管理精益化水平，提升设备及公司整

体的智能化程度，提高企业的集约化管理水平，以获得更高的设备运行安全性、

更高的可靠性、更高的运行效率、更高的投资回报率，达到公司人员受控、工作

受控、设备受控，打造成为行业智能管控领先企业。

灯塔数字安全运营中心从工控安全本质安全方面提升工控安全系统安全防

护水平，落实各工业行业工控系统的业务本质安全、系统环境本质安全、结构本

质安全以及工控安全对抗安全需求，实现生产安全与信息安全紧耦合，建立立体

化安全防护能力、闭环化风险管理能力、乐高化安全运营等客户价值，助力用户

降本增效，满足用户提质、绿色、安全发展需求。

五、成功案例：

背景介绍

我国钢铁行业已初步具备较好的自动化和信息化基础。钢铁行业作为我国国

36
民经济支柱性产业，历来重视与先进制造技术和信息技术的结合发展，并已形成

了较为完备的自动化、信息化体系架构，如主工序装备实现了较好水平的自动化

控制，ERP、MES 解决方案已经普遍应用于大型钢企等，生产、管理、供应链

等流程初步实现了工序衔接和数据贯通，有效支撑了钢铁行业实现大批量、标准

化和成本可控的生产运营。因此，从车间到集团办公室，全面了解工厂设备运行

状态，关注相关设备，确保设备健康运行，避免出现安全风险也成了行业发展的

重中之重。

客户需求

某钢铁集团及下属分公司作为特大型工业生产企业，业务管理集中度逐步提

高，在钢铁生产中大量使用 SCADA、DCS、PLC、RTU 等工业控制系统及通信

链路和网络结点。

并且由于其集团及下属分公司涉及层级多、系统集成广、设备复杂程度高等

因素，一旦出现系统故障，不能够快速定位故障设备及故障原因，也使运维巡检

管理工作中存在诸多痛点和难点。例如：巡检人员少，但需检查设备类型多数量

大，巡检工作量大；且巡检工作依赖现场查看、纸质表格记录信息，导致整理和

分析工作量大，信息的准确性，一致性无法保证，巡检数据后期利用率低，缺乏

综合分析，难以对历史记录进行追溯和审核等。

解决方案

烽台科技灯塔数字安全运营中心的钢铁行业生产信息化安全保障运营平台

（以下简称平台），将传统的网络故障管理从简单流量统计分析，提升到从工控

主机、控制设备、安全设备运行状态，周期运行信息，安全风险事件，网络通讯

37
互联，系统配置等多维度提高故障诊断、溯源恢复的效率。克服了钢铁工业企业

网络设备众多、一线人员技术不足的现状，通过在网络节点部署监控探针，计算

得到入网设备安全风险溯源结果，帮助对大型网络安全运营的故障进行风险监控

修复。

平台的两大核心功能故障诊断和远程巡检可以很好地解决某钢铁集团对于

设备巡检、事故、故障管理所遇到的问题，充分满足客户所提出的为设备巡检、

事故、故障处理提供辅助手段，提高事故、故障处理效率的需求。

1. 故障诊断

平台故障诊断系统分别对主机、网络设备、中间件、安全设备等通用信息采

集，包括用户操作行为、系统配置、漏洞及补丁、网络连接、网络服务、网络通

信、安全防护状态、应用软件等主机信息；通过 SNMP、SNMPTRAP 收集网络

设备、防火墙、入侵检测、安全审计等设备信息；其他数据源信息、文件、syslog、

私有协议、nginxmysql 等应用及系统日志。

38
 工控网络流量采集包括对 S7、MODBUS、DNP3、ETHERNET/IP、OPC

等网络流量采集，进而深度解析工业协议，包括读/写线圈、读/写寄存器、读/

写文件、读取事件记录；写入值、请求下载、下载块、上传、程序调用服务、请

求时间、响应时间；测试链接状态、分配类、延迟测量、身份验证请求、删除文

件等内容。

工业控制设备信息采集包括对 DCS、PLC、RTU、智能仪表、数采网关等工

业控制设备信息进行采集，主要包括：基础配置信息（硬件，系统时间，MAC

地址，内存）、硬件模块等动态信息（运行模式，模块运行状态，开启的网络服

务）、网络连接数等事件日志（普通配置日志、系统运行日志，系统故障日志）

等信息。

39
 对工业相关软件/应用信息进行采集，包括生产控制类，如 RTD、SCADA

等，及生产管理类，如 MES、EMS 等，采集内容主要包含生产系统、生产辅助

类系统（能源管理、MES 等）日志、业务告警等信息。

故障诊断系统对收集上来的关联数据进行规则报警，结合故障树分析模型计

算输出智能仪器仪表故障、控制设备故障、病毒、入侵行为、终端、服务器、网

络设备故障，根据工作人员的告警设置，将对应的故障报警推送至对应的责任部

门，并进行跟踪处理。

2. 远程巡检

某钢铁集团各分公司的巡检方式一般分为固定位置检查与巡逻检查，按点检

时间还可以分为日检、周检、月检。工作人员通过平台提供的自动化远程巡检功

能，根据运维巡检制度内容定期巡检，并自动根据巡检频率要求输出日/周/月度

巡检报告，在按质、按量完成工作的前提下大幅提高巡检效率。

平台远程巡检系统在故障诊断功能的基础上，根据钢铁行业的巡检需求增加

了自动巡检功能。

通过关联设备资产，根据巡检的时间周期、设备 IP、事件名称等条件进行

检索，结合工控安全报警信息输出点位、点位描述、当前状态值、事件类型、事

件描述（如 PS 模块指示灯、开关按钮是否正常；控制模块 CPU、I/O、CP、IM、

SM 等电源指示是否正常；辅助部件中继器、DP 接头是否良好等）与点检标准

要求生成多种形式的设备画像。

最后根据此钢铁集团工作人员的巡检报告设置，自动生成服务器、网络设备、

40
工业主机、控制设备等多类型全面巡检报告，并支持对巡检中发现的异常问题派

发工单并跟进。

此钢铁集团通过使用烽台科技钢铁行业生产信息化安全保障运营平台，连接

设备、工作人员、贯通业务、挖掘数据价值，形成跨专业数据共享共用的生态，

提高管理创新、业务创新和业态创新能力。

平台在常态化开展配网设备全景监测的基础上，依托准确的“集团-厂区-

部门-设备”数据，全面开展配网故障研判，让设备“开口说话”，做到了先于

报修的主动抢修和运维，使运维效率大幅提升，帮助某钢铁集团节约了大量综合

资源，提高了巡检效率。

应用效果

某钢铁集团在使用烽台科技钢铁行业生产信息化安全保障运营平台之前，生

产系统出现数据错误或丢失，往往能源调度岗需要给信息化管理部打电话请求帮

助排查问题。

信息化管理部分别设有通信网管岗、计算机管理岗、信息安全岗，计算机管

理岗排查能源管理系统服务器/客户端各项服务是否正常；信息安全岗排查能源

管理系统各个组件是否遭受入侵/病毒；通信网管岗排查数据传输路径各节点网

络是否正常；

信息化管理部在逐步排查故障的同时，设备管理部的仪表维护岗和自控维护

岗也会分别进行排查故障数据点位对应现场仪器仪表、对应 PLC 是否正常。

如下图所示，整个故障排查过程最少涉及 6 名工作人员，最少需要 10 次通

41
话，耗时约 340 分钟。

使用平台之后，如下图所示，只需要一名工程师登陆系统查看能源管理系统

告警，即可按照点位查询数据传输路径，查看故障具体原因，推送工单整个过程

用时不超过两分钟，大幅提高了故障诊断效率。

对于巡检管理也存在同样的情况，在使用平台之前，如下图所示，至少需要

四名工作人员耗时 4 小时到达下属钢厂，通过纸质表格记录现场设备数据，逐一

对服务器、网络设备、工业主机、控制设备等进行巡检，总体耗时约 300 分钟。

42
 使用平台之后，只需要一名工程师远程登陆系统查看资产管理界面，查看某

资产运行情况，设置平台定期自动化输出自动化巡检报告，全程不超过 5 分钟。

总结

烽台科技钢铁行业生产信息化安全保障运营平台面向信息自动化部门的设

备事故调查分析和巡检场景提供故障诊断、远程巡检等功能。

借助先进的工业物联网、互联网、云计算、大数据分析、数据建模、5G 通

讯等技术，依据 ACCM 设备管理理论，建立适合公司的设备管理平台，通过对

站点设备（系统）状态、数据、功率、能源等数据的采集、清洗、传输、分析、

积累、建模、应用，挖掘数据的潜在价值，使设备状态监控及预测性维修水平得

到大幅提升，减少设备故障停机及相关维修费用，实现现场少人值守。

最终通过信息化、智能化手段提升设备管理精益化水平，提升设备及公司整

体的智能化程度，提高企业的集约化管理水平，以获得更高的设备运行安全性、

更高的可靠性、更高的运行效率、更高的投资回报率，达到公司人员受控、工作

受控、设备受控，打造成为行业智能管控领先企业。

43
六、适用行业：

石油、化工、钢铁、燃气、电力、有色、轨交、烟草

七、联系人姓名及职位

姓名：林琳

职位：市场

联系方式：18612943605

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

新年迎接新挑战，烽台科技将坚持以安全赋能业务为导向，以用户需求为中心,

聚焦新一代信息技术与工业应用深度融合产生的安全需求,助力工业企业数字化

转型升级，为工业各行业用户降本增效,持续价值赋能。

——烽台科技 联合创始人/总经理 龚亮华

44
45
国舜股份

一、公司名称：

北京国舜科技股份有限公司

二、公司 logo：

三、工控安全产品名称：

工控安全审计系统

四、产品特点及优势：

特点：

1.工控协议深度解析

支 持 OPC,Modbus TCP/UDP, IEC104, DNP3, Profinet, MMS,S7, GOOSE,

SV,Ethernet/IP 等数十种工控协议报文的深度解析和检测。例如报文格式检查、

功能码控制、寄存器控制,连接状态控制等的检测。

2.工控行为规则自学习

基于对工控协议的深度解析,分析工控协议通信行为过程,自动学习基于工控协议

46
的操作行为和规则,对正常工控协议的通信行为建立模型,以此作为可信白名单防

护的基线,并可通过自定规则进行强化,可准确识别不合规操作等异常通信行为并

产生告警。

3.多重规则自定义

支持自定义工控协议白名单,对指定协议的操作进行细粒度检测和审计。支持通

过协议特征的方式添加新的协议,并可以对新添加的协议进行识别,规则匹配,产

生相关安全事件。

4.实时工控入侵检测

实时检测工控网络中的攻击行为,利用内置的工控威胁库,根据己知的威胁特征建

立检测规则,对网络中的工控漏洞攻击、病毒攻击等入侵行为进行实时告警。

5.工控网络异常状态检测

系 统 基 于 对 工 控 协 议 (Modbus TCP/UDP 、 OPC. Siemens S7 、 DNP3 、

IEC104,Ethernet/P,MMS、 PROFINET 和 FINS 等)的通信报文进行采集与深度

解析,对协议、流量等元素进行统计分析,实时显示网络的运行状态。采用异常流

量检测方法,通过对网络流量、通信行为建立模型基线,识别异常流量和异常通信

行为并产生告警,可准确识别如:异常指令操作、异常网络连接、不明接入设备(IP

地址)等异常状态。支持工业协议无流量监测功能,可持续监测指定工业协议的通

信状态,对流量异常中断事件进行实时报警。

6.流量分析可视化

支持图形化的事件显示、网络流量监控，给用户提供丰富的图形报表。

7.安全审计及响应

完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文,对安全事

47
件进行审计,及时追溯安全事件的轨迹,便于事后调查取证和回溯分析。独立的告

警响应机制,可定义对不同安全级别的安全事件的响应方式。支持对报文进行规

约检查,对不符合协议规约的报文,实时上报规约告警事件。支持对指定会话进行

审计,实时审计会话的 IP,端口,协议,上下行报文数和字节数等信息;支持对组态变

更,控制指令变更, PLC 下装,负载变更等所有写操作作为关键事件进行审计。

8.网络数据安全留存

系统默认对所有工控网络的原始数据进行加密存储,审计数据可留存六个月及以

上时间,也可根据用户自定义设置数据留存事件,满足行业相关的合规性要求。

优势：

1.贴合工业环境的硬件设计

产品硬件采用了适应工业环境的硬件设计。

防护等级 IP40,满足工控网络应用环境要求。通过工业级宽温测试，工作温度、

湿度满足工业现场要求。低功耗、无风扇、全封闭设计。

2.支持多重检测机制

通过“黑名单+白名单”策略构建多重检测机制,准确识别不合规操作等异常通信

行为,并产生告警。采用以下手段进行攻击威胁防护：

1)支持对已知攻击行为的检测和防护,内置了庞大可升级的工控威胁库；

2)支持自学习工控协议规则和行为,建立安全检测模型;

3)可通过白名单防护阻止一切不明的威胁。

3.完整记录工控安全事件

完整记录工业网络的重要操作行为、网络会话、异常告警、原始报文,便于事后

48
调查取证和回溯分析。

4.工业协议无流量检测

支持工业协议无流量检测功能,可持续监测指定工业协议和终端的通信状态,对流

量异常中断事件进行实时报警。

五、成功案例：

随着国际上工业互联网、工业 4.0、国内加强工业发展战略的提出，以及“两化”

融合的行业发展需求下，信息化与工业化深度融合的趋势在促进生产高效运行、

提升生产管理效率的同时，也给恶意攻击者提供了更多的攻击路径，对工业安全

提出新的挑战。

某化工企业作为在中间体及新材料、聚合物添加剂、农用化学品、天然橡胶等领

域具有核心竞争力的国际化经营大型国有控股上市企业，已进行过“精细化工行

业大数据平台”等数字化战略转型的卓越实践。但其也深刻认识到，在“两化”

