工控防火墙洞察报告 工控防火墙洞察报告 * 目 录 前言 .................................................................... ................. 1 1. 工控防火墙概念 ................................................................. 3 1) 深度解析工控协议 .................................................... 3 2) 白名单机制 ...................

AR 智能远程运 维 5G 智慧料场 智慧点巡检 辊道电机检测 皮带通廊安防 一键炼钢 冷轧厂无人天车 轧钢数字孪生  全球第 1 个 5G 钢铁专网  全国第 1 个工控域 5G+ 探索  全国第 1 个多地协同的云化 PLC 验证成功  全国第 1 个基于 5G 的铁水运输无人化项目上线  业界第 1 次全面梳理钢铁行业全流程 AI 场景 入选工信部十个典型应用场景之一 合作伙伴 500+ 行业 创新 XX 通讯开放底层能力，助力企业数字化转型 依托工控算力底座 + 数字星云，打造全连接工厂 IOT 设备物联 AI 分析 3D 渲染 数字孪生模型 GIS 能力接口开放 云 XR 引擎 5G 工控 算力底座 工 控 边 缘 云 服务器 / 存储 信创服务器 工控云底座 开发提效工具 - Studio 集成使能服务 - InOne 技术 / 5G-LAN URLLC+TSN SLA 闭环保障 产线级 5G 工控算力终端 SmartEdge/Ze Box 系列 车间级 5G 工控算力终端 超融合 V1100/ NodeEngine 厂区级工控算力终端 5G 云网一体柜 工 控 算 力 节 点 一体化运维 5G 定位 网络安全数据安全 用 5G 工控专网，构筑钢铁可靠连接 5G 专网 1.0 5G 专网 2.0 

暴露面广泛，严重威胁工业系统稳定与数字化转型进程。 (2) 工业互联网安全产业生态呈现“多领域交织、国内外竞合”态势，涵盖工控、工业数字化、工业 互联网、工控安全四大核心领域。其中工控安全创新厂商技术专精但生态协同不足；IT 大厂技术 实力强却面临工业场景适配难题；传统安全大厂服务体系完备，但 OT 技术存在断层；工控厂商 OT 安全根基深厚，但能力边界明显。需全领域厂商在各自生态位精准发力，通过能力筑基、生 态 工业互联网安全能力构建规划 (1) 工业互联网安全建设需遵循“业务优先、架构分层防护、动态演进、协同共治、系统统筹、自主 可靠、风险分级防护、行业适配”八大基本原则，这些原则与等保 2.0 对工控系统的扩展要求连 贯一致。 (2) 工业互联网安全能力构建需要一个多层级的体系化框架，包括八大原则层、合规能力层、行业差 异化匹配能力层、企业自身管理能力层、安全技术层和安全运维管理层。 (3) 据价值。 3 (4) 需要强化双安全运营协同架构，即工业控制系统（ICS）安全运营与工业互联网平台安全运营中 心（II-SOC）协同建设理念。前者聚焦生产现场控制层，通过实时监测与应急处置保障工控系统 稳定；后者面向“云-边-端”全域，实现跨企业安全监测与协同响应。二者层级互补、技术联动， 共同提升工业互联网安全防护效能。 (5) IT 技术为 OT 设备防护、控制优化提供支撑。IT 与

7 次省部 级科技进步奖。同时，天融信防火墙已连续 23 年位居国内市场第一，VPN、安全服务、安全咨 询、WAF、网闸、安全管理、终端安全等产品和服务连续多年位居市场前三，EDR、态势感知、 工控安全系列产品和服务均处于领导者地位，IDPS、安全资源池、DLP 等产品也位居市场前列。 未来，天融信将始终以捍卫国家网络空间安全为己任，致力于成为民族安全产业的领导者、领 先安全技术的创造者和数字时代安全的赋能者。 年，是专注工业网络空间安全 的创新型高科技企业和国家级专精特新“小巨人”企业。 珞安科技拥有业内顶尖工控安全专家团队、工业网络空间安全研究实验室和北京、武汉、 西安、天津大研发中心，坚持自主研发和技术创新深耕工控领域，以零信任理念和体系化思想 为指导，打造“实战化、易部署、易维护”工控网络安全产品体系，全面覆盖工控安全、业务 安全和工业互联网安全，为工业企业构建了全方位的工业网络空间安全防护体系。 工业防火墙是专用于工业控制系统内不同安全域之间进行网络边界隔离的安全防护类产品。 产品通过对各类工业协议的深度解析，综合运用工控威胁特征识别技术、机器自学习与可信白 名单技术，识别并抵御各类来自工控系统内部和外部的网络攻击和恶意破坏行为，为工业控制 系统的稳定运行提供安全保障。 功能特点 ◎全面的工控协议深度解析 可识别近百种工业协议，可对 