融合和数字化转型不断深入的过程中，客户隐私信息、关键生产数据、工艺数据

都面临一定的安全风险。信息安全管控水平决定着企业在数字化转型道路上能够

走多远，建立完善的工业安全保护平台，全面提升企业的信息安全保障水平成为

公司两化融合和数字化转型的基础与关键。

双方通过紧密合作，围绕工业控制系统安全、工业生产网络与管理网络安全、工

业数据安全等建设工业企业网络安全综合防护平台，构建包括资产管理、漏洞检

测、入侵检测、态势感知、病毒防范、安全审计、数据保护等在内的一体化动态

综合防御体系。通过整合客户当前安全防护设备和防护能力，建立综合性的工业

企业安全防护能力并输出到下属单位，切实保障企业的生产安全。通过构建工业

49
企业安全综合防护能力，全天候多方位监控关键生产设备及重要业务系统安全状

况，及时发现、处置、阻断、溯源各类网络安全隐患风险，全力助推客户的安全

保障能力及安全团队能力提升，打造化工行业安全保障的模板，提升全行业的安

全保障水平。

六、适用行业：

电力、石油、石化、烟草、水利、轨道交通、智能制造等

七、联系人姓名及职位

姓名：于伟杰

职位：市场

联系方式：13206442075

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

国舜股份通过分析工控企业的安全痛点、设计合理的安全功能、测试验证了多种

安全场景，已完成工业防火墙和工控安全审计系统等产品化，获得了相应软件著

作权登记证书，工控产品顺利通过了公安部相关检测并获得了销售许可。目前产

品在石化、智能制造、市政等行业已有了典型场景化应用。同时，国舜股份借助

安全开发、安全服务等为行业企业提供从软件开发、设计、测试、验收及企业的

运营、维护、制度、体系等全方位、立体化的纵深安全防护。

——副总裁 汤志刚

50
51
国泰网信

一、公司名称：

北京国泰网信科技有限公司

二、公司 logo：

三、工控安全产品名称：

1. 工业防火墙系统

2. 工控安全监测与审计系统

3. 工控安全管理平台

4. 工业安全隔离网闸系统

5. 工业数采安全隔离与信息交换系统

6. 工控统一安全运维平台（工控堡垒机）

7. 工控漏洞扫描系统

8. 工控入侵检测系统

四、产品特点及优势：

1. 工业防火墙系统

52
特点：

工业防火墙（GTEC-FW）是专用于工业网络中不同安全级别或不同网络安全域

之间进行安全隔离防护的产品。产品主要基于对工业网络协议深度解析，利用机

器学习技术识别工业资产和应用协议。结合白名单、黑名单、安全域划分、

IP/MAC 地址绑定等技术，抵御工业网络中各类已知和未知的恶意攻击行为，为

工业网络中各类生产系统和业务系统的稳定运行提供安全保障。

优势：

1) 深度工业协议解析：支持对 OPC UA、OPC DA、SNMP、Ethernet/IP、

Modbus/TCP、Profin、IEC104、DNP3、MMS、S7、GOOSE、SV 等 10

多种常用工业协议深度解析，并支持自定义扩展私有协议。

2) 智能构建可信策略：通过流量自学习，建立可信的工控网络安全策略基线，

简化策略配置流程，降低人工部署难度，提高现场配置部署效率。

3) 强大的网络适应性：支持透明模式、路由模式、工作模式、测试模式。各模

式间可快速切换，适应复杂的工业网络环境要求，方便实施部署。

4) 指令精准解析与控制：支持主流工业协议 Modbus TCP、OPC、Profinet、

53
 DNP3 等多种工业控制网络协议的数据包深度解析与精准控制。

5) 多重防护机制：具备传统网络 DoS/DDoS 恶意攻击防护能力，并基于工控

威胁特征识别技术、黑名单特征库匹配机制构建多重防护，抵御针对工控系

统的各类攻击。

6) 高可靠性：硬件设计中增加成对的 bypass 端口，遇设备掉电、宕机等情况

仍能保障业务连续性。全系列产品标配双电源，确保设备供电稳定。采用无

风扇设计，保障硬件长时间可靠运行。产品可灵活定制硬件接口并可按需拓

展处理性能。

7) 内置专业反病毒引擎：专业脱壳引擎及解压缩引擎，结合特征码扫描、启发

式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对 JS、VBS、

SH、Python、PHP、BAT 等多种格式的脚本进行扫描，快速准确检测

Shellcode 威胁。宏病毒引擎可清除 Office 文件中的恶意宏代码，正确修复

文档。

8) 可信计算：基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫

机制，保证系统启动的可信引导；同时具备自主免疫机制，实现对已、未知

恶意代码的主动防御，降低可执行程序被篡改破坏的风险，保障系统安全稳

定运行。

2. 工控安全监测与审计系统

54
特点：

工控安全监测与审计系统（GTEC-MA）是针对工业控制网络流量进行行为分析

与安全监测的审计类产品。产品基于流量检测技术，快速识别工控网络中的非法

操作、异常事件、外部攻击等行为，同时可记录工业协议通信指令行为，为安全

事件的调查提供依据。

优势：

1) 深度解析协议指令：支持对 MODBUS、IEC104、MMS、PROFINETIO、

SV、OPC UA、OPC DA、SNMP、DNP3、S7、GOOSE、ENIP、PNRTDCP

等十余种主流协议解析。可深度分析生产通信环节中的控制指令、参数、遥

感、遥测等信息。

2) 精准识别攻击行为：利用自有的工控威胁黑名单库，建立特征匹配规则，精

准识别工业网络中的攻击行为并实时告警。

3) 实时监测网络流量：实时监测工控网络中通信协议状态、流量等元素并进行

统计分析，通过自定义规则或白名单规则，检测业务流量中不合规的工控网

络行为，对不合规行为进行实时告警，并留存网络数据。

55
4) 安全留存审计数据：对所有工控网络中的原始数据进行安全存储，并根据行

业相关审计要求，审计数据留存时间不少于六个月。

5) 数据保护及自身安全保障：基于国产密码的数据安全防护和安全传输隧道机

制，保证上传数据的可靠传输和防窃取。以可信计算为核心、可信硬件为载

体、可信算法为纽带，共同构建软硬一体化的安全防护机制，保证业务传输

安全和自身安全。

6) 内置专业反病毒引擎：专业脱壳引擎及解压缩引擎，结合特征码扫描、启发

式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对 JS、VBS、

SH、Python、PHP、BAT 等多种格式的脚本进行扫描，快速准确检测

Shellcode 威胁。宏病毒引擎可清除 Office 文件中的恶意宏代码，正确修复

文档。

7) 可信计算：基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫

机制，保证系统启动的可信引导；同时具备自主免疫机制，实现对已、未知

恶意代码的主动防御，降低可执行程序被篡改破坏的风险，保障系统安全稳

定运行。

3. 工控安全管理平台

56
特点：

工控安全管理平台（GTEC-UM）是对工控网络中各种安全产品进行统一管理、

授权、策略配置和事件统计关联分析的安全产品。通过对安全设备统一监测审计、

安全策略集中配置、安全事件集中采集和关联分析的方式，为安全管理及运维人

员提供判断和策略依据，从而提高工控网络安全运维管理效率，提升工控网络安

全整体防御能力。

优势：

1) 安全设备集中管理：集中管理工业网络中的安全设备和网络资产，具备设备

状态管理、事件管理、设备配置管理、网络资产拓扑等功能。

2) 安全状态统一监测：对全网安全设备的运行状态进行集中监测，实时发现网

络中安全设备的运行故障并告警，确保重要业务、生产系统的连续性。

3) 安全策略集中部署：能够根据当前安全威胁和特定的业务场景对工业防火墙、

监测审计等安全设备统一定制和部署安全策略，降低网络安全管理的成本。

4) 安全日志集中审计：能够通过 Syslog、SNMP 等方式收集安全设备、工控

57
 设备、网络设备、主机等系统的日志数据。

5) 日志报表集中管理：可对工业网络中收集到的各种日志进行独立分析和关联

分析、归档，方便管理员对网络异常事件精确定位。

6) 数据保护及自身安全保障：基于国产密码的数据安全防护和安全传输隧道机

制，保证上传数据的可靠传输和防窃取。以可信计算为核心、可信硬件为载

体、可信算法为纽带，共同构建软硬一体化的安全防护机制，保证业务传输

安全和自身安全。

7) 可信计算：基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫

机制，保证系统启动的可信引导；同时具备自主免疫机制，实现对已、未知

恶意代码的主动防御，降低可执行程序被篡改破坏的风险，保障系统安全稳

定运行。

4. 工业安全隔离网闸系统

特点：

工业安全隔离网闸系统是一款基于“2+1”结构的隔离平台，根据工业环境定制，

采用经过安全裁剪加固的安全操作系统，特有控制逻辑和专用通讯协议确保网间

58
工业协议安全隔离和工业数据的实时安全交换。

优势：

1) 工控协议深度解析：支持 OPC Modbus 、S7 、DNP3 、IEC104 等协议，

并可支持自定义协议。

2) 支持 OPC 协议映射：可动态管理连接端口。支持 OPC 协议解析，进行读拦

截、写拦截、读写拦截。

3) 支持 Modbus 协议映射：可动态管理连接端口，进行读、写、读写拦截。

支持 Modbus 协议元素级别控制，支持指定对协议功能码、从站地址、寄

存器地址、寄存器值、读寄存器长度进行读、写、读写拦截控制。

4) 两个安全域间安全隔离：基于对象、应用、时间、通道方向等元素建立安全

的数据传输通道，并限制连接数。

5) 支持跨网 SAT 映射：屏蔽内部网络结构，支持应用数据的纯单向传输，支持

工业协议私有化转换，传输工业数据落地加密、安全检查。

6) 同步支持：支持文件交换同步和数据库交换同步。

7) 提供视频映射代理或单向传输：支持主流视频厂商视频协议，支持协议二次

开发。

8) 内容审查：可对安全通道内的数据进行内容审查，包括关键字、文件特征、

防病毒等。

9) 高可靠性：冗余电源，支持双机热备/负载均衡，支持端口聚合。

10) 内置专业反病毒引擎：专业脱壳引擎及解压缩引擎，结合特征码扫描、启发

式扫描及行为判断技术快速检测各种已、未知病毒威胁。支持对 JS、VBS、

59
 SH、Python、PHP、BAT 等多种格式的脚本进行扫描，快速准确检测

Shellcode 威胁。宏病毒引擎可清除 Office 文件中的恶意宏代码，正确修复

文档。

11) 可信计算：基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫

机制，保证系统启动的可信引导；同时具备自主免疫机制，实现对已、未知

恶意代码的主动防御，降低可执行程序被篡改破坏的风险，保障系统安全稳

定运行。

5. 工业数采安全隔离与信息交换系统

特点：

工业数采安全隔离与信息交换系统（以下简称“工业数采网闸”）是一款专门为

工业生产环境的中心节点设计的高安全性隔离网闸。系统采用“2+1”硬件架构，

由内、外网独立的处理单元和安全数据交换单元组成。工业数采网闸为满足工业

领域数据的安全采集、安全隔离传输以及安全上报的功能，在隔离网闸的基础上

集成工业数据采集模块和应用数据上报模块。通过配置符合业务需要的安全策略，

在保证内外网隔离的前提下，实现高效安全的数据传输。支持 MODBUS、OPC

60
等主流的采集协议与 MQTT、SQL、OPC 等上报协议，适用于石油石化、煤炭、

轨道交通及电力电讯等工业控制系统。

优势：

1) 丰富的采集与上报协议：支持 MODBUS_TCP、RTU、ASCII、从站推送、

OPC_DA/UA 、 DL/T645 、 CJ/T188 等 协 议 的 数 据 采 集 ， 支 持

OPCUA_UPLOAD/SERVER、MQTT、SOCKET、SQL 等协议的数据上报；

极大的满足各种工控场景的需求。

2) 业务流程实时监控：实时动态监控采集通道、采集点位状态、上报任务/通

道的状态，并进行日、周、月的统计；当采集点位状态异常时，可自动发出

警告；当上报系统和上报接收服务器发送故障后，可自动重连接收服务器，

继续完成工业数据的上报。

3) 自定义阈值告警：支持阈值设置，可跟进特定应用场景设置应用指标的高位

报警和低位报警，超过阈值自动向系统发送报警信息。

4) 便捷的管理设计：通过内网专用管理口进行管理，提供 web 图形化界面；

对采集通道、采集点具有批量导入和导出功能，解决了复杂应用环境下的配

置繁琐和大量配置工作量的问题；大大提高了系统的便利性和可操作性。

5) 可信计算：基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫

机制，保证系统启动的可信引导；同时具备自主免疫机制，实现对已、未知

恶意代码的主动防御，降低可执行程序被篡改破坏的风险，保障系统安全稳

定运行。

6. 工控统一安全运维平台（工控堡垒机）

61
特点：

工控统一安全运维平台 GO TECH-SOP （简称“工控堡垒机”）是国泰网信

自主研发的新一代软硬件一体化平台。产品支持对企业运维人员在运维过程中进

行统一身份认证、统一授权、统一审计、统一监控，消除了传统运维过程中的盲

区，实现了运维简单化、操作可控化、过程可视化，是企业 IT 内控最有效的管

理平台。

优势：

1) 强大的应用发布系统：通过应用发布系统，能够极为方便地将用户需要管理

的系统托管至堡垒机系统，包括但不限于用户自主开发的各类应用及各类数

据库应用。

2) 审计信息“零管理”：支持“日志零管理”技术，所有管理员需要日常进行

的操作日志均可由系统定时自动后台生成。

3) 强大丰富的管理能力：支持 B/S 管理方式，Web 管理灵活方便，适合在任

何 IP 可达地点远程管理。提供带外管理功能，解决远程应急管理的需求，

减少用户运营成本、提高运营效率、减少宕机时间、提高服务质量。

4) 方便灵活的可扩展性：支持多个硬件管理口，管理口即插即用，提供对多个

区域网段的同时管理能力；支持通过发送邮件、日志数据库记录、打印机输

62
 出、运行自定义命令等响应方式及时报警。

5) 高可靠的自身安全性：采用专门设计安全、可靠、高效的硬件运行平台；采

用支持热插拔的冗余双电源，具有高可用性；通信采用强加密的 SSL/TLS 传

输控制命令，完全避免可能存在的嗅探行为，确保数据传输安全。

6) 工单下发：支持工单系统申请资源、账号、权限、操作许可等，并支持多人

审批及结合指令自动生成工单等功能。

7) 离线运维：运维用户可使用专用调试终端直接连接资产进行离线运维，也可

自带运维终端串行连接移动网关进行离线运维，还可自带运维终端旁挂移动

网关，再直连资产进行离线运维。

8) 日志上传：通过专用调试终端或移动运维网关访问操作日志定时自动上传。

7. 工控漏洞扫描系统

特点：

工控漏洞扫描系统能够全面、精准地检测信息系统中存在的各种脆弱性问题，包

括各种安全漏洞、安全配置问题、不合规行为等，在信息系统受到危害之前为管

理员提供专业、有效的漏洞分析和修补建议。并结合可信的漏洞管理流程对漏洞

进行预警、扫描、修复、审计，防患于未然。

63
优势：

1) 空间资产探测：自动生成网络拓扑，方便用户快速发现、统计全网信息资产，

了解安全风险等级。

2) 系统漏洞扫描：全方位、多侧面对系统进行实时、定期的系统漏洞扫描和分

析。

3) WEB 漏洞扫描：全面支持 OWASP TOP 10、敏感关键字、挂马、暗链、钓

鱼等漏洞检测。

4) 数据库漏洞扫描：支持十余种数据库，内置扫描策略超 2000 条，并可发现

数据库中潜藏的木马。

5) 基线配置核查：对目标系统进行自动化的基线检测、分析，并提供专业的配

置加固建议与合规性报表。

6) 工控漏洞扫描：支持对主流的工业控制系统进行漏洞扫描和分析，支持远程

检测及离线比对方式。丰富的漏洞知识库方便用户及时发现漏洞，通过安全

加固降低因工控漏洞带来的经济风险。

7) WiFi 安全检测：支持对 WiFi 无线网络进行安全检测并生成 WiFi 安全检测

报告。

8) Docker 漏洞扫描：可检测 Docker 漏洞、Docker 镜像漏洞、木马后门以及

不安全配置。

9) 大数据漏洞扫描：支持对主流大数据平台组件进行漏洞扫描和安全配置合规

性检查。

10) 视频监控安全检测：可以对视频监控系统进行漏洞扫描，涵盖了视频监控系

统的各种操作系统、网络服务、弱口令。

64
11) Windows 安全加固：支持对 Windows 操作系统的配置、网络、接入、日

志、防护等方面进行自动和手动安全加固。

12) 全网分布式管理：提供全网分布式管理功能，从而实现了对大规模网络实时、

定时的漏洞扫描和风险评估。

13) 可信计算：基于商密算法的可信密码模块、白名单的业务系统恶意代码免疫

机制，保证系统启动的可信引导；同时具备自主免疫机制，实现对已、未知

恶意代码的主动防御，降低可执行程序被篡改破坏的风险，保障系统安全稳

定运行。

8. 工控入侵检测系统

特点：

工控入侵检测系统是一款专门针对工业互联网攻击威胁设计的检测与审计类安

全产品。产品内置专业的工控攻击规则库，涵盖包括缓冲区溢出、扫描攻击、

DoS/DDoS、SQL 注入、蠕虫病毒、木马、后门类等多种类型的攻击特征；同

时可根据业务功能需求制定网站过滤、Email 过滤、应用识别与控制等，对工业

控制网络上捕获的数据包进行相应的行为匹配，及时发现来自生产网内外部攻击

威胁，为客户提供直观、可落地的安全防护建议，保障生产网络安全运行。

65
优势：

1) 丰富的工控攻击库：可以检测和防御针对工控系统的网络攻击，保证工控系

统的安全。产品内置了上百种多个 SCADA 特征库，涵盖了 DNP3, ICCP,

Modbus 等多种协议，而且也涵盖了多个厂商产品，比如研华、施耐德、西

门子、ABB 等产品。

2) 智能构建安全基线：采用深度自学习技术，对通信报文进行深度解析，完成

对工控数据的实时监控和记录，进行自定义调整，定制化安全检测策略，根

据自学习的规则模型，实时检测工控数据流，发现异常时进行报警。同时详

实记录一切网络通信行为，包括指令级的工业控制协议通信记录。帮助用户

以最直观的方式了解和掌握网络中的业务通信状态，发现工控网络潜在的安

全风险。

3) 工控协议深度解析：产品内嵌协议深度解析引擎，可解析工控两大类通讯协

议，支持主流工控协议（如 OPC、Modbus、S7、DNP3、CIP、MMS 等）

深度解析功能，并对数据包完整性、功能码合法性、寄存器值合法性等多个

层次进行分析，及时发现异常通讯行为。

4) 状态检测流量审计：可基于状态检测机制对会话进行分析，跟踪会话从建立、

维持到中止的全过程，已建合法连接的后续数据通信可直接放行，极大的简

化了配置，提高了效率。所有的会话都会维持在会话表供管理员分析及排错

使用。

66
五、成功案例：

1. 某火电厂工控安全防护项目（电力）

项目背景

电力行业作为我国重要的基础性行业，支撑着社会经济的发展，关乎国计民生。

依据网络安全等级保护基本要求中工业控制系统安全扩展要求，对电力系统的综

合安全防护建设工作仍需持续加强。该火电厂工控网络存在缺少边界防护措施、

系统缺乏有效监控手段、工作主机无防控措施、多网络接入点、无法高效统一监

管等问题，亟待解决。

方案介绍

通过部署工业防火墙，可有效划分安全区域，提供边界防护及各网之间防护；通

过工控安全监测与审计系统，精准发现网络攻击行为；通过部署主机安全卫士，

对主机终端加固、解决病毒木马侵扰问题；通过统一安全运维系统，实现服务器

等资源的访问权限控制和操作审计；通过漏洞扫描系统，及时发现网络中存在的

安全漏洞和脆弱点；通过安全管理平台，实时查看网络现状，对远端运维设备实

时了解动态。

67
客户价值

1) 符合“等级保护 2.0”相关标准要求，符合电力 36 号文中指出的“安全分区、

网络专用、横向隔离、纵向认证”基本原则；

2) 针对电厂工业系统的不同层级，实现多重网络逻辑隔离安全防护，保证各层

级网络相互独立，防止网络攻击在各网络间传播；

3) 主机多维度安全管控，实时监控主机运行状态、阻止异常操作行为，保证现

场关键操作员站和服务器的安全运行，增强系统的整体安全防护能力；

4) 多角度实时掌握现场设备运行情况，秒级的事件告警传递和详细分析，帮助

运维人员尽早发现和解决问题，提高安全运维效率，全方位保障电力系统高

效、稳定运行。

2. 某企业石油炼化工控安全防护项目（石油炼化）

项目背景

石油炼化产物种类繁多，加工工艺复杂，现场控制器一般都为 DCS 等大型控制

68
系统，操控较为繁复，但现场控制系统权限管理普遍比较宽松，易造成重大安全

事故。此外，随着新一代信息技术与炼油化工行业融合，在提高生产效率和管理

效率的同时，也增加了许多新的攻击途径，使得石油炼化企业生产控制系统面临

越来越多的安全威胁和挑战。依据网络安全等级保护基本要求中工业控制系统安

全扩展要求。该炼化工业生产控制网络缺乏边界的安全防护，操作系统、应用软

件漏洞及木马病毒、统一的安全管理问题。

方案介绍

通过部署一系列工控安全产品，总体保障炼化生产系统网络安全，满足“等级保

护 2.0”相关标准要求。其中安全隔离与信息交换系统，保证各炼化系统与 MES

系统之间的数据单向传输，防止攻击进入各炼化车间；工业防火墙，可防止网络

攻击进入控制网；采用工控安全监测与审计系统采集全网流量、分析对计算环境

内的异常行为与攻击前兆特征进行预警；主机安全卫士可识别、阻止任何白名单

外的程序运行，阻止病毒、木马、恶意程序运行和传播；通过统一安全运维系统，

限制对服务器等重要资源的访问权限分配、访问记录和操作过程的审计；由安全

管理平台提供图形化的安全设备统一管理入口，快速设置整体安全策略，批量下

发各类安全设备配置；通过漏洞扫描及时发现工控系统中存在的风险和隐患。

69
客户价值

1) 满足国家标准（《工业控制系统信息安全防护指南》与等级保护 V2.0）、

行业规范（《中国石化工业仪表控制系统安全防护实施之规定》）等合规性

要求；

2) 确保各控制系统和中控室网络之间的业务安全和数据可靠性，防止工程师站

的恶意操作和工控协议漏洞攻击，降低安全运维风险；

3) 实时掌握网络运行状况，及时发现控制系统运行异常，协助运检人员发现问

题、查找原因和解决问题，保障炼油化工业务系统安全、可靠运转。

3. 某军工企业工控安全防护项目（军工）

项目背景

根据科工 XX【2016】347 号令对军工制造业涉密信息系统与工业控制系统连接

70
的信息安全防护要求，重点加强互联后的网络安全、数据安全、边界防护，阻断

工业控制系统到涉密信息系统的威胁途径，防止因工业控制系统导致的失泄密事

件发生，为军工制造涉密信息系统与工业控制系统互联提供可靠、有效的信息安

全保障。

方案介绍

在 SM 管理区域和工业控制系统区域单独建立安全数据交换区域，在安全数据交

换域部署两台安全隔离与信息交换系统（单导），通过数据摆渡及敏感信息检查

功能，完成 SM 管理区域和工业控制系统区域的物理隔离；在工业控制系统的监

控层核心交换机旁路部署工控安全监测与审计系统，通过工业协议深度解析、关

键网络节点流量监测功能，提高军工工控网络的内外网入侵和恶意代码防御能力；

在监控层核心交换与控制层各个区域之间部署工业防火墙，通过工业防火墙的协

议深度解析、黑白名单防护功能实现各区域间数据传输的域间逻辑隔离防护；在

工控系统的工程师站、操作员站、DNC/MDC 等服务器部署工控主机卫士，通

过主机卫士的白名单自学系统能结合主机加固和外设管控功能，实现对操作系统

的安全防护；在监控曾建立安全管理中心区域，在安全管理中心部署工控漏洞扫

描系统、安全运维管理系统和安全管理平台，对工控系统内的安全设备统一管理、

策略统一下发、工控设备的定期安全检查和运维人员的访问权限控制及运维审计。

71
客户价值

1) 通过工业防火墙、工控审计、工控 IDS、安全管理平台等工控安全防护设备，

使工控网络的安全防护达到等保 2.0 的三级防护要求，解决客户工业生产网

络的安全；

2) 建立数据安全缓冲域，通过工控网络安全隔离装置完成数据单向隔离传输，

帮助客户实现涉密与非密的交互安全。

六、适用行业：

电力、石油石化、能源、党政军企、铁路、轨道交通、烟草等行业

七、联系人姓名及职位

姓名：史瑀

职位：品牌运营事业部-总经理

联系方式：13810189202

72
八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

国泰网信深耕工控网络安全多年，已自主研发出全套工控网络安全产品，并对工

业企业，特别是电力、能源等关乎国计民生的关键基础设施行业的用户场景、业

务流程等有着深刻的理解。公司可针对用户系统安全防护需求，结合行业标准及

规范，构建系统级的内生安全防护体系，实现安全与业务的深度融合，为用户的

业务安全保驾护航。

——北京国泰网信科技有限公司 CEO 李欣

73
六方云

一、公司名称：

北京六方云信息技术有限公司

二、公司 logo：

三、工控安全产品名称：

工业防火墙

工业网络审计

工业主机卫士

工业安全管理平台

工业网闸

工业漏扫

工业态势感知与安全运营平台

74
四、产品特点及优势：

工业防火墙

特点：

工业级专用硬件，适应各种工业环境

采用工业级芯片和电子元器件、无风扇一体化设计，支持-40℃~85℃宽温工业

环境，设备在高湿，盐雾等恶劣环境正常运行。

一体化防护引擎，适用OT与IT深度融合场景

六方云工业防火墙实现三位一体的OT与IT融合，安全防护引擎一体化、安全防

护知识一体化、安全防护功能一体化。

OT与IT协议深度解析，访问控制更精细

支持基于用户，基于网络，基于工业协议，基于白名单，基于关键字，基于时间

的六维访问控制，可根据安全场景和目标灵活进行组合设置，安全运维灵活性得

到大幅度提升。

自研安全操作系统，满足低时延和低抖动要求

基于自研嵌入式操作系统，控制与转发平面分离，计算资源更多专注于安全业务，

整机性能比同等配置高出50%以上，满足工控系统时延、时序、抖动等严苛要求。

IPv6、NAT和VPN丰富工业互联网安全部署方式

支持IPv6与IPv4双栈以及各种过渡方案，工业NAT可隐藏工控系统，缩小受攻击

面，工业VPN支持国密加密算法，可靠性更高。

75
可信计算构建可信工控系统，满足等保合规要求

采用可信计算技术，基于硬件可信根，实现启动、固件、系统、功能的完整可信

链，确保防火墙系统安全可信，为工业控制系统和工厂构建安全可信环境。

优势：

工业级硬件

支持机架式和导轨式两种产品形态，满足不同工业现场的部署要求；采用工业级

硬件平台，支持无风扇设计、冗余电源，适用于高湿、宽温等复杂、恶劣 的工

业环境。

协议识别广而深

支持主流工控厂商OT协议的深度解析；支持常见IT协议的深度解析。

工业漏洞库

涵盖主流厂商的工业漏洞；精细分类工业漏洞，精确防护工业设备。

白名单与机器学习

对工业控制网络中所有不符合白名单的数据和行为特征进行阻断和告警，消除未

知漏洞危害；通过机器学习自动收集系统正常运行状态下的数据行为，识别工业

网络环境网络的安全数据特征，建立网络流量安全基线。

高可靠性

76
硬件ByPass，当机器出现能源异常时，Bypass网口自动导通，保证业务正常运

行；软件ByPass，当网络数据超出防火墙最大负荷时，在条件地将部分安全数

据软bypass，保证网络时效性。

符合工业操作习惯

符合工业习惯的操作界面，运行情况一目了然；符合工业习惯的设置方式，运行

方式简单易懂；符合工业习惯的展现形式，安全事件查看驾轻就熟。

工业网络审计

特点：

一体化引擎，实现OT与IT融合安全

OT与IT走向融合是当前工业互联网场景下的必然趋势，六方云工业网络审计实

现三位一体的OT与IT融合：安全检测引擎一体化、安全检测知识一体化、安全

检测功能一体化。

多级安全检测，让安全审计全面与精准

支持协议、流量、运维、内容四级安全检测，使得安全审计更加全面与详尽。

四维工业威胁画像，让安全风险可见

支持从威胁类别、威胁数量、攻击链，威胁损失等四个维度进行威胁画像，让工

业场景下的安全风险可以直观看见，及时采取必要安全措施，避免造成损失。

两级网络拓扑结构展示，让工业网络可视

77
支持工控网络、厂站网络的拓扑结构绘制，结合网络类的资产属性，让工业网络

的结构和状态一目了然。

工业流量统计与证据留存，让异常行为无处遁形

支持针对工控通信流量从协议类别，吞吐，速率，时延，抖动，流向，异常等七

层钻取，通过统计图表展示，并将异常流量与攻击流量留存在本地或远程审计服

务器上，从而让异常流量和威胁行为无处遁形。

丰富的审计报表，让安全运维更简单

支持各种审计报表导出格式，在操作界面上即可实现审计报表内容、格式、生成

与发送周期等定制设置。

优势：

丰富的报表内容及告警样式

可定制的报表内容，可定制的报表生成周期，以及可定制的报表导出格式。定制

告警内容，根据需要灵活配置告警聚合规则，减少告警数量及状态。

领先的OT与IT融合引擎

工业互联网的建设加速，OT与IT网络的边界扁平化，单OT和单IT的防护能力无

法防护现代工控系统的边界，六方云领先的OT和IT融合引擎，将OT与IT的协议

行为检测、工控设备的漏洞检测技术有机地整合，无死角监测工控网络内部与边

界。

78
多层次的深度检测技术

基于应用层的流量检测，透明化工业控制网络通讯数据，在人机交互界面中展示

通讯的数据。能有效检测20余种工业协议的深度解析，并根据解析内容，将报

文在人机界面上转换为业务信息，给予全方位的展示，作为事后审计的依据。

自学习的白名单策略

工业白名单是通过学习网络数据流量中的工业协议，生成特定的工业协议特征库，

包括网络数据中的源IP，目的IP，协议名称，详细协议数据。在默认情况下，任

何未经批准的主机、协议或功能指令都认为是潜在威胁，一旦检测到未经批准即

白名单以外的网络数据，及时上报异常事件，从而为审计恶意软件的针对性攻击

提供识别依据。

丰富的工业漏洞库

工业漏洞库丰富并持续维护，其中包含1000余种工业漏洞，涵盖了目前主流厂

商的工业漏洞信息。精细分类工业漏洞，精确审计工业设备和主机漏洞。为工业

客户排除安全风险，及时发现隐患。

以资产为核心进行安全状态展示

工业网络审计与入侵检测系统以资产为核心展示安全状态，对资产的各个维度进

行分析，评估资产安全风险，帮助用户掌握网络安全态势，事件发生趋势及资产

风险行为一目了然。

工业主机卫士

79
特点：

精准白名单管理，阻止非法程序运行

自动扫描、跟踪软件安装及升级、自定义添加、手工导入等方式管理白名单。并

且内置操作系统和主流工控软件白名单，提升部署效率。

智能“灰过白”策略，无忧批量部署

通过在集中管理端对待保护主机的精细学习，自动生成“灰过白”的安全策略，

从而实现同类型工业主机安全策略的批量化部署，高效提升安全运维效率。

预置“白名单”机制，安全管控更高效

基于丰富的工业实践经验，收集了大部分操作系统和主流工业应用软件并提取白

名单，实现无需提前查杀病毒即可部署工业主机卫士，大大节省实施时间，提高

防护精确度。

灵活外设管控，减少数据泄漏与病毒感染路径

控制安全U盘和普通U盘的读写权限，杜绝数据泄露和感染病毒事件发生。可对

安全U盘进行认证，方便数据安全摆渡。

全面外联检测，及时发现潜在威胁

对自定义的ip或域名进行网络检查， 对非法网络连接进行日志记录和告警。并

且支持冗余网卡、移动网卡检测。

资源占用小，业务“零影响”

工业主机卫士采用轻重量的白名单机制对主机进行防护，系统资源占用少，安装

80
部署后对工控系统零影响，无需重启系统。支持在不影响使用的情况下对工控软

件的安装和升级。

优势：

白名单快速生成

通过扫描主机可信路径或目录，自动快速创建主机应用程序白名单。

主机加固

系统内核加固维护主机完整性，防止操作系统被恶意破坏。

外设管控

基于硬件ID进行识别和匹配，仅允许授权外设使用。

兼容性强

兼容各版本Windows、Linux、Unix和国产化操作系统。

工业安全管理平台

特点

资产统一管理，拓扑清晰展示

对工业主机、工业网络设备、工业安全防护设备、工业控制器等资产进行统一管

理，消除信息孤岛并高效的掌握网络环境安全态势。

81
安全集中管控，运维效率倍增

支持对网络安全设备进行策略集中配置管理，定时对网络安全设备的策略进行备

份，批量对多台安全设备进行策略下发、简化用户管理多台设备的维护成本，提

高运维效率。

事件关联分析，挖掘潜在威胁

对安全防护设备所产生的安全事件及系统操作日志进行详细记录及整体分析，基

于关联分析算法、机器学习算法、威胁情报等手段对企业资产潜在的安全威胁进

行全方位监测，为攻击溯源提供重要依据。

智能生成“灰过白”策略，部署精准又高效

平台集成智能AI分析算法，对工业卫士扫描生成的系统和应用灰名单进行智能检

测与过滤，最终生成安全可信的白名单，并可批量下发与应用到工业终端。

优势

清晰拓扑展示

可建立资产组织管理、工业层级、安全域等各类拓扑图，监测资产状态。

安全统一管理

可对安全设备进行策略的集中下发、增量配置、远程升级等集中管理

日志分析溯源

可对安全事件进行全面记录、分析及展示，便于用户对历史事件追溯。

82
工业网闸

特点：

协议中断，信息落地

内/外端机是内/外网络各自通用协议的终点，一方的网络协议不可向对方延伸。

所有过往的应用层信息都从协议包中剥离，被还原为应用层信息，保证传输安全

可靠。

工业协议应用数据传输

支持工控领域常见的主流工业控制协议，工业协议应用可以正常通过网闸通道，

满足不同安全域数据传输的需求。

数据库同步交换

提供多种主流数据库的单、双向数据交换，支持同步表双向检索，无需修改数据

库表结构，不涉及到代码修改及二次开发，便捷高效。

文件同步交换

支持多种文件传输协议，支持一对多或多对一同步传输，支持多级子目录同步，

可对文件类型、后缀名、关键词等进行过滤。

视频协议传输

实现视频网络与信息通信网的网络隔离，支持多种视频硬件平台，如摄像头、

DVR（数字硬盘机）、流媒体服务器、视频服务器等设备。

83
优势：

安全的操作系统

设备所依赖的操作系统引擎经过了最大化精简，是在专门进行了安全优化和加固

的基础上建立起来的，其本身的安全性值得信赖。

多种安全机制加持

双机热备、链路聚合、黑白名单、冗余电源等多种机制加持，保障系统高可靠运

行。

专用硬件

在六方云工业网闸系统内部，采用了专用高速数据处理部件，使系统具有了极高

的数据吞吐能力。

专用通信协议

通过在专用操作系统内核中嵌入特有协议和认证机制，使得系统的安全隔离的能

力进一步增强。

工业漏扫

特点：

空间资产探测

84
综合运用多种手段，全面、快速、准确的发现被扫描网络中的存活设备，准确识

别其属性，为进一步的漏洞扫描做好准备。

漏洞扫描

全方位、多侧面对主流的操作系统、应用服务、数据库、网络设备、虚拟化平台、

大数据、视频监控系统、工业控制系统等进行实时、定期的系统漏洞扫描和分析，

帮助客户对网络进行安全加固。

报表关联分析

采用报表和图形的形式对扫描结果进行分析，可以预定义、自定义和多角度多层

次的分析扫描结果，方便用户网络中的漏洞情况。

分布式管理

系统向下级引擎下达扫描任务，接收下级引擎上传的扫描结果，进行统一分析，

生成整体扫描报告，从而实现对大规模网络的实时、定时的漏洞扫描和风险评估。

技术优势 Technical advantages

优势：

丰富的漏洞知识库

漏洞知识库涵盖了各种主流操作系统、数据库、网络设备、应用程序，兼容CVE

等标准，全面发现信息系统中的各类安全风险。

工控无损扫描

采用低发包率、非漏洞触发的远程指纹探测技术，对工业生产零影响，方便用户

85
及时发现工业控制系统中存在的安全漏洞，降低因工控漏洞带来的经济风险。

专业、直观的报表管理

将扫描结果通过灵活的报表呈现给用户，提供定性的趋势分析、定量的风险分析，

帮助用户更加直观地了解当前网络安全状况。

及时、快捷的升级服务

利用系统内置的升级模块，对漏洞库、软件进行升级，确保系统可以及时准确的

检测到最新公布的漏洞，保障信息系统的安全。

工业态势感知与安全运营平台

特点：

高效安全运维

平台集成多种故障诊断工具，结合不同维度的安全日志及丰富的威胁情报知识库

对安全运维提供重要保障。

工业资产管理

基于企业内网络对企业内部工业资产进行精准、无损探测识别，支持资产手工注

册，自定义资产分组及资产的实时状态监测。

工业资产画像

对企业内资产进行不同视角的脆弱性扫描监测，支持多种扫描指标（漏洞类型、

漏洞威胁等级等）可视分析，支持漏洞详情展示、漏洞情报处理等功能。

86
工业应用威胁可视

自动描绘企业内工控网络拓扑，对企业内部发生的纵向威胁、横向威胁、僵木蠕

等威胁事件进行集中监测、异常行为分析呈现。

工业协议威胁可视

支持对工业协议的相关指标、指令进行统计分析和监测，对工业流量和日志进行

收集、存储、汇总分析及呈现。

工控资产、应用脆弱性管理

对工控资产、应用漏洞进行综合评级、评分并给出相应的漏洞解决方案。

攻击溯源取证

通过对企业内部的1-4层纵向业务链内资产的监测，利用异常扫描、入侵事件、

非法访问、病毒投放等威胁行为生成攻击溯源链，清晰刻画出攻击者的攻击行为

轨迹。

优势：

运用数据融合技术，支持异构数据源的采集

基于多传感器数据融合MSDF理论，采集各类安全日志进行自动化智能分析、挖

掘未知威胁，实现整体安全清晰可视。

深度解析并识别业务应用，看清业务逻辑

从网络风险访问、外联风险识别、核心业务资产识别归类、业务资产的访问关系、

87
业务脆弱性监测、新增业务监测等角度进行整体业务画像呈现。

清晰还原攻击过程并取证，看懂安全风险

集中呈现企业内部访问视图，分析攻击入侵过程，利用分类的手段将攻击划分至

攻击链中，直观呈现出攻击的入侵轨迹及危害程度。

自动发现并精准识别资产，多维资产画像

多维度对资产进行详细画像，通过主动扫描和被动监测，对资产的脆弱性进行详

细画像，基于实时动态监测实现互联网暴露资产及站点的综合管理。

分析并发现潜在威胁，看清安全态势

借助人工智能技术进行行为建模学习、流量建模学习及模型自我训练，从而可分

析出潜在的高级威胁与未知威胁，精准定位及呈现潜在威胁态势。

事件关联分析并智能聚合，高效辅助运维

安全事件日志智能归一聚合处理，从百万级日志中快速且精准的识别网络风险，

实现事件的快速应急通报，满足政策要求及监管合规。

五、成功案例：

案例一：助力轨道交通综合监控系统构建 AI 安全防护体系

案例二：助力某能源化工集团构筑信息安全防护体系

案例三：“智”造码头，干散货码头智慧港口工控安全建设

88
案例四：天燃气电厂“燃气-蒸汽”热电联产工控大区安全防护

六、适用行业：

七、联系人姓名及职位

姓名：闫志坤

职位：品牌总监

联系方式：18511337294

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

对行业发展寄语：习总书记说，没有信息安全就没有国家安全，安全行业将在未

来更大幅的增长，希望行业同仁能在 2023 年有更多的合作，铸就我们的信息安

89
全长城！

对甲方的寄语：创新是发展的动力源泉，希望给予创新技术公司更多的机会，让

他们有生存的空气和土壤，创新技术的发展会让整个行业更有生命力！

——六方云总裁 李江力

90
珞安科技

一、公司名称：

北京珞安科技有限责任公司

二、公司 logo：

三、工控安全产品名称：

USB 安全管理系统、工业主机安全卫士、工业防火墙、工业安全管理与态势分

析系统

四、产品特点及优势

USB 安全管理系统

91
特点：1、隔离式全流程使用控制：USB 设备不直接接入内部网络，必须通过专

用设备进行数据的中转。使用前需经过恶意代码的查杀，使用中基于安全策略进

行访问控制，使用后可进行文件操作审计。既可防范一般的病毒木马，也可隔离

固件级恶意代码攻击。

2、白含单式设备入网管控：基于 USB 存储设备的硬件序列号，实现白名

单式的设备准入控制，只有在白名单中的设备才允许入网使用，避免设备的滥用。

3、多样化文件访问模式：提供标准的 HTTPS 协议、FTP 协议、SFTP 协

议形式的网络化文件访问，授权用户可以从任意主机访问自己的 U 盘文件；系

统支持 OTG 模式的文件访问，允许用户像操作普通 U 盘一样进行文件访问，真

正实现对用户使用习惯零影响。

4、丰富的策略管理模式：支持文件白名单管理及文件下载黑名单两种管

理模式。可对拷出数据进行严格管控，保证重要数据不可以外流。

5、分权分级式权限管控：U 盘可以根据需要限制使用范围，划分为全域

使用、部门内使用以及个人使用；系统还可以根据用户身份，进行读文件、写文

件的分权控制，践行最小化授权原则，降低使用风险。

优势：1、隔离式接入控制，可防范固件级攻击。

2、多样化文件访问模式，适应各种使用场景。

3、细粒度权限控制，让 U 盘使用安全又高效。

4、入网强制杀毒，阻断病毒木马的传播。

92
工业主机安全卫士

特点：1、防范未知恶意程序：基于可信白名单防护机制，禁止白名单以外的非

法进程运行，能有效阻止各类未知恶意代码的感染、运行和扩散。

2、操作系统安全加固：从操作系统完整性保护、数据执行保护、配置文

件和注册表完整性保护等方面，对工作站、服务器等主机进行安全加固，防止操

作系统被恶意破坏。

3、细粒度的 U 盘管控：系统提供基于白名单的 U 盘接入管控，可细化至

单一 U 盘进行读写权限控制，杜绝 U 盘滥用，减少病毒传播隐患；提供基于硬

93
件级 AES256 高强度加密算法的安全Ｕ盘，有效防止暴力破解导致的数据泄密。

4、智能化的补丁与软件更新支持：借助智能化的系统补丁更新和应用软

件更新追踪技术，可以在不降低安全的情况下，后台自动化实现白名单的更新，

极大降低运维管理压力。

5、良好的系统兼容性：采用轻量级的内核访问控制技术，系统资源占用

率低、软件兼容性良好，最大限度贴合工业主机可用性第一的安全管控目标。

6、全面的操作系统覆盖：支持全系列 Windows 操作系统，从 Windows

2000、XP 到最新的 Win10，从 Server2003 到 2019；支持 RHEL、CentOS

等主流 Linux 操作系统；支持中标麒麟、凝思等国产操作系统，满足国家自主可

控的需要。

优势：1、极简化部署，方便快捷

2、智能化的补丁与软件更新支持

3、实用的操作系统安全加固配置

4、细粒度的 U 盘管控

5、全面的兼容性覆盖

6、多维度的安全审计

94
工业防火墙

特点：1、全面的工控协议深度解析：内置工业通讯协议的过滤模块，实现对工

业协议识别及过滤，能够对近百种工业协议进行识别，并能够对 OPC、Modbus.

Siemens S7、EtherNet IP、 IEC104、DNP3、IEC61850、Profinet、BacNet、

Omron Fins、 MELSEC-Q、SCNet、SONet、MOTT 等数十种主流工业协议

进行深度解析，同时支持自定义扩展的方式对私有协议进行适配。

2、细粒度的指令精准管控：支持对主流工控协议进行细致值域级的精准

指令控制。支持 OPC、FTP 等协议动态端口，支持 OPCDA 协议状态自动备份

和恢复，结合 BYPASS 能力，保证 OPCDA 协议在设备断电、重启等任何状态

下都保证业务连续性。

3、文件级还原审计：支持 FTP 及重点工控协议的文件还原，能够还原特

定协议流量中传输的文件；对于 NC 文件，支持 NC 文件的语义核查。

4、多重防护机制：具备传统网络层恶意攻击防护能力，并基于工控威胁

特征识别技术、可信白名单技术构建多重防护机制，业务流量通过可信白名单的

检测后，可对报文信息做进一步的黑名单检测，黑白结合，以及 IP 地址盗用、

未知设备接入监控，DOS 攻击、工控规约检查和工控关键事件审计等多重防护

机制，更有效地抵御针对工控系统的各类网络攻击。

5、智能构建可信规则：通过流量自学习建立工控业务可信行为基线，辅

助用户构建安全防护规则，降低人工部署的难度。

6、强大的网络适应性：支持透明模式和路由模式部署，路由模式下支持

静态路由和动态路由(OSPF)，适应复杂的工业网络环境，同时可工作在测试模

式或工作模式，方便实施部署。

95
优势：1、贴合工业环境的硬件设计。

2、全面的工控协议支持。

3、多层次的安全防护。

4、便捷的访问控制规则构建。

5、灵活的部署管理。

工业安全管理与态势分析系统

特点：1、全面的资产管理：自动识别企业内各种网络设备资产情况，支持对业

务层资产精准识别和动态感知，辅助手动编辑主干网络拓扑和区域层级，实现企

业复杂网络中的资产和网络关系可视化。

2、全面的流量分析：实时监视和分析生产控制网和生产管理网的网络流

量状况，包含业务、应用、网络性能等维度分析和故障定位，能够识别攻击行为

并分析潜在风险。

3、全方位的威胁感知：通过大数据引擎、机器学习、流式分析、分布式

存储架构等技术，采集和分析全维度安全数据。通过威胁特征匹配、威胁情报碰

撞、事件关联分析并结合业务深度自定义事件规则，准确检测网络中威胁流量和

96
安全事件，识别网络中异常行为和网络威胁。

4、深度溯源分析：通过攻击路径和事件逻辑关系来分析，将大量类型的

安全事件通过多维度的关联进行攻击事件溯源和威胁度推理，可呈现出易于了解

的整体安全指标或者事件场景化展现。

5、可量化风险评估：对网络中漏洞、攻击、系统可用性、违规事件等进

行监测、梳理和分析，量化评估出风险值，并进行预警与趋势预测。

6、安全态势可视化：支持资产、漏洞、威胁、事件、网络指标等维度的

态势可视化呈现，可直观的了解系统整体状态以及分布趋势，通过图形化点选数

据可便捷地进一步了解各维度安全业务的细节信息。

优势：1、全要素数据信息采集

2、大数据安全建模分析

3、多维度安全威胁感知

4、多设备安全协同防御。

四、成功案例：

某石化企业工控安全解决方案

客户概述：

客户为某汽车制造企业，是集全系列商用车、乘用车及动力总成研产销和服务于

一体，致力打造一个“全生态链、全产业链、全价值链”的综合性汽车服务平台。

基于当前严峻的网络安全环境，需要按照国家相关政策、法规要求不断强化和完

善网络安全防护体系建设，实现生产网络安全的全面防护和动态监控，满足企业

97
对生产网络安全多层次、全方位、细粒度、高可靠、易扩展、易管理等安全方面

的需求，提升安全防护能力，改善网络安全现状，提高生产效率。

方案内容：

珞安科技针对该客户的需求与网络安全现状，依据相关政策、法规和标准，运用

先进技术和专业产品，为其制定专属的工控安全防护体系建设方案。

1、顶层设计架构

珞安科技参考《信息安全技术网络安全等级保护》
《工业控制系统安全防护指南》

等相关技术要求，以纵深防御的防护理念为核心，结合汽车制造行业工业控制系

统网络的业务特点，构建以工业控制网络、设备、数据、控制、应用为目标防护

对象的立体安全防护思路。

98
 图 1 设计思路

方案中的安全技术防护和安全管理防护是工业控制系统纵深防御的核心内容，是

保障工业控制系统安全运营的两翼，缺少其中任何一个，都无法确保系统的安全。

在安全技术方向，方案遵从 P2DR 模型，并主要从威胁防护、监测感知、处置

恢复三个维度开展安全技术防护工作。

在安全管理方向，主要从汽车制造行业工业控制系统的全生命周期安全风险管理、

企业安全建设目标、系统安全建设策略三个方面展开安全管理工作。

99
2、安全互联架构

图 2 整体网络架构

01 边界安全防护

通过在过程管理域核心交换机与各生产车间之间串接部署工业防火墙，有效检测

和防御来自互联网、异常状态场站发起的网络攻击，同时针对工控系统的工业协

议进行指令级安全过滤，通过机器自学习的方式建立可信业务模型，形成业务白

名单规则，防止过程管理域向工艺车间生产控制系统发送恶意操作指令，实现未

知攻击的有效拦截，满足边界安全防护的技术要求。

02 入侵行为检测

在过程管理域核心交换机旁路接入入侵检测系统，及时发现内网中利用网络针对

100
服务器、操作站进行端口扫描、嗅探、伪装、SQL 注入等主流网络攻击进行实

时报警和定位，将告警信息上传给态势预警平台进行安全分析和集中决策。

03 网络行为审计

在过程管理域核心交换机旁路部署工控网络审计系统，通过对工业协议深度解析，

实时记录操作过程中的人员、指令、荷载、目标设备、时间、动作等一系列操作

关键信息，通过可信业务模型针对违规操作、误操作、非法设备接入等进行及时

发现、审计和告警，实现事后取证，帮助还原具体时间段的操作细节。

04 操作系统安全加固

在生产监控系统的服务器、工程师站操作员站分别部署主机加固系统，针对使用

人员实现双因素认证，通过技术手段规避管理方面执行不到位的风险；针对操作

系统主机策略进行基线配置，密码策略、日志策略、审核策略等统一配置，提高

操作系统的安全等级；通过主机 PE 文件、SCADA 程序文件的指纹提取，构建

主机防护可信任的白名单防护规则，有效抵御已知攻击和未知威胁；通过安全标

记实现强制访问；同时针对外设进行统一管控，杜绝不明 U 盘违规接入，配合

安全 U 盘实现安全的数据摆渡。满足等级保护三级安全计算环境的计算要求。

05 日志集中采集与分析

通过对过程管理域与各工艺车间的网络设备、安全设备、操作站、Windows、

Linux、Unix、数据库、SCADA 的运行状态信息、告警信息进行集中采集、分

类、过滤、范式与合并，对网络全局的日志安全事件进行自动联系分析，根据系

101
统默认或自定义规则识别网络威胁和负责的攻击模式，从而确定事件的真实性、

进行事件分级并进行有效的响应 。通过对日志内容的深度分析，对采集到的日

志数据进行动态分析，将网络非法访问、数据违规操作、系统进程异常、设备故

障等高危安全事件，从海量日志数据中提取出来，并通过内置告警规则采用桌面

屏幕、邮件、短信、SYSLOG、SNMP 等方式通知管理员及时处理。

06 运维审计与管控

在过程管理域部署运维安全审计系统，实现系统账号、权限的集中管控和审计，

通过对登录人员的身份识别，按需分配操作权限，实现安全管理的同时，实现精

准的操作审计，帮助用户规避越权访问、误操作、账号过期未清除、策略无法落

地等管理方面的安全风险。

07 集中安全管理

为了实现各防护设备和软件的协调联动，需要在过程管理域部署集中安全管理平

台，对各场站和过程管理域的工控防护设备和软件进行集中管理，提供统一的策

略配置接口，总览各设备和软件的运行状态、事件记录和威胁日志等关键信息。

各安全防护设备和软件由集中管理装置统一控制、配置和管理，统一部署安全策

略，并监测工控网络的通信流量与安全事件，对工控网络内的安全威胁进行分析，

消除安全孤岛，从整体视角进行安全事件分析、安全攻击溯源等，重点解决安全

防护设备各自运维而导致的信息不畅和事件处置效率低下等问题。

08 态势感知与威胁预警

102
通过态势感知与预警平台能够实现针对汽车生产系统全局风险的感知，如工控资

产分类与统计、资产存在的漏洞等级与数量统计，同时依据国内外最新通报的安

全事件和威胁信息，通过内置威胁感知引擎和外部威胁情报的支持，利用现场安

全设备的告警日志、网络流量异常状态、主机安全状态分析，针对潜在的风险进

行高级动态分析和定位，提供网络安全应急处置策略和建议，同时，为使用方提

供威胁预警能力，基于少量的异常行为和特征信息预测当前将要出现的网络攻击

和威胁，为决策指挥人员提供技术依据和支撑，便于有针对制定安全防范措施和

预案。

方案以工控资产及业务为核心，以安全事件管理为关键流程，采用安全域划分的

思想，建立一套实时的风险模型，实现对各类资产和业务的信息采集、关联分析、

日志审计、事件监控、流量分析、网络攻击防范、态势感知、安全预警和快速响

应，做到“集中监控、统一管理、全面分析、快速响应”。

整体采用分布式架构，支持单级或多级应用部署（厂区级、分公司级、集团级）

满足不同层级的用户应用场景。支持全方位工控安全数据采集，主要包括来自于

工控主机、工控网络设备、工控网络安全设备、工控数据库软件的威胁事件、操

作日志，以及关键位置的工控流量数据采集。并通过对安全大数据的深度挖掘，

借助 AI 智能技术，充分利用资产管理、流量分析、威胁感知、关联分析、风险

评估、可视化等技术和功能，实现整体安全防护能力和运营能力的提升。

客户收益

103
1、优化了网络安全管理模式，减轻网络安全运维人员的网络安全现状检查及分

析的工作；同时，按照近年各行业事故数量和经济损失统计估算，本成果推广应

用预期可对事故发生进行合理规避，减少经济损失。

2、既做好了安全风险把控，又节省了人力物力，节约了工作成本，减少经济损

失，提升了经济效益。

3、增强对全局工控系统信息安全的掌控能力，提升网络安全防护管理和运营水

平，实现了国家、行业和企业对网络安全的要求。

六、适用行业

电力电网、石油石化、轨道交通、智能制造、煤炭、钢铁、化工、市政、水利、

烟草、军工、教育实训等 20 多个重点工业行业

七、联系人姓名及职位

姓名：李连昭

职位：市场经理

联系方式：15313951103

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

伴随着我国政府网络强国和制造强国战略的深入实施，在国家政策和市场需求的

双核驱动下，工控安全市场进入发展“快车道”。珞安科技作为专注工业网络空

间安全的国家级专精特新企业，将充分发挥自身在人才、技术和产品方面的领先

优势，携手产业界各方力量促进产学研用高效转化，牢筑工业网络空间防线，全

104
力保障国家关键信息基础设施的安全与稳定。

——北京珞安科技有限责任公司 副总裁 肖智中

105
木链科技

一、公司名称：

浙江木链物联网科技有限公司（简称“木链科技”）

二、公司 logo：

三、工控安全产品名称：

BoleanGuard®工业互联网安全运营平台

BoleanGuard®工控网络安全靶场

BoleanGuard®工控安全防火墙

BoleanGuard®工控安全审计平台

BoleanGuard®工控安全综合管理平台

BoleanGuard®主机卫士

四、产品特点及优势：

产品一：BoleanGuard®工业互联网安全运营平台

BoleanGuard®工业互联网安全运营平台以建立完整的工业互联网安全技术和

106
管理体系为目的，融合多种信息安全技术和管理理念，充分实现组织、管理、技

术三个体系的合理调配，帮助用户从分析识别、安全防护、检测评估、监测预警、

主动防御、事件处置六个环节实现对业务信息系统的统一安全保障。为用户提供

安全合规，实时监测，智能分析，安全可视，追踪溯源，高效协同等价值体验。

图 BoleanGuard®工业互联网安全运营平台-产线态势概览

特点：

目前，BoleanGuard®工业互联网安全运营平台产品功能涵盖：

图 BoleanGuard®工业互联网安全运营平台-五大中心概览

107
1.资产中心，通过资产空间测绘，实现 IT、OT 资产的一体化管理，构筑数据中

心资产数据中台。

2.安全中心，对生产网内的各类信息安全威胁、风险和事件进行监测、研判、处

置。

3.运营中心，多维度、指标化的形式呈现企业全网整体安全运行态势。

4.管理中心，构建工控安全管理体系，建立安全管理标准、流程、规范。

5.配置中心，进行平台相关系统配置，监控组件运行状态。

优势：

1.分布采集，统一处理

分布式部署探针采集数据，针对于不同网络环境，在边缘端通过探针获取和解析

数据，统一发送到中央处理服务器做大数据分析和响应。覆盖工业领域全场景，

支持工业流量 、组态软件 、工控设备 、工业互联网平台等多维度的数据采集。

108
实现对网络安全组件的灵活配置；支持模拟仿真固件运行环境，实现固件的模拟

及安全分析。

2.安全监测，风险可控

全面采集工控网络中的安全事件信息、资产流量数据、工控操作指令等。结合

CNVD、CNNVD、CVE 等工控威胁特征库，对目标区域资产进行智能分析和综

合评估，及时识别安全风险，采取相应的安全策略完成闭环处置。

3.全面感知，主动防护

平台集成各类安全信息感知模块，实现安全态势问题全面监控和快速发现，支持

场景化分析，自动化分析，精准捕捉网络威胁，实现主动防护，提供丰富的攻击，

资产和用户画像，挖掘海量安全数据背后的真正价值。

4.数据可视，概况总览

平台提供多种全局安全态势大屏界面，如安全态势、运营态势、资产态势，流量

态势，3D 生产模型，溯源视图等。满足客户整体安全态势感知需求，实现对安

全运营的有效支撑。

5.生产安全，行业定制

基于木链科技自身对安全和工控领域的能力积累，平台可以根据用户实际需求，

按照行业进行定制化开发，深入业务生产，利用安全与信息技术，赋能传统工业，

加强安全管控，节能降耗，提升经济稳定运营能力，探索行业高质量发展路径，

109
使工业生产环境可知、可管。

产品二：BoleanGuard®工控网络安全靶场

BoleanGuard®工控网络安全靶场是木链科技自主研发的集“仿真、实训、竞

赛、演练、科研”为一体的，面向企业、政府、高校、关键信息基础设施单位等

客户推出的工控安全孪生演兵场，可帮助用户解决无法在真实环境中对复杂大规

模异构网络和用户进行逼真模拟测试以及风险评估等问题。

BoleanGuard®工控网络安全靶场通过虚拟化、虚实结合组网等技术，能够低

成本、高效率地仿真出接近真实的工控网络环境和企业网络环境，同时还具备可

视化拓扑组网引擎，丰富的靶标资源，开放的第三方接入支撑，多样化的赛事支

持，定制化的教学课程，创新性的高阶安全工具等功能。

用户可依托 BoleanGuard®工控网络安全靶场进行网络体系规划验证、人才教

学培训、能力测试评估、安全攻防演练、安全赛事承建、产品研发试验、产品安

全性测试、前沿技术评估等任务。

图 BoleanGuard®工控网络安全靶场场景效果展示

特点：

目前，BoleanGuard®工控网络安全靶场产品功能涵盖：

1.教学培训，通过原创理论课程、网络安全实验、多维度能力考核，搭建学评测

110
一体化教学体系平台。

图 部分课程列表

2.攻防演练，通过构建贴近真实的网络环境、高仿真的数字沙盘场景，支持开展

常规红蓝对抗、实战 HVV 演练、应急响应演练，考察、评估企业安全能力，发

现潜在安全问题，让错误发生在靶场。

图 应急响应演练界面图

3.安全竞赛，支持 CTF、AWD 等多种竞技模式，通过赛前培训、赛事解说、赛

后复盘，全阶段多方位把控赛事。

111
 图 AWD 攻防赛界面图

4.研究分析，专业的安全测评体系，能从多个维度对关键信息设备进行综合安全

检测，包括但不限于工控设备、网络设备、行业专用安全设备、物联网终端设备、

信息系统。

图 固件分析界面图

优势：

1.虚拟化仿真能力

支持虚拟设备与真实物理设备互联，实现对网络安全组件的灵活配置；支持模拟

仿真固件运行环境，实现固件的模拟及安全分析。

112
2.全方位资源包补给

完备的课程培训资源，丰富的靶标资源，复杂的攻防剧本资源，海量的漏洞库资

源，全面的攻防工具资源。

3.多业务场景结合

打造高度还原核能、电力（火电/风力/光伏）、钢铁、水务等业务环境的数字仿

真场景，为用户提供优质可视化平台，帮助直观、快速了解工艺流程和工控技术，

帮助推演、展示各类安全威胁对工业安全生产所造成的影响。

4、高稳定底层架构支撑

构建专业的、高并发的、高可靠的底层平台和架构，采用分布式存储高可用方案，

确保业务数据、靶场服务的高可用性和稳定性。

5、攻防复现分析能力

木链科技星期五安全研究团队为协议解析、漏洞挖掘、固件分析、仿真技术、网

络安全、渗透测试等前沿技术研究和科研课题承接提供能力支撑，其研究成果为

靶标构建、场景搭建、案例复现、赛题设置、课程培训、数据采集等持续赋能。

6、重点行业持续落地

木链科技以工控网络安全靶场为核心，通过搭配自动化攻击系统，数字、实体沙

盘，工控安全审计，工控防火墙，工控 PLC 设备，物联网设备综合检测平台等

113
产品，以安全实验室为主要落地形态，为用户构建网络安全生态环境，在军工、

电力、钢铁、智能制造、教育等多个行业持续落地。

产品三：BoleanGuard®工控安全防火墙

BoleanGuard®工控安全防火墙是一款集合智能学习引擎、深度协议数据包解

析引擎、开放式特征匹配、实时会话控制，安全审计追溯的多种智能引擎的工控

网络安全防御产品。兼容目前业界对访问控制类产品的认知，满足访问控制类产

品相关标准，通过设置网络流量规则实现网络防护。BoleanGuard®工控安全

防火墙产品基于木链科技多年技术积累，支持 Modbus/TCP，OPC，IEC104，

DNP3，Profinet 等众多工业协议深度包检测和智能白名单学习及规则部署。

特点：

1.多重立体防御体系

针对 APT 高级可持续性威胁攻击提供了全面的防护方案：支持设置黑名单策略

防护各类已知恶意行为，支持自学习实际应用的工控协议规则和网络行为，建立

安全白名单，IP/MAC 深度绑定，防止非法设备接入。

2.工控协议深度解析引擎

BoleanGuard®工 控 安 全 防 火 墙 支 持 多 种 工 控 协 议 的 识 别

与 检 测， 对其中 Modbus/TCP、IEC104、DNP3、FINS、S7COMM、OpcUA、

114
OpcDA 、OpcAE 等工控协议进行深度检测。

3.支持自定义协议防护

BoleanGuard®工控安全防火墙支持协议自定义。可对未知协议或私有协议通

过开发 SDK 进行私有协议扩展和定制化开发。能够满足各个行业不同客户的定

制化需求。

4.灵活的模式切换功能

BoleanGuard®工控安全防火墙可进行灵活部署模式，既支持传统的路由模式，

也支持透明桥模式。同时，它支持学习，测试和工作模式，区分了白名单自学习，

测试部署和正常工作模式，可减少对业务系统的影响。

优势：

1. 工业级硬件配置

按照工业现场的使用实际环境对硬件进行选型：

1）基于 Intel Coffee Lake 处理器，C246 PCH，板载多电口，丰富网络扩展。

2）工作温度通过工业级宽温测试，满足工业现场要求。

3）支持 Bypass 功能，一旦设备软硬件故障，设备自动切换，保证正常业务运

行。

4）低功耗、全封闭设计。

2. 多重立体防御体系

115
针对 APT 高级可持续性威胁攻击提供了全面的防护方案：

1）支持设置黑名单策略防护各类已知恶意行为。

2）支持自学习实际应用的工控协议规则和网络行为，建立安全白名单，对名单

外的非法攻击进行告警或阻断。

3） IP/MAC 深度绑定，防止非法设备接入。

3. 协议精准识别和深度解析

BoleanGuard®工控安全防火墙支持多种工业协议的识别与深度解析，对工业

协议中的 Modbus/TCP、IEC104、DNP3、FINS、S7COMM、OpcUA、OpcDA、

OpcAE、ADS、S7COMM-PlUS、Melsoft 等协议都能实现深度解析。支持大

多数传统 IT 协议的深度识别和解析，例如 HTTP、FTP、Telnet、DNS 等。

4. 智能访问控制

基于现场正常运行流量，通过产品智能自学习功能，一键添加学习到的白名单和

IP/MAC 规则，省时省力，快速识别非法接入设备、阻断异常事件。

5. 灵活的模式切换功能

BoleanGuard®工控安全防火墙可灵活地部署模式，既支持传统的路由模式，

也支持透明模式。同时，它支持防护和测试模式，区分了测试部署和正常工作模

式，可减少对业务系统的影响。

6. 安全分区，细粒度重点防护

116
BoleanGuard®工控安全防火墙是为客户网络解决结构性安全的基础性安全产

品，也是工控网络安全整体性防护的重要组成部分。根据网络层级进行逻辑分区，

阻止网络攻击在不同区域间渗透，保障核心资产和业务的安全。

7. 智能学习，防范未知威胁

通过规则自学习建立白名单策略库形成整体防护框架，能够阻断非可信的流量数

据和操作指令，最大程度的防范未知威胁，有效应对 APT 攻击和防范未知病毒

的感染。

8. 指令级访问控制，实时监测风险

对工控指令攻击、参数篡改、恶意连接和攻击等行为进行阻断，工控网络数据可

实时监测，规则与策略可实时部署，实时掌握运行状况，安全风险可知可控。

9. 完整的防护体系，杜绝恶意操作

通过工控协议的深度解析，防护规则能精准到操作码和详细参数；黑、白名单策

略相结合的防护机制，可有效的杜绝攻击者的恶意行为，内部员工的误操作行为

也能被有效的阻止，极大地降低了工控系统受损的风险。

产品四：BoleanGuard®工控安全审计平台

BoleanGuard®工控安全审计平台通过对控制网数据的采集、解析、鉴别，实

时动态监测通信内容，发现并捕获异常指令和数据，实时告警响应，全面记录控

制网中各种会话和事件，实现对控制网信息的风险审计和对安全事件的准确回溯

117
定位，为工控网络安全策略的制定提供可靠的支撑。

特点：

1.全面可靠的通讯审计

BoleanGuard®工控安全审计平台采取旁路部署的方式接入工业现场工控网，

对生产数据无阻断、无延迟、无修改，不影响工业现场的可用性和可靠性。

2.通讯协议深度解析

BoleanGuard®工控安全审计平台搭载木链科技自研的通讯协议深度解析引擎，

支持 IP 分片重组和 TCP 分段还原重组，从而实现工业协议的指令集和数据报

文的深度解析，对组态变更、指令变更等操作进行还原。

3.全局网络动态掌握

支持复杂网络环境多路流量的同时审计，既能确保流量收听完整性，又能对工业

现场工控网影响降至最低，实现无感部署。实时监测控制网流量帮助用户实时掌

握工控网络运行状况，及时发现异常并进行告警 ，构建贴合专属工业控制网的

安全防御体系。

118
4.高速数据处理引擎组群

通过分析行业特点，结合自身技术优势，研发了高速数据处理引擎组群。在面对

工控网络海量数据时，能够在毫秒间完成百万条数据的流式处理任务。满足大型

工控网络中高并发、低延时的数据审计处理要求，极大提升了审计效率，综合审

计能力全行业领先。

优势：

1. 用户身份管理

BoleanGuard®工控安全审计平台将用户分为两个层级，其中超级用户面向客

户企业的高级安全主管，主要功能为用户管理；普通用户分为工程师权限、审计

员权限和限，通过系统权限的最小粒度和最小重叠分配，以及对用户行为日志的

详细记录和分析，强化自身的安全能力。

2. 可靠性保障

BoleanGuard®工控安全审计平台十分注重审计结果及审计策略的完整性保护。

采用 PostgreSQL 作为数据库，并将审计日志与审计记录分开保存，提供了多重

冗余和灾备、恢复策略，能够在保证数据安全性的同时应对高并发读取、写入。

同时将流式和批式数据分析技术相结合，保证设备的高可用性。此外也支持审计

策略的备份和恢复，支持审计策略定时自动备份。

3. 设备远程管理

通过 BoleanGuard®工控安全综合管理平台可以远程对 BoleanGuard®工控安

119
全审计平台进行管理和配置，在操作中心即可完成工控网络状态的查看。通讯采

用了 SSL 加密技术，以密文形式在局域网中传输，可以防止恶意攻击者使用网

络监听工具窃取信息，保障了设备自身的安全性。

4. 高速数据处理引擎组群

木链科技通过分析行业特点，结合自身技术优势，研发了高速数据处理引擎组群。

在面对工控网络海量数据时，能够在毫秒间完成百万条数据的流式处理任务。满

足大型工控网络中高并发、低延时的数据审计处理要求，极大提升了审计效率，

针对 DDoS 等形式攻击能够及时发现并告警。综合审计能力全行业领先。

BoleanGuard®工控安全审计平台能够结合时间维度，对海量、独立的流量进

行快速解析建模，运用算法进行关联分析，识别出不同维度的关联关系。从历史

数据中学习到工程师操作的置信区间，分辨如停机等非常规命令是生产需要，还

是黑客的恶意攻击。此外，还能进行行为预测，通过分辨黑客攻击前试探踩点行

为预知其潜在攻击行为，多维度帮助企业做出更有价值的实时安全决策。

5. CNNVD 兼容性服务认证

BoleanGuard®工控安全审计平台已通过 CNNVD 兼容性服务认证。

CNNVD 兼容性是指通过使用 CNNVD 标识，在各类安全工具、漏洞数据存储

库及信息安全服务之间，以及与其他漏洞披露平台之间，实现漏洞信息交叉关联

的方式。通过 CNNVD 兼容性服务的信息安全产品，可实现其漏洞信息拥有统

一的规范性命名与标准化描述，从而提高和加强国内信息安全行业漏洞信息资源

的共享与服务能力。

120
木链科技星期五安全实验室致力于与 CNNVD 共建工控软件和设备的安全漏洞

统一收集验证、预警发布及应急处置体系，切实提升在安全漏洞方面的整体研究

水平和及时预防能力。通过长期的积累与完善，目前已在 BoleanGuard®工控

安全审计平台中内置了近千条黑名单漏洞数据，大面积覆盖了工控网络中各类攻

击方式或恶意指令，能够第一时间识别并进行告警。

黑白名单技术和机器学习在审计平台中共同发挥作用，大大加强了对未知威胁、

内部破坏和 APT 高级长期威胁的鉴别能力，实现精确定位，及时告警。

产品五：BoleanGuard®工控安全综合管理平台

BoleanGuard®工控安全综合管理平台是对工控网络安全设备（工控安全防火

墙、工控安全审计系统、主机卫士等）进行统一管理、配置、授权和响应的安全

平台。它能对目前所支持工控安全设备的安全策略和安全事件进行集中、有效的

管理，打破安全孤岛，使他们成为一个活的有机系统来抵御网络中的各种威胁。

特点：

1.工业协议环境支持

设备针对工控系统进行防御设计，能快速识别系统中的非法操作、异常事件以及

外部攻击并及时告警。

2.多种安全策略支持

121
集成了工控环境下白名单、黑名单、IP/MAC 地址绑定、异常流量等常用的安

全策略，辅以自定义的安全策略，能调用工业防火墙、工控安全审计等安全产品

实现对工控网络 APT 攻击、异常行为和非法数据包等多种威胁进行多方式保护，

保护工业控制网络安全。

3.集成多重检测机制

采用以下手段对工控环境网络安全提供了全面的防护：支持对已知攻击行为的检

测和防护，内置了庞大可升级的工控威胁库；支持自学习工控协议规则和行为，

建立安全检测模型；可通过白名单防护阻止一切不明的威胁。

4.全方位实时监控

BoleanGuard®工控安全综合管理平台以工控资产及业务为核心，以安全事件

管理为关键流程，采用安全域划分的思想 , 建立一套实时的风险模型，做到“集

中监控、统一管理、全面分析、快速响应”。

优势：

1. 多层次的管理能力

BoleanGuard®工控安全综合管理平台作为集成化管理的智能中心和管理大脑，

集成了注册设备的所有安全策略配置和安全信息回收，结合自身的多种功能架构，

从策略配置到安全信息反馈，到安全事件定位再到事件处理，多层次的管理机制，

实现了这个智能大脑的闭环管理，确保管理的安全高效。

122
2. 高效的设备运维

通过 BoleanGuard®工控安全综合管理平台进行安全设备的集中管理，策略配

置，帮助企业安全管理运维人员应对随着工控安全建设而增加的数量巨大，彼此

割裂的安全设备，提升安全运维效率，减少安全管理运维人员工作量，降低企业

人力资源投入。

3. 安全威胁精准定位

BoleanGuard®工控安全综合管理平台整合了自身的资源优势，将安全事件进

行统一管理，通过安全数据和知识库累积，形成全局性的资源协调体系，帮助用

户掌握洞察资产和业务中的安全漏洞，及时发现，辅助完善安全防护体系，为系

统的全局可控性提供有力保障。解决了各个安全设备中安全事件分散独立，信息

难以形成全局观的问题。

4. 满足合规需求

等保 2.0 中明确对安全计算环境，安全通信网络，安全区域边界进行统一管理，

构建“一个中心，三重防护”体系。其中一个中心既要求企业建设安全管理中心，

对设备进行集中管控，管理平台满足行业政策法规及技术要求，提供合规化报表

管理，实现安全管理中的高效合规。

产品六：BoleanGuard®主机卫士

BoleanGuard®主机卫士是面向工控网络终端设备设计的安全防护软件，安装

在管理主机、数据库或服务器等网络设备上。通过白名单能够控制可信程序执行、

123
加载驱动程序、读写移动存储设备等，彻底阻断恶意程序的侵入路径。同时，

BoleanGuard®主机卫士允许经过签名的应用程序自主进行更新、加载和扩展。

BoleanGuard®主机卫士能够针对关键文件目录及应用程序、动态链接库、驱

动文件等进行保护，有效阻止恶意程序篡改相关内容。

特点：

1.面向应用程序的管理机制

程序在启动时将对比可信程序白名单，仅允许白名单列表中的程序加载。列表外

的程序启动将被中止。此外，还将从程序签名方面进行配合查验，确认白名单程

序的合法性。

2.面向移动存储设备的管理机制

结合白名单，设计了移动存储设备安全管理机制，限制白名单外的 USB 存储设

备在主机上的读写等操作。仅允许白名单中的设备与主机进行数据交换。可有效

防御来自移动存储设备的安全隐患；安全专用 U 盘的注册、认证、授权，支持

读写权限管理。

124
3.面向主机内容的保护机制

BoleanGuard®主机卫士一方面面向应用程序和操作系统提供完整性保护，另

一方面也将保护程序运行环境和进程空间的安全；防止运行环境被破环，系统出

现可利用的安全漏洞。

4.面向工控网络的攻击防护机制

BoleanGuard®主机卫士能有效阻止震网、Havex、沙虫及其变种工控病毒的感

染，也能阻止来自移动存储介质对工控主机的攻击。

优势：

1. 保障主机安全，阻止已知病毒及其变种

BoleanGuard®主机卫士是专门针对工控网络中的主机或服务器进行完全适用

于工控行业安全防护标准的应用程序。为保障核心业务的运行不被影响，

BoleanGuard®主机卫士会对系统进行加固，建立稳定的运行环境，同时它能

有效遏止工控病毒（如“震网”、Havex、“勒索”等）及其变种的运行。

2. 适用工控环境，维护成本低

BoleanGuard®主机卫士通过对系统进行加固和稳定，能对未知的病毒“免疫”。

无论是黑客通过社会工程学的方式，还是利用 0-Day 漏洞的高级可持续性威胁

攻击，都无法侵入加固后的主机环境。BoleanGuard®主机卫士不需要做任何

更新就能抵御不明的攻击行为。软件更新和维护成本极低。

125
3. 从技术层面解决非法应用

BoleanGuard®主机卫士通过应用程序、移动存储设备的白名单策略，可以有

效降低用户在业务主机上违规运行不合规程序或违规使用移动存储设备带来的

潜在威胁。

4. 关键信息完整性保护

BoleanGuard®主机卫士对关键对象进行完整性保护，包括特定目录、特定程

序和文件等。防止对程序的修改、删除、加密等恶意操作。同时，也防止内部员

工的误操作，确保核心的数据资产的完整性。

5. 安全审计，规避风险

BoleanGuard®主机卫士能对系统上的操作进行监控，如监测进程的运行状态、

监测 USB 接口及操作，并记录详细的日志，方便还原安全真相。

五、成功案例：

案例一：某钢铁集团工控安全生态运营平台建设项目

客户简介：

某钢铁集团有限公司作为全球单体最大的优特钢棒线材基地，连续多年位居全球

钢企粗钢产量 50 强、中国企业 500 强、中国制造业百强行列。集团借助“无人

化工厂、平台化运营、协同化生态”的扁平化架构体系，打造集经营管理、生产

管控、电子商务及大数据为一体的“3+1”智能化平台，助推企业全方位提升。

126
客户所属行业：钢铁制造

客户需求：

集团原有网络安全体系在“智慧工厂”的背景下显得捉襟见肘，无法有效处理数

据安全、生产安全等业务场景，成为了制约智能制造的瓶颈。

集团主要存在以下问题亟待解决：

1.传统的防火墙、入侵防御等安全设备无法有效应对针对工控系统的攻击行为。

2.互联互通的新场景下，无法有效处理数据安全、生产安全等业务场景成为了制

约智能制造的瓶颈。

因此，集团亟需建立一套与当前业务场景相匹配的网络安全体系，保障业务安全，

促进业务发展。

解决方案：

该项目根据用户的要求和调研，决定采用平台化方案解决现有的安全问题，根据

各厂区实际情况部署定制化探针与集团工控安全生态运营平台，实现数据联动。

127
 图 某钢铁工控安全生态运营平台建设拓扑示意图

定制化探针：本项目定制化流量探针、日志探针、主机探针，全方位采集工控数

据， 为集团工控安全生态运营平台提供数据支撑。所有的探针上联至集团监控

中心，从集团侧对全集团各个分厂的安全状态进行统一集中管控，配合技术人员

对出现的异常告警第一时间进行处理。

工控安全生态运营平台：采用多种信息安全技术和管理理念，充分实现组织、管

理、技术三个体系的合理调配，帮助用户从识别认定、安全防护、检测评估、监

测预警、应急处置，全环节实现对业务信息系统的统一安全保障。

集团工控安全生态运营平台建成效果如下：

128
 图 集团工控安全生态运营平台效果示意图

客户收益

1.打造国内领先的工控安全标杆项目

某集团工业互联网安全生态运营平台建设入选年度该省“十大网络安全优秀实践

案例”，集团已成为工业互联网工控网络安全平台建设极具示范效应的企业之一。

2.提升运维效率，促进降本增效

通过管理平台进行安全设备的集中管理，策略配置，提升安全运维效率，减少安

全运维人员工作量，降低企业人力资源投入。

129
3.掌握安全态势，打造安全生态

平台整合自身的资源优势，形成全局性的资源协调体系，帮助用户掌握现有安全

态势，预测安全的趋势、凸显安全数据价值，辅助完善安全防护体系，为系统的

全局可控性提供有力保障。

案例二：国网某省电科院工控安全实验室建设项目

客户简介：

国网某省电力科学研究院承担该省发供电企业以及企业涉电专业安全管理人员

的安全技术培训、特种作业安全培训、电力工程调试、计量检测等职能，是该省

电力体系的支撑单位，科技创新和人才培养基地，同时也是行业的技术监督、技

术服务、技术信息、技术研发中心。

客户所属行业：电力能源

客户需求：

严峻的国际网络安全态势下，针对电力系统的网络攻击事件频发且影响巨大。国

网某省电力科学研究院经多年实践总结，认为安全建设的重点不仅在于部署各类

网络安全设备，其运维团队本身的安全意识和技能水平也是影响安全防护效果的

重要因素。而着力推进网络安全实验室建设，可有效提升电力系统关键信息基础

设施网络安全防护能力，保障电力系统安全稳定运行。

解决方案：

130
此次项目中，网络安全实验室采用分层递阶的设计思路进行设计，分三期进行。

第一期主要围绕网络安全实验室基础能力建设。二、三期在第一期基础上提供了

丰富的工控环境测试验证系统，可供用户进行深入的数据验证分析，同时配置了

安全竞赛系统、攻击诱捕系统及高级安全工具，用于提高团队“安全实战”能力

以及攻击应对能力。

主要包含四大模块：

1.新能源光伏场站仿真平台

平台由控制系统和物理沙盘组合而成，结合新能源光伏场站典型模块化柔性生产

线工艺，以新能源光伏场站为原型，创新开发了机电一体化教学、实验、实训综

合应用平台。

2.工控安全防护及监测系统

工控安全攻防及监测系统的核心内容包括攻击系统和防御系统、监测系统，其中

攻击系统包括各类攻击组件，防御系统包括软件、硬件结合的安全防护体系，监

测系统以工控审计平台、流式处理平台等设备系统组成，用于监测当前工控仿真

系统的安全情况。

3.工控网络靶场平台

工控网络靶场平台基于工控仿真系统，可仿真各类工控安全问题，包括工控设备

通信数据截获及防御、通信协议劫持及动态加密、GPS、GIS 欺骗及安全验证防

131
御技术、工控设备弱账号密码入侵、工控设备仪器参数设置误修改，工控传感器

数据劫持，及与之对应的防御技术等。

4.安全实训系统

安全实训系统由木链科技自主开发完成，该平台依托于自主研发的工控网络靶场

平台，以虚拟化技术为基础，以全面、精准的考核方式为核心，集竞赛运维、赛

题管理、攻防可视化、

考核选拔于一体，用于专业、科学、全面、精准的评测及人才选拔。

客户收益：

1.完善工控安全课程体系

实验室以电力行业需求为导向建立科学的课程体系，课程体系中应理论基础与工

程实践并重，建立“理论教学+安全实操”的多模式相结合的创新的教学模式。

2.加强红蓝方实战对抗水平

“红队攻点、蓝队防面、以攻促防、全面消缺”，全面提升新能源场站网络安全

人才梯队的工控网络安全“战时”水平，培养复合型人才，提升专业技能，有效

提高该地区新能源场站网络安全“战时”应急响应能力。

3.构建工控安全实训基地

建成的工控网络安全实验室为电科院相关研究人员提供实战对抗的环境，也有能

力为行业内相关从业人员提供培训环境。最终实现培养新能源领域工控网络安全

132
专业人才的目标，并成为本地区的标杆电力工控网络安全实训基地。

案例三：电力设备制造公司工控安全建设项目

客户简介:

某公司是国内电力设备制造领域的隐形冠军。该公司积极响应国家号召，通过推

动数字化工厂建设，大幅缩短产品设计周期、提高生产效率和生产方式的灵活性，

成为行业领先的“智慧工厂”典范企业，制造全过程应用国际先进的 MES 系统、

ERP 系统，物联网智能立库物流系统，全程无行车。

所属行业：智能制造

客户需求：

根据《GB/T 39116-2020 智能制造能力成熟度模型》以及《中华人民共和国网

络安全法》相关要求，合规性需求包含补充主机恶意代码防护功能、提升工控系

统边界防护能力、提升安全运维能力实现数据防泄露、构建基于工业协议深度解

析的关键设施防护能力、实时网络监测、建设基于自学习、自优化的集中管控能

力、日志存储需求、搭建离线验证环境。安全运营需求包含建设工控系统脆弱性

分析能力、打造网络安全动态防御能力。

133
解决方案:

1.提升工控基础防御能力

通过部署工控安全防火墙提升边界访问控制能力、部署工控安全审计平台提升全

局流量监测能力、部署主机卫士提升终端防护能力、部署安全管理与运维审计系

统提升安全运维能力。

2.构建基于协议深度解析的入侵防御能力

边界防护除了访问控制策略，还需做好入侵防御。而工控网识别入侵攻击的前提

是实现工业协议的深度解析，需要能够对 OPC、Modbus、S7、ADS 等常见工

业协议进行解析，并能做到指令级的控制，以防止攻击利用合法的指令进行非法

的操作。

3.建设安全运营中心

安全策略集中管控、联动 构建“三位一体”安全防护体系除了依赖不同的安全

措施或防护设备，在工业控制系统不同层面进行防护，还需要通过安全运营中心

对安全设备进行精准配置，实现不同设备基于安全策略进行联动防护，形成动态

防护效果，提高安全防护能力。

134
客户收益:

1.强化企业安全运营能力

量身定制纵深防御体系，同时结合木链科技“安全运营”理念，立足客户视角从

全网威胁、资产状态、工业生产基线、协议脆弱性等十余个纬度进行安全数据采

集、分析、研判和展示，实现对产线实时安全态势监测和应急处置的安全目标。

2.为数字化转型保驾护航

有效保障用户数字化转型成果，助力完成《GB/T39116-2020 智能制造能力成

熟度模型》第四级相关建设要求。

3.推动地区工业互联网安全建设发展

帮助用户落实安全生产主体责任，稳步提升安全生产能力和效率，为实现高质量

发展，新增长点创造提供坚实安全支撑。同时可发挥行业“领头羊”效应，为地

区内企业建设指明方向，加速行业乃至地区工业互联网安全建设进程。

135
六、适用行业：

BoleanGuard®工业互联网安全运营平台、工控安全防火墙、工控安全审计平

台、工控安全综合管理平台、主机卫士适用于：电力能源、军工、钢铁冶金、智

能制造、轨道交通、市政水务、石油石化、烟草等。

BoleanGuard®工控网络安全靶场适用于：科研院校、关键信息基础设施单位、

工业企业、政府部门。

七、联系人姓名及职位

姓名：章经理

职位：市场经理

联系方式：13738217127

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

2022 年，网络安全行业受多重因素交织影响增速放缓，企业业务增长、财务管

理、人员架构经受考验。令人欣喜的是，大多企业管理者在逆境中仍能保持冷静

且具备韧性，承压而上，谋求增长。

木链科技非常感谢客户伙伴在这艰难的一年中所给予的信任和支持，紧密的“伙

伴关系”让我们增强了抵御风险的能力，同时也激发出新的发展活力。随着多个

行业标杆项目的落地，我们与客户伙伴加速推动安全技术与业务场景相互融合，

实现价值创造，相互赋能成长。

网络安全建设工作任重道远，仍要继续走深走实，这需要全行业伙伴的共同努力。

木链科技相信 2023 年会是提振信心、万象更新的一年。我们会继续耐着性子坚

136
持干，撸起袖子加油干，为制造强国和网络强国建设赋能、赋值、赋智！

——浙江木链物联网科技有限公司副总裁 郭宾

137
齐安科技

一、公司名称：

浙江齐安信息科技有限公司

二、公司 logo：

三、工控安全产品名称：

 工业安全评估系统

 工业安全审计系统

 检修作业安全运维系统

四、产品特点及优势：

工业安全评估系统

特点：

1.全面的评估目标

可对操作系统、工控产品、安防设备、网站、数据库、大数据组件、Docker 镜

像、无线设备、移动应用、源代码、电力协议规约进行安全检查及渗透测试，并

对网络流量进行威胁分析。

2.精准的指纹识别

138
通过无损探测对工业控制系统各组成单元进行精准识别，支持逾 30 家主流厂商

的工控产品。

3.丰富的工控协议

支持超过 30 种工业协议，包括 Modbus TCP、S7、DNP3、Profinet、IEC104、

BACnet、Fox、FINS、MMS 等常见协议。

4.无损漏洞探测

采用非验证式漏洞探测的方式进行漏洞检测，不影响系统正常运行，满足各种应

用场景。

5.持续更新的知识库

设备指纹库、工控产品库、权威漏洞库和威胁特征库支持可持续更新，为安全评

估提供强有力的支撑。

6.丰富的产品形态

可适配便携式设备、机架式工控机、以及国产化硬件，并支持软件形态。

优势：

有效安全检查工具，配合进行工控系统网络安全等级保护检查；

支持企业完成安全检查，满足工控安全建设要求；

重要任务安全保障，由被动修补变为主动防范；

攻击事件安全排查，尽可能多地为溯源工作提供有效信息。

工业安全审计系统

特点：

139
1.准确识别入侵

利用自有的工控威胁知识库建立检测规则，准确识别漏洞利用攻击和恶意代码攻

击等入侵行为。

2.精准识别分析

精准识别 OPC、Modbus TCP、S7 等主流工控协议，可深度分析通信协议中的

控制指令、参数等信息。

3.网络实时监测

实时监测工控网络的运行状态，自动学习通信规则，建立可信行为基线，对网络

中的异常指令和行为进行实时监测和告警。

4.审计数据留存

支持用户自定义留存工控网络日志数据，符合政策法规规定，同时为还原事故真

相提供了有效的技术手段。

优势：

符合网络安全等级保护要求，避免重复建设，节省企业经济成本；

无损采集和多协议分析，安全排查更可靠；

及时发现风险隐患，威胁风险今早消除；

安全留存审计数据，支持信息还原和事件追溯。

检修作业安全运维系统

特点：

1.身份验证

140
采用双因子认证方式，进行权限分级管理。支持多指纹识别，提高验证效率。

2.行为管控

对违规外联、外设接入实时监控并告警，协议实时分析、高危指令识别及阻断。

3.安全防护

基于最小化访问控制权限，在文件传输过程进行恶意代码检查，恶意攻击行为监

测并进行告警及阻断。

4.安全审计

提供全面的审计信息，通过国密算法进行加密，保障存储安全，分类清晰，检索

关联便捷。

优势：

1.通过对运维操作过程的行为审计和取证，对运维所引发的安全事故提供了强有

力的追踪溯源能力；

2.不改变运维人员操作操作习惯和运维工具，保障安全性的同时保持原有工作效

率；

3.通过技术手段使用户具备安全防护能力，极大地提升了安全管理人员现场管控

水平；

4.移动便携的部署方式，可灵活应对运维作业点多面广的特点，降低运维成本。

五、成功案例：

xx 省电网有限责任公司变电站系统实施案例

141
实际应用：

通过 x 市公司与各地调中心机房部署管理平台，现场试点检修班组配置两套安全

运维装置，覆盖智能变电站的检修运维接入作业过程，装置实现身份鉴别与检修

权限控制，检修过程临时边界安全防护，恶意代码防范，入侵防范，安全审计，

数据防泄密与安全存储等综合功能。通过移动式部署模式，形成针对外来接入检

修作业一体化综合性的安全解决方案。

项目背景：

对运维过程的外部接入进行全面管理、防护与授权，且无需固定式部署，以降低

实施成本，主要安全需求包括：

（1）接入过程的安全审计和操作日志，便于事故之后追踪溯源与责任定位，规

范作业；

（2）实现对接入的操作对象、操作过程、操作内容的控制，保护重点涉密数据；

（3）对外部设备接入过程系统性的防护措施，避免恶意代码交叉感染，避免恶

意代码进入系统；

（4）屏蔽运维过程中任意形式的内外网连接。

方案能力：

1.系统安全评估：

对工控系统进行威胁检测，对其构成单元（工控控制设备、网络通信设备、安全

防护设备、工作站及服务器等）进行安全检查、漏洞分析和风险评估，同时通过

采用无损检测技术，快速对整个系统进行安全评估并生成完整的评估报告。

2.监测审计：

通过采集工控网络中所有协议，对全局网络安全状况进行综合分析，能实时发现

142
匿藏在工控流量中的威胁，如病毒、木马、恶意攻击以及违规操作、误操作等行

为，同时能为快速追溯根源提供数据支撑。

3.主机防护：

在安全一、二区主机上部署工业主机卫士，防范木马、工控病毒及恶意程序对主

机操作系统的破坏。

4.边界安全：

在工控系统数据交汇处部署工业防火墙，通过传统 IT 防火墙的安全检测基础上，

进一步对常见工控协议进行深度分析，阻断针对工控设备的网络安全威胁，实现

工控系统网络边界安全隔离

5.运维安全：

在运维检修时接入检修作业安全运维系统，可以对外部接入设备操作实时监控，

避免恶意代码感染工控系统，阻止高危指令执行，同时能留存图形化审计记录，

便于后期安全事故的追踪溯源。

客户价值：

 安全合规，符合国家各项政策安全防护要求

 高防御力，增强电力工控网络的安全防护能力

 安全运维，提高工控网络安全威胁的应对能力

 改进安全策略，提高工控网络的抗攻击能力

 高效管理，提升企业管理水平，降低人员成本

系统部署：

143
六、适用行业：

电力、烟草、轨道交通、石油石化、市政燃气、煤矿、智能制造

七、联系人姓名及职位

姓名：毛兆君

职位：新媒体运营

联系方式：15008674407

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

工业信息安全领域受到越来越多的关注，国家层面对此行业领域的政策和法规也

日渐完善，未来已至，齐安科技将在技术发展与业务拓展上加力，面对不断变化

的市场需求，助力更多的工业企业在数字化转型升级进程中的网络安全防护建设，

为推动我国工业信息安全贡献积极力量。

——齐安科技 CEO 阮涛

144
145
融安网络

一、公司名称：

深圳融安网络科技有限公司

二、公司 logo：

三、工控安全产品名称：

1、工业防火墙；

2、边缘智能控制器；

3、工控安全管理与态势分析平台。

四、产品特点及优势：

特点：

工业防火墙：融安网络工业防火墙作为针对工业控制系统环境设计开发的集检测、

防护、预警、响应功能于一体的边界隔离和安全防护产品，集成了智能学习引擎、

深度协议数据包解析引擎、开放式特征匹配引擎、应用感知引擎等多种智能引擎，

146
提供 L2-L7 层的访问控制、实时业务可视化和安全审计追溯等功能，是一款智

能型综合性安全防御产品。

边缘智能控制器：边缘智能控制器是融安公司推出的物联网边缘智能产品。产品

提供了时序数据分析、设备快速接入、设备信息管理、设备数据解析、指令下发、

边缘应用管理、边缘计算等能力，进一步结合可视化编程方式，面向不同场景提

供基于流程、事件等策略的智能化管理能力。创新地实现已有系统与边缘计算的

物联网设备统一。通过将数据处理转移到边缘，可以释放现有网络中的带宽以访

问比以往更多的数据——获得实时、可操作的洞察力，从而真正实现运营效率

和生产输出的逐步改变。

工控安全管理与态势分析平台：融安网络工控安全管理与态势分析平台作为一款

安全设备集中化管理的产品，平台与多种智能安全设备构成一整套安全防护方案。

能够实时监测安全设备状态并采集设备产生的日志、事件、流量数据，对工控网

络内的安全威胁进行综合分析、追溯攻击源，统一下发安全策略处置威胁事件，

从而实现安全防护的高效运营。

优势：

工业防火墙：

（1）精准的工业协议识别分析能力

内置 MODBUS、OPC、IEC-（1）04、ENIP、S7、PROFINET 等数十种工业协

议和 2800 多种应用特征，可精确识别网络中的流量并进行控制，避免未许可的

147
流量威胁到网络安全。支持自定义应用和服务，可以定义应用和服务的协议类型、

端口，更可精确定义负载内容，包括偏移量、数据宽度与数据取值范围。

（2）深层次的工业协议控制

集成深度协议解析引擎，对数十种工业协议进行深度解析与精细控制。支持创新

的可视化会话拓扑、精细的连接控制和细粒度区域访问控制。同时系统支持对所

有控制字段进行自定义配置，实现对扩展协议的控制。

（3）工业高危漏洞实时防护

集成 IPS 引擎，通过对网络中的数据和行为进行分析、提取，与漏洞库特征进行

匹配，结合黑名单和白名单结合的防御机制，人工智能学习引擎生成白名单规则，

实现只让合法工业协议和操作通过；内置工业病毒和漏洞库，DPI 深度解析实现

已知漏洞攻击的告警或者阻断。并提供漏洞库在线更新功能，可实时更新到最新

漏洞库，实现对流行高危漏洞的实时防护。

（4）高可靠性设计，满足工业现场需求

采用工业级芯片, IP40 防护、无风扇散热、双电源冗余、重负荷铝合金全封闭设

计，支持透明模式、路由模式以及桥和路由的混合模式，支持 NAT 功能，从容

应对现场设计和实施。同时支持 HA 冗余保护，软硬件一体化的保障用户工业网

络可持续的安全可靠。

边缘智能控制器：

（1）简易运维，远程可视化管理

采用云管理架构，支持百万终端设备的全生命周期远程可视化管理，实时监控全

网状态，实现故障快速定位；设备、网络、容器、应用统一管理，提升运维效率。

148
（2）高效部署，物联传感器设备全采集

支持多种接口转换，统一转换，全面满足业务接入需求；

实现即插即用，免停电安装，提升部署效率；

屏蔽设备差异性，实现各类设备快速接入。

（3）云边端深度解耦

构建云-边-端、深度解耦的物联网架构，可进行各行业 APP 二次开发和独立部

署，快速实现综合行业应用。

（4）边缘智能，云边协同更高效

云端主要实现用能大数据分析，完成人机交互、策略生成；在边缘侧主要完成数

据的预处理及策略的分解执行，云边高效协同；采用多容器技术，容器资源和接

口可配置，实现业务安全隔离；支持 APP 化部署， APP 资源隔离，保障 APP

安全运行。

工控安全管理与态势分析平台：

（1）虚拟化资源高效利用技术

通过实现智能认知的虚拟网络资源管理模型，实现动态资源感知与虚拟网络流量

特性和要求相结合的有效方法，并通过资源自动调整来自动分配计算资源，从而

在不增加计算开销的情况下实现虚拟资源的高效利用，使得产品可扩展的安全分

析和计算得以实现；

（2）技术协同扩充技术

149
可实时分析和离线批处理分析模块设计成交互式分离解耦的方式，运用安全分析

模块动态扩展技术，实现了模块级别扩展，可快速应用于安全分析场景的扩充，

实现网络安全在线监控、实时预警、精准分析、核对、审查、控制等平台功能；

（3）安全态势预测技术

采用大数据机器学习和自编码 FAHP 算法进行分析预测，在使用基于自编码

FAHP 模型得到具体量化分值后，将评分结果与目前行业领域专家依据经验判断

出的结果进行对比，的更加准确的预测结果。

（4)基于双曲算法计算

结合安全业务特点在学习模型建立算法上综合双曲算法技术和层次分析法技术

优点，自动收集、分析和学习系统正常运行状态下的数据计算资产健康指数。

五、成功案例：

案例 1

电力行业：福建可门发电厂应用项目

应用产品：工控安全管理与态势分析平台

以发电厂安全数据为基础，以安全能力为核心，建设覆盖风险识别、安全防

御、安全检测和安全响应能力的安全编排、自动化与响应平台，具有脆弱性识别、

弱点识别、网络层防护、应用层防护、系统层防护、运维层防护、流量检测、入

侵检测、日志检测、事件响应等安全能力的安全管理平台。

—紧密结合发电厂网络架构，设计大数据智能化安全体系，确保整体架构先

进性；利用前瞻性 SOAR 技术，深入结合大数据技术，确保技术先进性。

150
 —通过安全自动化编排响应体系建设，加强发电厂安全的实战能力与保障能

力，不断利用系统手段和人员力量，做好安全监测与防护、自动化事件响应等工

作，形成运转高效、处置得当的安全编排响应机制。

—发电厂安全自动化编排响应体系建设应按照网络安全等级保护制度和相

关规范的要求，并行开展技术手段建设和管理制度建设，实现技术配合管理，管

理指导技术，确保技术与管理双管齐下，切实落实相关工作科学有效开展。

—根据国家等有关发电厂网络安全政策文件规定，以实际需求为导向，在合

规的基础上考虑整体安全设计，规范做好发电厂安全自动化编排响应体系建设，

保障安全工作推进的统一性、一致性、有效性和规范性。

—参照“分层解耦，异构兼容”的设计思路，将安全体系分为安全管理层、

安全使能层、安全平台层、安全资源层，各层之间完全解耦，实现异构兼容。

—续对威胁进行监控和检测，依靠安全大数据驱动的智能化、自动化的安全

检测能力，及时发现异常安全事件，实现智能化主动安全；通过策略自动编排，

协同平台、网络、终端、应用等的安全资源，对网络安全异常事件进行协同闭环

处置，确保威胁能够在最短的时间内得到清除或缓解，保护核心资产安全。

案例 2

石油石化行业：西南油气田应用项目

应用产品：智能边缘控制器

智能边缘控制器在石油化工和新能源行业，基于数据隐私计算和边缘云架构，

实现数据分级管理，保障数据安全和完整性；通过石油化工行业的大量基础数据，

对设备健康监控，根据数据分析并建模，在边缘智能网关侧进行推理分析，实现

151
对设备工况状态、设备故障和设备信息安全进行安全感知和故障预测评估并告警，

在实现石油化工的数字化基础上，提升生产安全保障。为用户提供的应用价值：

—丰富的接口：适配油田的各种异构采集、监控设备，支持不同协议的接入；

—可远程部署 APP、协议驱动、远程设备管理等，面对分散安装的传感器

和控制设备，极大地减少了维护工作量；

—支持本地规则引擎，可进行设备联动、数据清洗和生成告警事件等；

—实现有限的边缘自治功能，在网络出现中断或故障时，可实现边缘本地智

能策略，继续进行工作，保证正常的油田自动化生成，避免因网络故障导致设备

无法控制等因素，造成重大经济损失等。

案例 3

冶金行业：广西广投新材料集团智慧工厂网络安全建设项目

应用产品：工业防火墙

在熔铸/挤压/热轧/冷轧/供电/污水等进行相应的区域划分，区域间采用工

业防火墙进行隔离，采用适用于工控网络的“黑白名单”机制和协议解析，细化

访问控制粒度，对非法及异常访问行为进行拦截阻断，构筑网络边界防护防线。

为用户提供的核心功能如下：

低时延转发：工业网络通常要求实时数据通信，防火墙作为直路设备，直接

插入到通信链路中，因此工业防火墙的时延是极其重要的指标。RSF 工业防火墙

支持极低的转发时延，轻载时延小于 30us，重载时延小于 50us，满载时延小于

100us，可以保障工控网络的通信实时性。

渐进式部署：RSF 工业防火墙内置全通模式、学习模式、测试模式、正常模

152
式等工作模式，支持渐进式部署。首次上线可以运行在全通模式，保证网络联通，

确保业务不受影响；网络稳定后开启学习模式，持续学习网络中的流量和协议，

自动生成规则；然后切换到测试模式，部署学习到的规则进行测试和策略调试；

最后切换到正常模式进行工作。渐进式部署既保证了网络的连通和业务的稳定，

又可逐步增强安全防护，最大限度地规避网络调整的风险。

全面防护能力：在网络层，支持基于五元组、MAC 地址、时间段的访问控

制，还提供 IPMAC 绑定、ARP 防护、会话控制、攻击防护、带宽管理与保障带

宽等安全功能。在应用层，提供黑名单漏洞防护、白名单、应用控制等全面而精

细的防护

六、适用行业：

工业防火墙\边缘智能网关\工控安全管理与态势分析平台\工业入侵检测系

统：广泛适用于电力、轨道交通、石化、冶金、燃气、水务、智能制造等工业应

用场景。

七、联系人姓名及职位

姓名：肖存峰

职位：销售 VP

联系方式：13632396532

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

寄语： 当 前 ，随 着 工 业 互 联 网 、云 计 算 、大 数 据 等 新 兴 技 术 的 加 速 进 一

153
步 发 展 ，预 测 2023 年 网 络 安 全 形 势 依 旧 严 峻 ， 攻 击 模 式 呈 现 急 剧 多 元

化 、复 杂 化 ，传 统 的 单 一 功 能 产 品 无 法 再 满 足 数 据 安 全 防 护 需 求 ，要 求

行 业 厂 商 /企 业 领 导 者 不 断 重 构 他 们 的 网 络 安 全 方 法 ， 从 被 动 转 主 动 地

去 提 供 安 全 防 护 。稳 定 的 市 场 需 求 增 量 将 吸 引 越 来 越 多 安 全 厂 商 推 出 和

提升网络安全相关产品和服务，抢占市场份额，引领行业发展。未来，

网 络 安 全 产 品 将 向 专 业 化 、体 系 化 方 向 不 断 迈 进 ，给 专 业 型 企 业 发 展 带

来 新 机 遇 和 挑 战 ，为 中 国 安 全 从“ 网 络 大 国 ”到“ 网 络 强 国 ”战 略 迈 进

赋能。

作 为 国 内 专 注 于 工 控 安 全 的 创 新 技 术 型 厂 商 ，融 安 网 络 将 紧 抓 技 术

革 新 和 提 升 产 品 服 务 。目 前 已 拥 有 自 主 知 识 产 权 近 百 项 ，参 与 多 项 国 家

和 行 业 相 关 标 准 的 编 制 ，实 践 数 十 个 行 业 近 千 个 案 例 ；已 构 建 工 业 白 环

境 纵 深 防 御 体 系 ，切 实 落 地 工 业 控 制 系 统 安 全 、工 业 互 联 网 安 全 等 领 域

的 安 全 解 决 方 案 ，全 面 提 升 工 业 企 业 安 全 防 护 能 力 ，加 速 中 国 新 型 工 业

化进程，为中国经济发展注入新动能。

— — 融 安 网 络 CEO 陈 桂 耀

154
155
赛宁网安

一、公司名称：

赛宁网安

二、公司 logo：

三、工控安全产品名称：

赛宁工控安全产品体系

四、产品特点及优势：

特点：赛宁工控安全产品体系围绕工业类客户的痛点、难点等需求，提出工控攻

防靶场、工控体系防护、工控安全咨询三大板块业务。

优势：产品聚焦全方位把控关基设施面临的潜在风险，从人员技术能力提高、安

全防护体系建设、全员安全意识普及等多方面提升工控安全防护能力水平，能够

着重于事前、事中、事后体系化抵御可能突发的各类攻击。

五、成功案例：

1、某石油集团企业-石油石化

156
客户需求：

1）培训需求：建设工控安全培训环境，为检测、攻防、科研等专职安全人员提

供专业技术培训，不仅要提升理论知识储备，也需要具备安全事件应急响应处置

能力。

2）科研需求：建设石油采购、运输、存储、加油等业务仿真环境，研究工控病

毒、漏洞、工控安全设备。

效果：通过体系化的课程、练习，助力用户快速培养工控网络安全人才；检测实

网脆弱性、真实工控安全设备能力，提升集团整体安全性；通过定期的攻防演练，

可以提升专业人员的技术能力，并通过电子沙盘、物理沙盘展示工控安全事件的

危害，加强全员安全意识。

2、某能源集团-电力热力生产、煤矿投资开发、天然气开发利用和能源服务等

客户需求：

能源集团的安全人员多为网络运维出身，亟需加强专业网络安全人才培养，以及

建立有效的人才激励、考核机制与选拔手段；响应国家政策，定期开展实网攻防

演练来挖掘现网脆弱性，同时可以提高安全人员的应急响应能力；过多的实网演

练会影响现网业务的开展，并且每次实网攻防的组织成本较大。

效果：

通过体系化的实训、竞赛，形成网络安全人才培养“体系化”以及人才培训及考

核选拔，大幅度提升客户网络安全人员综合实战能力；通过仿真技术，实现攻防

演练“常态化”。基于各类仿真场景，依托主动防御技术开展网络空间安全防护。

157
六、适用行业：

部队、军工、能源、石油石化、发电企业、智能制造、轨道交通、通信、水利、

金融、煤炭、国防科技工业、地方监管机构、高等院校、科研机构等。

七、联系人姓名及职位

姓名：张静

职位：市场总监

联系方式：18513534135

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

当前，全球网络安全局势面临挑战，大规模的网络攻击威胁到了国家安全，更切

实影响了民众的生活。网络空间安全，已经开始对国家安全产生了全面的颠覆性

影响，也更加坚定了贯彻实施网络强国战略的必要性和正确性。前不久，在世界

互联网大会上，习近平总书记强调“加快构建网络空间命运共同体，为世界和平

发展和人类文明进步贡献智慧和力量”。推动构建更加公平合理、开放包容、安

全稳定、富有生机活力的网络空间。举国之力重视网络安全发展，势必会给网安

行业创造更优质的发展空间。

——赛宁网安 CEO 谢峥

158
159
双湃智安

一、公司名称：

北京双湃智安科技有限公司

二、公司 logo：

三、工控安全产品名称：

双湃智安工业互联网安全监测与响应三级联动平台

四、产品特点及优势：

特点：双湃智安工业互联网安全监测与响应三级联动平台，以 IT-OT 融合的深

度资产探测和持续威胁发现为基础，以威胁分析和安全运营为核心，以事前预防

目标，将企业安全风险在萌芽阶段处理，帮助企业最小的投入，获得最大的安全

能力提升。

优势：项目面向中小工业企业，提供提供资产探查、漏洞发现、风险评估、威胁

推送、工业现场检查、工业应急响应等安全服务，填补在线安全服务的空白，帮

助企业构建全天候、全方位的安全监测、威胁感知、相应处置能力，通过自动化

160
工具和流程开展实时安全监测、风险评估、威胁推送、预警通报等一对一企业服

务，提高工业互联网企业的安全管理能力，降低工业互联网企业因安全事件导致

的资产和人员损失，保障工业互联网企业安全生产。

五、成功案例：

案例 1：双湃智安工业互联网安全态势感知平台（卡奥斯工业互联网平台安全解

决方案）

客户：海尔工业智能研究院有限公司

双湃智安工业互联网安全态势感知平台，是集安全态势感知和安全运营于一体的

综合性工业网络安全平台。以工业互联网平台企业用户资产为防护目标，以用户

数据安全为核心，基于整体环境动态地洞悉安全风险，以安全大数据为基础，从

全局视角对安全威胁进行发现识别、理解分析和响应处置。最终形成针对网络安

全的决策与行动，是网络安全能力的有效落地策略。卡奥斯工业互联网平台安全

解决方案：

161
案例 2：紫光工业互联网平台网络安全综合防护系统

客户：紫光云引擎有限公司

紫光 UNIPower 工业互联网平台服务特点包括以下几个方面：一是全面的设备

连接与数据整合能力；二是强大的数据分析和工业算法模型构建；三是提供 PaaS

层四库四池，为企业和开发者提供工业应用开发所需的丰富资源服务；四是建设

以“工业为基础、数据为核心、云平台为支撑”的安全能力，建立一个智能分析、

协同防护、安全可控的工业互联网安全平台，做到事前预警、事中监控、事后分

析响应，全面的提升工业互联网平台安全管理与防护水平。

（1） 建设工业互联网平台企业安全综合防护系统，加强工业互联网平台自身

的安全防护能力，保证平台自身稳定性，保障工业互联网平台的快速建设及

应用推广，为加快建设制造强国，推动制造业经济高质量发展提供有力的安

全保障。

（2） 建设工业互联网平台企业安全综合防护系统，作为工业互联网平台的重

要应用，快速建立工业互联网平台下企业的网络安全状况可见性，帮助企业

直观、清晰、准确、全面地查看 IT、OT、IOT 资产状况、隐患、网络威胁等

162
 信息。能够帮助企业摸清家底，有针对性地提出网络安全建设的意见。

（3） 建设工业互联网平台企业安全综合防护系统，实现网络安全工作从“持

续监测”到“积极响应”的业务闭环，通过自动化响应、设备联动等功能发

挥全部网络安全设备的最大效能，能够帮助企业提升安全运营能力和安全防

护水平，避免因网络安全问题造成的业务停产所带来的经济损失。

六、适用行业：

制造业、信息传输、软件和信息技术服务业。

七、联系人姓名及职位

姓名：任浩源

职位：市场总监

联系方式：18610940906，renhaoyuan@dualpi.com

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

工业控制系统是国家关键基础设施的重要组成部分，工控安全关系到国家的战略

安全。随着资产数据的爆发式激增、新型攻击形态不断出现，近几年我国网络安

全事件频发，加之疫情常态化催生的远程、混合办公需求，传统的内外网边界趋

于模糊，为企业的安全治理带来了前所未有的挑战。建立纵深防御安全防护技术

体系，构建一套工业互联网安全监测与响应解决方案，利用全监测与响应支撑工

业互联网安全防御体系落地。要利用资产探查、隐患发现、威胁监测、安全态势

可视化、企业安全事件分析与处置、企业安全运营多端联动、自动化编辑运营报

163
告等能力，为工业企业客户提供个性化定制服务，从而彻底解决工业企业网络安

全“看不见、投不起、没人管、响应长”的用户痛点，能够为企业提供高效、可

信赖、易获取的工业互联网安全服务订阅（SECaaS）。

——双湃智安 CEO/首席科学家 陶耀东

164
天地和兴

一、公司名称：

北京天地和兴科技有限公司

二、公司 logo：

三、工控安全产品名称：

天地和兴工控防火墙

天地和兴工控安全审计平台

天地和兴工控信息安全监管与分析平台

天地和兴主机安全卫士

天地和兴智能安全分析平台

天地和兴 USB 安全隔离系统

等系列工控安全产品

四、产品特点及优势：

特点：

工业级专用硬件平台、专属工业加密通道（国密），全面且细粒度的工控协议解

析、全面的攻击防护能力、集中的安全策略配置、多维度的安全威胁呈现、多维

165
度的用户行为审计、可视化的算法配置平台、完善的工控系统兼容等。

优势：

1. 案例多，稳定运行时间长，功能聚焦且可靠性高，对工控协议深度解析满足

工控场景的安全防护需求。

2. 兼容性强，适用于各种业务场景， 同时支持 windows、Linux、Unix、和

国产多平台。

3. 一键策略部署，适合部署在工业网络各边界位置，满足工控用户差异化的安

全防护需求。

4. 丰富的知识库支撑，自动识别工控资产，建立工控网络安全通信模型，能够

实时监测工控网络的状态。

五、成功案例：

某大型能源公司供热管网控制系统网络安全防护项目

项目背景

本案例客户公司所辖供热公司的供热管网控制系统属于典型的物理分散、系统

分散、风险分散的系统。城市热力站地理位置分散，覆盖面广，大部分城市热力

站通过电信运营商互联网网络与控制系统的数据通信，调度中心控制指令和各热

力站实时控制数据以不安全的传输协议进行数据传输，极易被恶意攻击者窃取信

息数据或者对信息数据进行篡改，导致无法真实传递控制指令和反映当前热力站

控制系统运行状态。

166
 项目分析

1、日常安全巡检难度大

市政供热网络一般具有管网数量多、分布范围广等特点，因此对实现集中监

控、无人值守的工业控制网络，难度较大。供热管网对边界防护、异物入侵、图

像对比、行为识别、分析预警等业务分析需求越来越多，迫切需要视频流的数据

挖掘分析技术守护日常的管网运行安全；同时打破视频数据孤岛问题，供热管网

实现对识别对象进行分析预警预测数据挖掘分析更为迫切。

2、供热行业数据安全的需求

供热行业相关单位的数据格外引人注目，除了企业内的财务、行政、人力等

管理数据外，更多的敏感数据为供热用户信息等。任何由内外原因疏漏导致的数

据泄漏都将使企业遭受重创，后果会很严重。供热行业的管理趋于数字化，《网

络安全法》及更多法律法规的出台，可能会加剧企业保护数据安全的负担。但数

据是核心的信息资产，企业必须适应环境的变化，不能消极、退让、躲避，只有

不断寻求更佳的安全防护体系和措施才是真正的办法。

3、供热行业业务安全的需求

安全不仅仅只是保护基础设施，更要保障业务系统的安全。也就是说，将安

全控制融入到业务流程之中，对业务操作中的安全控制点进行同步监测，进而提

前做到安全态势感知，防患于未然，并节省宝贵的事件响应时间。

解决方案

167
 天地和兴公司的 AI 赋能城市供热——管网安全防护一体化解决方案，能

够 全面保障管网安全，有效预防和避免数据泄露现象,减少或避免因人员操作管

理失误造成的损失，具体的应用场景如下：

1、安全的物理环境：对换热站的视频监控中的蒸汽/烟雾泄漏、液体滴漏等

异常生产环境视频适配 AI 算法，对异常视频画面进行智能分析并告警。

2、安全的通信网络：对供热公司的业务网络进行分区优化，具备控制功能

的自控系统独立组网，在换热站与供热管网控制系统链路部署加密设备，进行身

份认证与数据传输加密防护。其他生产相关但不具备控制功能的划分到管理信息

网络。

3、安全的区域边界：在自控系统网络边界（外联 DMZ 区和管理信息网）

部署工业网闸，对自控系统区域进行安全隔离。在供热管网控制系统核心交换机

旁路部署入侵检测系统，通过交换机镜像功能，把网络出入口、重要安全域的通

信数据送给入侵检测系统进行实时检测。

4、安全的计算环境：针对市政供热企业工控网络中的相关应用服务器、管

168
理操作终端等主机系统，设计安装部署主机安全防护软件系统，实现了对人机交

互界面的主机系统必要的安全管控。白名单的主动防御机制可占用更小的系统计

算资源，实现最大的防护效能；有效的实现主机防病毒、防第三方软件的非授权

安装与使用，主机系统外接口的管控，USB 外接存储设备的认证管控、防病毒

与操作行为审计，为主机系统安全运行提供必要的安全保障。

5、安全的管理中心：在热管网控制系统划分出安全管理域，部署日志审计

系统、堡垒机系统及定制开发安全管理平台，安全管理平台采用两级管控平台的

创新布局，实现报警分级、管控分权的网络安全平台建设，可向上对接上级监管

机构的管控平台。

应用效果

本解决方案通过对供热公司供热管网控制系统的网络架构、边界及系统风险

进行明确，对其面临的网络安全风险进行研究，依据等级保护要求，就现有控制

系统的网络安全问题，提出针对型的安全防护解决方案，从区域隔离、接入双向

认证、网络通信链路防护、软件系统安全、集中监管、主动防护等方面出发，构

建了供热控制系统网络安全纵深防御体系，确保终端和主站之间的通信链路安全，

保障终端和主站之间传输数据的保密性和完整性，同时实现主站和终端之间的双

向身份鉴别；重点防范各种主动攻击对系统的恶意破坏和攻击以及其它非法操作，

防止由此导致供热管网系统事故，确保供热公司供热系统的安全运行，具有很强

的现实需求；对与公司其它供热系统具有广阔的应用前景和示范作用。

六、适用行业：

能源电力、石油石化、轨道交通、智能制造、钢铁冶金和军工等各类国家关键信

169
息基础设施行业。

七、联系人姓名及职位

姓名：胡心恬

职位：市场经理

联系方式：13901218532

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

随着越来越多的工业生产设备和系统联网，制造环境走向开放、跨域、互联，

网络攻击范围不断扩大，工业全产业链都面临着网络攻击的风险，已经对世界各

国的政治稳定、国防安全、经济发展产生了严重的负面影响。要构建构建科学的

安全防护体系，工业企业首先需要明确“保护什么”，通过各类价值评定方式确

定企业的各类保护对象与安全目标设定。并通过安全评估及渗透测试，识别保护

对象的安全风险，审查网络系统中存在的安全弱点，确定防护工作的优先级。再

结合自身业务类型与保护对象，制定有针对性的安全防护策略与安全解决方案，

部署相关安全产品、平台。

——天地和兴 CTO 李凯斌

170
171
网藤科技

一、公司名称：

北京网藤科技有限公司

二、公司 logo：

三、工控安全产品名称：

USB 安全隔离装置

四、产品特点及优势：

特点：

USB 安全隔离装置创新性地采用外设杀毒技术，集“认证、授权、审计、杀毒”

于一体，可以对 U 盘等移动存储介质进行全流程细粒度管控。

优势：

1、三引擎一机多杀

USB 安全隔离装置具备网藤基础引擎、深度引擎、辅助引擎三引擎威胁处理能

力，支持多用户、多台工业主机、多 U 盘同时进行病毒查杀，节约用户投资。

172
2、共享存储空间

USB 安全隔离装置内置大容量存储空间，可以满足多用户、多工业主机同时进

行安全数据共享。

3、文件加密传输

内外网交互的文件在传输过程中可选择加密，只有通过 USB 安全隔离装置才可

对加密的文件解密，防止文件离开设备后泄密。

4、与工控主机安全卫士联动

USB 安全隔离装置可以通过与网藤工控主机安全卫士联动，在 USB 安全隔离装

置上获取认证授权标记及查杀标记的移动存储介质，才可通过主机上工控主机安

全卫士的安全校验和使用。

五、成功案例：

1、客户名称：新疆某新能源发电公司

2、案例名称：基于工业控制动态防御方法的新能源网络安全创新应用

3、客户痛点

（1）外部网络安全威胁；

（2）工控系统缺乏内生安全措施，长期处于独立运行状态，漏洞等脆弱性

风险无法修复；

（3）人员安全意识薄弱，移动存储设备滥用；

（4）安全技术滞后于新技术的应用，高级持续性威胁虎视眈眈。

4、案例描述

网藤科技提出业界领先的动态防御新理念，打破传统防御观念，以基于工业

173
工资动态防御方法为核心，构建一体化网络安全防御体系，可针对新能源电力行

业网络及业务进行整体安全防护，保证网络信息系统安全，助力新能源电力企业

网络安全满足国家合规性要求的安全防御能力，结合新疆某新能源发电公司电力

系统的实际情况，形成全面的动态防御网络安全解决方案:

（1）区域划分

根据能源电力 36 号文要求，确定生产控制大区(包括控制区和非控制区)和管

理信息大区范围，并根据业务子系统做进一步划分，为边界安全防护夯实基础。

（2）边界防护

在安全域划分基础上，对控制区和非控制区边界及内部子系统间部署工控协

议深度解析的工业防火墙，根据安全策略对跨边界流量进行管控，避免安全威胁

跨区传播。同时，在生产控制大区部署入侵检测系统，实现网络威胁入侵检测，

及时发现网络异常情况，蠕虫、木马病毒以及 APT 等恶意程序的传播，实现网

络运行状态实时监控。

（3）主机加固

通过在生产控制大区各主机终端部署工业控制动态防御系统，实现终端进程

的可信管理，只允许需要的业务软件运行，以首创可控的 USB 安全隔离装置，

对移动存储介质数据传输过程进行病毒查杀隔离，创新性的将静态防御和主动的

动态防御相结合的安全部署方式，通过严格安全隔离和访问控制机制，从根本上

提高了工控主机安全性。

（4）合规性分析

漏洞扫描系统通过接入工控网络，可快速识别现场资产及漏洞，根据相关政

策要求对工控网络安全状况进行评估，满足关键信息基础设施定期安全检查要求。

174
 （5）安全管理中心

为满足集中统一管理要求，在安全管理中心部署综合监管预警平台，构建企

业统一管理平台，实现对安全设备的集中管控，将实时分析结果推送到展示平台，

为安全运维人员提供技术支撑，同时实现对运维人员访问过程进行细粒度的授权、

全过程操作记录和审计。

5、网络部署拓扑图

6、案例成效

本方案采用主动防御体系及纵深防御思想，创新性的将静态防御和主动的动

态防御相结合的安全部署方式，实现新疆某新能源发电公司网络结构安全和深层

防御能力，满足合规性要求。

（1）实施后，对网络攻击、违规使用等情况，采用深度分析技术对网络进

行不间断监控，分析来自网络内部和外部的入侵企图，并进行报警、响应和防范，

有效延伸了网络安全防御层次，提高各系统网络安全事件识别和响应能力；

175
 （2）实施后，提高系统识别各类网络攻击行为的能力，并有效应对内部发

起的或外部发起的网络入侵行为；

（3）实施后，利于管理员定期分析各系统日志信息，对安全事件、用户访

问记录、系统运行日志、系统运行状态、网络存取日志等各类信息进行集中管理

分析；

（4）实施后，减轻新能源电站日常 IOT 资产设备的运维强度和成本，可通

过集控中心统一安管平台，快速识别业务系统中的安全风险；提高系统管理人员

安全意识，提高现场设备应对外来威胁的防御能力，减少自身脆弱性。

六、适用行业：

石油石化、电力电网、智能制造、轨道交通、智慧城市、冶金矿山

七、联系人姓名及职位

姓名：刘佳

职位：市场总监

联系方式：13810067329

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

随着工业互联网和数字化转型的到来，加速了 IT 和 OT 全方位融合，也导致了工业互联网

安全环境更加复杂多变。网络边界逐渐模糊、工艺场景复杂多变、生产安全问题日益突出，

工业互联网安全面临设备安全、控制安全、网络安全、应用安全、数据安全以及生产安全等

176
全方位的新挑战。

工业互联网安全将从生产业务中来到生产业务中去，利用工业大数据、人工智能等技术打造

工业互联网+安全整体解决方案，从数字空间、工艺行为、物理空间上进行全方位智能化泛

安全监测预警及纵深防御，实现全面可视化监控和精准的科学管理。

——网藤科技副总裁 胡仁豪

177
星阑科技

一、公司名称：

北京星阑科技有限公司

二、公司 logo：

三、工控安全产品名称：

Intelligent Recognition 系统

四、产品特点及优势：

特点：该系统支持多种工业网络通信协议，包含常用传统网络控制协议，现场总

线，工业以太网，工业无线网等多种工控协议数据包的深度解析，还能基于工业

网络流量特征智能识别安全风险，并支持基于分布式的流量采集方案和高性能数

据分析平台，具备多重检测全面防护、自身安全性高、多维度分析，一体化防护

等功能。

178
优势：

该系统能够加强工业控制系统信息安全管理的重点领域和重点环节，弥补传统安

全产品的检测盲区，可针对工业信息系统风险威胁、行为风险、数据风险，适配

覆盖全生命周期的工控安全产品及解决方案，帮助用户打造安全可靠的工控安全

整体防护体系，为工业用户提供全面的安全保障。通过对工业控制系统中的工控

语言进行专项解读，形成特有的工控网络检测策略，实现对各工业控制系统的有

效威胁检测，威胁处理闭环。并且涵盖了空间资产探测、系统漏洞扫描、WEB

漏洞扫描、网站安全监测、数据库安全扫描、安全基线核查、工控漏洞扫描、

WIFI 安全检测、APP 安全扫描、大数据漏洞扫描、Windows 安全加固、等保

合规关联、分布式管理等功能。

五、成功案例：

客户：某石油公司

所属行业：石油化工

客户需求：解决工业控制系统面临的安全隐患

解决办法：依据《国家信息安全等级保护制度》、《工业控制系统信息安全防护

指南》等标准，针对该企业控制系统网络特点，对安全防护难题进行了分析，为

客户定制化设计并构建了控制系统网络安全纵深防护体系。系统采用基于流会话

的状态检测技术，并且集成了强大的基于会话管理的核心技术，可以支持优异的

每秒新建连接的性能，支持涵盖 Modbus/TCP，OPC Classic，OPC UA，DNP3，

S7，S7 plus，IEC60870-5-104，MMS，Ethernet/IP 等在内的各类主流工控

网络协议，并且能够对各类数据包进行快速有针对性的捕获与深度解析。

179
六、适用行业：

政府、电力、水利、教育、医疗、石油化工

七、联系人姓名及职位

姓名：郝明

职位：市场总监

联系方式：18600686192

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

万物互联的时代，机遇与风险并存，应对网络安全风险挑战，需要防患于未然。

如今我国网络安全政策体系不断完善，网络和数据安全管理体系日臻完善，行业

数据安全监管体系初步建立，基础电信网络保持安全稳定运行，工业互联网、车

联网、5G 等新型基础设施安全保障框架体系初步形成。而随着企业数字化转型

的深入，API 作为云原生环境下的基础通信设施，在大型企业、金融机构的线上

服务、数据库、云存储、开放平台等多种业务中变得越来越高频多元。API 作为

驱动开放共享的核心能力，已深度应用于各行各业，其巨大的流量和访问频率也

让 API 的风险面变得更广、影响更大。星阑科技将站在 API 这个通信和数据的

汇聚点和交叉点上，统筹好发展与安全“一体之两翼、驱动之双轮”，扩展新应

用场景，转化更多价值，解决各类技术上的难题，守护数字世界的每一次网络调

用。

——星阑科技 CEO 王郁

180
181
中电安科

一、公司名称：

杭州中电安科现代科技有限公司

二、公司 logo：

三、工控安全产品名称：

工控安全监测审计系统、日志审计系统、工控入侵检测系统、工控防火墙、工控

隔离网闸、网络准入系统、工控安全管理平台、配置核查管理系统、数据库审计

系统、工控终端防护系统、网络防病毒系统

四、产品特点及优势：

工控安全监测审计系统：

工控安全监测审计系统旁路部署在工控网络中，实现网络流量监测、协议分

析、资产识别、安全审计等功能，广泛应用于电力、石油、石化、轨道交通、烟

草、煤炭、钢铁及先进制造等行业

182
 优势：通过对工控网络流量的采集、分析和监测，可自动发现网络中的所有

IoT 和 ICS 资产，并维护最新的资产清单，显示设备类型、制造商、开放的端口、

序列号、固件版本、IP/MAC 地址等。支持 IEC61850、IEC60870-5-104、DNP3、

Modbus TCP、S7Comm、CIP、OPC 等上百种工业协议深度解析，对网络数

据中通讯行为进行建模，自动构建安全基线，快速识别网络异常行为并实时告警。

彻底改变工控网络不可知的现状，将工控网络变得“可知”、“可管”，及时发

现工控网络中的信息安全风险。

日志审计系统：

日志审计系统作为一个统一日志监控与审计平台，能够实时、不间断地将将

用户网络中来自不同厂商的安全设备、网络设备、主机、操作系统、数据库系统、

业务系统的日志等信息汇集到审计中心，实现全网综合安全审计。

优势：大数据技术支撑海量日志处理；基于机器学习的日志模式识别；可视

化日志审计；配置灵活方便的仪表板；智能分析发现攻击链全过程；内资丰富的

合规报表

工控入侵检测系统：

入侵检测系统是针对办公网络网络设计的、提供网络入侵发现、事件关联分

析、安全设备联动等功能的信息安全产品。

优势：拥有丰富的系统漏洞利用规则库，超 10000 条策略过滤规则；支持

病毒检测、行为管理等功能；高效的威胁入侵行为检测能力，内置关联分析算法

和大数据分析能力；强大的横向扩展能力；具有完善的自我管理功能；

工控防火墙：

工控防火墙是面向工业控制网络研发的涵盖传统防火墙、工控协议数据包深

183
度解析、工控协议指令控制等功能在内的工控网络安全防护产品。

优势：综合运用了多核并行控制技术、非共享式 TCP 协议栈、数据路径智

能优化技术等多种安全技术，可检测并轻松阻断多种攻击；多种工作模式灵活部

署安装，适用各种网络；采用安全策略规则高速匹配算法，性能优越，延时小，

速度快；支持黑、白名单配置，丰富的安全策略，启发式扫描，精准识别；通过

集成工控漏洞库和工控入侵检测特征库，智能识别利用协议漏洞发起的攻击并阻

断；支持 Modbus、OPC、DNP3、S7Comm、IEC60870-5-104、IEC61850-MMS

等 40 多种工控协议深度解析和策略过滤。

工控隔离网闸：

工控隔离网闸是在保证内外网络有效隔离的基础上，实现了内外 网间安全、

受控的数据交换。

优势：采用多机系统架构，通过对信息进行落地、还原、扫描、过滤、防病

毒、入侵检测、审计等一系列安全处理，有效防止黑客攻击、恶意代码和病毒渗

入，同时防止内部机密信息的泄露，实现工控环境的网间安全隔离和信息交换。

网络准入系统：

网络准入控制系统采用旁路部署方式接入用户网络，准确识别入网终端身份，

提供终端健康检查与隔离修复，实现对网络终端的全面接入控制。

优势：灵活的部署方式；全方位的准入控制；直观高效的可视化管理；多维

度管理模式

工控安全管理平台：

工控安全管理平台是针对工业网络设计的，集安全可视化、监测、预警和响

应处置于一体的信息安全产品。工控安全管理平台采用组件化开发技术，专注于

184
安全管理和安全分析。

优势：内置工控资产指纹库，实现精准的工控资产识别；先进的大数据技术

架构，满足海量异构数据的采集、存储和分析；灵活的组件化架构设计；支持百

余种工控协议的智能解析；智能数据处理和分析。

配置核查管理系统：

配置核查管理系统是一款针对自动合规性核查的轻量级工具。

优势：丰富的配置核查项；自定义核查项目；基于规范模板的配置核查；多

样的设备管理模型；灵活的部署方案；支持多实例、多应用域自动探测；更细的

自有检查规范粒度

数据库审计系统：

数据库审计系统是自主研发的业界首创智能自动学习、自动建模、风险自识

别、细粒度审计、精准化行为告警、全方位的数据库安全审计产品。产品基于“CII”

（Compliance、Independence、 Intelligence）设计理念，为客户的核心数

据库资产构建“最后一道安全防线”。

优势：产品支持旁路审计、代理审计和插件审计三种工作模式，通过对数据

流量的深度解析实现对数据库的审计，实时统计访问数据库的请求和风险，提升

数据库运行监控的透明度，降低人工审计成本，真正实现数据库全业务运行可视

化、日常操作可监控、危险操作可控制、所有行为可审计、安全事件可追溯。

工控终端防护系统

工控终端防护系统提供了多层次防御、多手段管理相结合的终端安全解决方

案。系统采用控制台、客户端的两层防护架构设计和一体化部署模式，可轻松实

现超大规模终端用户多级可视化管理。

185
 优势：集成式、高可用、可复用、多元化的终端安全管理方案；提供安全检

查、快速修复问题的终端自助安全维护能力；全面的防护功能；成熟的技术优势。

稳定、可靠的平台优势；采用驱动及操作系统底层技术实现，保障安全防护

效果，提高的安全防护的效率，系统的资源占用最小；采用高性能的网络通讯机

制，在大规模网络中能够高效、快速的进行终端管理，提供高效的技术机制保障。

网络防病毒系统

防病毒系统基于大数据安全分析领域的优势，对服务器与终端未知威胁检测

和未知恶意代码防御方面进行防御

优势：产品采用机器学习、大数据分析技术、高级行为分析技术以及漏洞利

用检测技术，提供针对高级威胁的及时检测和快速响应。系统通过对服务器与终

端行为数据的持续监控、主动检测和关联分析，对检测出的安全威胁实时处置防

御，实现对安全事件的快速响应和威胁根源的快速定位。

五、成功案例：

一、案例名称：某市地铁工控网络安全项目案例（因涉及敏感信息，因此做脱敏

处理）

项目背景及需求：

某市轨道交通网络运营控制中心（NOCC）工程是将线网运营控制中心、各

条线路运营控制中心（OCC）、应急指挥协调中心（TCC）及票务清分中心（ACC）

合建一体的项目，支撑轨道交通网络运营、多元化主体格局下轨道交通网络运营

管理。某市轨道交通网络运营控制中心（NOCC）主要包含 XXX 市城市轨道交

通近远期建设规划后续 20 条线路及现已开通运营的 5 条线路运营控制中心

186
（OCC）、线网指挥中心（TCC）、网络运营管理中心（NCC）、线网 AFC 系

统的清分清算中心（ACC）、AFC 多线路共用线路中心（CLC）及线网服务中心

相关配套设施。

截止 2016 年，XXX 地铁一期工程、二期工程、三期工程已陆续开通运营，

随着《网络安全法》版本实施，以及等保 2.0 相关标准、规范落地，网安主管部

门多次对地铁生产业务系统的网络安全等级保护定级、备案、测评、整改提出了

具体要求。

同时由于 NOCC 一期、二期工程一个融合平台，后续新线均接入 NCC，如

既有线信息安全风险不升级，风险会持续叠加，一旦发生信息安全事件，容易互

相传播，对 XXX 地铁整个线网的威胁极大。

本项目将依据地铁运营公司对一期工程、二期工程、三期工程的生产业务系

统（综合监控、电力 SCADAD、AFC、PIS、通信、综合安防等）风险评估的结

果，进行安全加固整改，同时按照国家相关要求进行等保定级、备案、测评。

基于等保 2.0 的要求，以及风险评估的结果，目前 XXX 地铁既有线业务系

统主要存在如下的安全风险及隐患：

风 险 等 风 险 来
序号 安全风险类型
级 源

网络边界设计不合理，网络未有效 网 络 安
1 高
隔离 全

2 安全架构不完善 高 网 络 安

187
 风 险 等 风 险 来
序号 安全风险类型
级 源

应 用 安
3 缺少终端安全防护措施 高
全

管 理 安
4 缺少专业安全管理人员 中
全

应 用 安
5 存在 ARP 攻击风险 中
全

应 用 安
6 通信指令缺乏验证机制 中
全

核心业务系统应用程序缺乏数字签 应 用 安
7 中
名 全

核心业务系统数据库连接信息明文 网 络 安
8 中
存储 全

网 络 安
9 系统缺乏正确的安全配置 高
全

系 统 安
10 基础软件系统漏洞未安装补丁程序 高
全

网 络 安
11 安全设备及软件授权过期 中
全

12 关键系统采用弱口令并长时间不修 高 管 理 安

188
 风 险 等 风 险 来
序号 安全风险类型
级 源

改 全

安全防护思路：

本次既有线网络安全升级改造，一方面应解决上述的风险及隐患，另一方面

应达到等级保护的要求。

本次升级改造包括但不限于以下几项工作：

 等保安全防护方案深化设计；

 新增安全产品采购、现场上架安装接线、调试；

 业务系统交换机等网络设备配置修改；

 业务系统终端、服务器安装防病毒软件、终端防护软件的配合；

 业务系统本身及其操作系统、数据库、网络设备的安全加固与中高危漏

洞整改；

 等保定级、备案、测评，制度梳理等。

 各系统升级改造后的安全保护等级如下：

 综合监控系统、信号系统、pSCADA 系统、AFC 系统应达到三级等保；

 综合安防、PIS 系统、通信系统应达到二级等保。

结合当前地铁综合监控系统面临的诸多安全问题，依据《信息安全技术 网

络安全等级保护基本要求》，在安全物理环境、安全通信网络、安全区域边界、

安全计算环境、安全管理中心、安全策略和管理制度、安全管理机构和人员、安

189
全建设管理、安全运维管理等方面采取必要的措施以使综合监控系统达到信息安

全等级保护三级的要求，同时具备对已知、未知恶意代码、病毒的入侵、黑客入

侵防护的能力，能够对网络流量、网络行为进行分析，实现对网络攻击特别是未

知的新型网络攻击的检测和分析，满足网络数据审计功能要求。

安全防护措施：

针对工业控制系统内部威胁部署工控安全监测审计系统，实时监测系统内部

异常行为，异常流量告警；

针对各互联系统间存在的安全威胁，部署工业防火墙，做到系统之间的逻辑

隔离，保障各互联系统同综合监控系统数据交换的安全性；

同时针对终端安全问题，部署终端安全管理系统严格监管终端异常行为及非

法数据外传等操作。

针对安全运维情况，在云平台部署账号风险洞察系统，实现对运维人员操作

服务器、网络设备、数据库过程的记录与回放，对违规操作行为进行阻断与审计，

有效降低运维人员越权访问、误操作、滥用、恶意破坏等运维风险；

针对综合监控系统工业资产及异常数据监控方面，通过部署工控安全理平台，

基于数据流分析的网络拓扑绘制，实现对工业资产的实时统计并对整套控制系统

的安全态势做到实时展现。

同时，在管理建设方面，在安全策略和管理制度、安全管理机构和人员、安

全建设管理、安全运维管理加强建设。

安全方案效果：

190
 1. 合规性满足

根据等保 2.0、行业知道要求要求，建设的地铁工控网络安全解决方案可以

满足相应级别的合规性，同时在定级备案等保测评过程可以相对顺利符合测评技

术要求。

2. 提高生产稳定性

通过地铁工控安全防护体系、监测体系、响应体系的建设，能够有效的降低

生产网络中的各种安全风险，提高生产的连续性和稳定性，有利于保障企业的安

全生产。

3. 有效保障业务流程安全

通过地铁工控安全防护体系的建设，对各网络边界、区域边界、重要控制设

备进行隔离、防护，切断病毒、木马、恶意攻击的传播途径，保障网络区域内生

产控制系统安全；通过工控安全监测体系的建设，对工控网络内控制指令、操作

行为、传输数据进行安全审计与监测，及时发现非法操作、恶意篡改、网络攻击

等安全事件，保障工业业务流程、生产数据安全；通过工控安全防护体系、工控

安全监测体系以及工控安全监控管理平台的建设，形成符合业务特点的工控安全

响应体系，及时预警安全事件发现安全问题，做到安全防护、安全监测、安全事

件响应的可视化。

4. 提高生产控制网络信息化水平

通过地铁工控安全防护体系、监测体系、响应体系的建设，能够有效的提高

网络安全认识，切实提升信息化管理水平和管理效率，使管理人员的决策更加及

191
时、准确，使信息流通结构更加合理，增强综合竞争力。

5. 提升抵御网络安全风险能力

通过地铁工控安全防护体系、监测体系、响应体系的建设，增强生产控制网

络行为的合规性识别能力，避免各种有可能出现的由网络安全引起的突发问题，

避免或减少生产控制网络安全威胁。

6. 提升安全生产水平

通过地铁工控安全防护体系、监测体系、响应体系的建设，规范生产控制网

络中的资产和行为，可以事前防御由病毒、入侵、异常接入、程序逻辑等导致的

安全生产事故，杜绝重大灾难性事件，为企业安全生产做贡献，产生良好的经济

效益。

二、案例名称：中电安科生物制药工控网络安全建设项目（涉及对外时，需做脱

敏处理）

项目背景及需求：

国内疫苗管理法意见出台，将疫苗管理上升到了国家安全的高度，同时也对

疫苗的研制，生产，上市，流通以及监管提出了更深入的要求。MES 项目的建

设和规划，符合国药集团总体发展的布局，是新形势下和未来战略性发展的迫切

需要。工业控制系统的网络化、智能化在提高生产效率和管理效率的同时，也为

恶意攻击者增加了新的攻击途径，针对生产控制系统的攻击技术和手段不断发展，

192
各种生产控制系统恶意软件以及安全事件层出不穷，使得生产控制系统面临越来

越多的安全威胁和挑战。

我国政府和有关监管部门对此高度重视，分别在法律法规、政策、工作要求

等方面积极行动。从 2011 年工信部的 451 号《关于加强工业控制系统信息安全

管理的通知》，2016 年工信部的 338 号《工业控制系统信息安全防护指南》，

再到 2017 年工信部 122 号《工业控制系统信息安全事件应急管理工作指南》以

及 2017 年 6 月 1 日正式实施的《网络安全法》，这一系列出台的政策都已表明

我国政府和有关部门高度重视工控系统的安全，已经上升到国家战略的高度。

解决思路：

工控网络安全防护方案不单单是一个技术问题，不是一两个安全产品设备所

能解决的。安全防护一定是站在自身业务发展的需要而进行设计的，符合整个企

业的治理、风险和合规管理思路。

组织治理：企业在建设工控安全体系时结合企业的战略目标，明确组织职责、

运作机制和流程，建立有效的管理循环，保证企业目标得以实现。

风险管理：从风险背景的建立开始，到开展风险评估工作、进行风险响应和

风险监测，建立自上而下的风险管理架构能够帮助企业各个层级明确自身的风险

管理职责和风险管理流程，有利于企业认知的信息安全风险。

合规管理：企业通过建立自身控制基线，满足当前对风险控制的要求，同时

符合国家相关法律法规要求以及等级保护要求等，基线的建立除了要满足相关的

监管要求外，还需要满足自身企业的业务目标，而这些离不开合规的管理。

企业在两化融合的深入过程中，已经开始从最初的数据采集开始往“智能制

造”“智慧工厂”方向发展，所以在设计安全防护方案时一定要以动态的眼光来

193
对待工控网络安全问题。工控网络安全防护措施的设计遵循“以治理为保障、以

风险为导向、以合规为基线”作为指导方针来建设公共安全，既需要考虑当前企

业的工控网络安全现状，也需要考虑未来企业发展的需要的。

产品部署：

1. 边界防护

在各 PLC 控制系统之间部署工业防火墙，将各控制系统进行逻辑隔离，并

设置严格的访问控制策略，通基于 IP、端口、协议等的访问控制策略，杜绝控

制系统的非法访问，隔离网络攻击和病毒（包含工业病毒）的跨区域的串扰，保

护工业环网的安全运行。实现不同系统之间的逻辑隔离，解决生产网各工控系统

之间以及管理网与生产网之间的违规访问与边界防护。

2. 监测审计

在各场站的工控系统分别部署监测引擎，监测引擎对工控流量进行监测分析，

识别出工控协议，并对工控协议深度解析，同时将违规操作、非法操作和程序下

载、IP 变更、组态变更、PLC 启停等关键事件以及病毒、木马、黑客等攻击行

为数据传送到部署在调度中心的工控安全监测审计管理系统中。工控安全监测审

计管理系统对监测引擎进行统一监控与管理，将监测引擎传送过来的异常数据进

行统计分析，并告警显示，同时依据通讯流量进行节点网络拓扑动态生成，工控

资产识别，实现对工控网络的监测与审计，为事后提供追溯分析依据。

3. 终端安全

为保证主机设备的正常运行，制药控制系统的操作员站和工程师站基本不安

装杀毒软件，导致主机设备可能存在未被发现的恶意代码程序且无法抵御病毒、

木马等恶意代码的入侵。

194
 所以，本方案在生产网各工控系统中的操作员站、工程师站以及服务器等工

业主机上安装部署工控安全卫士，在调度中心部署工控终端防护系统。管理系统

对工控安全卫士进行统一管理与监控，策略下发，异常报警等。实现对工业主机

的进程白名单管理，对流量、USB 口管控，有效抵御未知病毒、木马、恶意程

序、非法入侵等针对终端的攻击，实现工业主机安全防护与加固。同时，部署 1

套配置核查管理系统，对工业主机、服务器以及网络设备的安全配置基线进行核

查。

4. 安全运维

在调度中心部署运维堡垒机，进行集中账号管理、集中登录认证、集中用户

授权和集中操作审计。实现对运维人员的操作行为审计，违规操作、非法访问等

行为的有效监督，为事后追溯提供依据。解决远程运维行为无法监控问题以及在

访问系统资源，操作记录无法做到安全审计、事后可追溯问题。

5. 配置管理

做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系

统配置清单，定期进行配置审计。对重大配置变更制定变更计划并进行影响分析，

配置变更实施前进行严格安全测试。

具体管理措施有：

建立工业控制系统配置清单，明确配置管理责任人及职责；

定期对配置清单进行配置审计；

所有重大配置变更制定变更计划并进行影响分析，定义配置变更审批流程，

配置变更实施前进行严格的安全测试。

6. 安全管理

195
 制药控制系统在做好信息安全的相关建设或整改后，增加了网络安全性，但

是也增加了一定的管理难度。因此，在调度中心部署安全管理平台。主要包括数

据监测、日志收集和报警展示，通过使用安全管理平台大大降低运维管理的工作

难度和工作量、同时可采集制药控制系统的主机设备、网络设备、安全、业务软

件的日志进行统一留存和管理，运维管理人员可通过安全管理平台监控全网的报

警信息，发生安全事件后，可第一时间采取处置措施，提升制药行业安全防护整

体水平。

方案亮点：

1. 合规性

满足《网络安全法》框架下关键信息基础设施保护制度要求、网络安全等级

保护制度要求以及防护指南等政策的有关要求。

2. 技术与管理并重

安全不是单纯的技术问题，需要在采用安全技术和产品的同时，重视安全管

理，不断完善各类安全管理规章制度和操作规程，全面提高安全管理水平。

3. 可视化

实现工控网络资产的可视化管理，动态识别非法接入设备，直观展示工控网

络安全威胁。

4. 全面防护

从网络、终端、通信、数据、运维、管理等多个层面提供完整的安全防护与

管理手段，实现工控网络全面的安全保护。

5. 最小干扰

所有安全组件均采用非侵入式安全监测与防护工作方式，可确保将设备对工

196
控网络的干扰降低到最低。

6. 多工业协议支持

支持常见工控协议：S7、Modbus、OPC、IEC61850、IEC60870、IEC104、

DLT645、BacNet、CIP、DNP3、MMS、ProfiNet、EIP 等近百种工业协议的

深度解析。解析深度可以达到功能码、寄存器、读写属性、甚至读写数据的阈值，

同时还支持私有协议的定制开发。

六、适用行业：

电力、石油、石化、轨道交通、烟草、煤炭、钢铁及先进制造等行业

七、联系人姓名及职位

姓名：赵萌

职位：市场经理

联系方式：13488671748

八、CEO/创始人/总裁/副总裁/联合创始人等对行业发展和甲方的寄语：

工控安全建设的重点防护有三大方向：一是合规建设，工控系统的安全建设

需满足《网络安全法》、《关键信息基础设施安全保护条例》、《网络安全等级

保护基本要求》以及《工业控制系统信息安全防护指南》等有关国家政策、标准

对工控系统的安全防护要求。二是全面防护，需对包含网络、终端、应用数据、

运维、管理等多个层面建立完整的安全防护与管理手段，实现工控网络全方位的

立体安全保护，具备可延续性和扩展能力，实现纵深防护能力建设。工控安全攻

197
击和防护是一个持续性的过程，是“矛”和“盾”的关系，工业系统遭受的攻击

手段持续升级，愈加复杂，而防护技术、产品及解决方案也在不断提升和完善。

三是安全运营，工控安全运营需要一方面确保对工控系统零干扰，另一方面能切

实有效实现工控安全的自动化运营管控，实现安全管理集中化、智能化、可视化，

提高安全威胁应急响应能力，提升运维水平和效率，形成监测预警、动态防御、

响应处置、追踪溯源的网络安全运营体系。

中电安科提出的“可知、可管、可控”的工控安全整体防护理念可大大助力

企业的工控网络安全建设。举例来说，“可知”就是摸清家底，利用工控流量监

测审计产品旁路获取工控系统的资产信息、流量信息、链路信息、工控行为信息、

协议信息等等，并形成白名单特征库，之后是“可管”，通过多个维度实时与白

名单库对比分析，识别异常行为并发出告警，最后是“可控”，有了相对精准的

告警信息、日志信息，以及庞大的安全处置知识库，可以从技术和管理两个维度

对威胁进行管控，从而达成工控安全防护目标。

——杭州中电安科现代科技有限公司总经理 赵峰

198
199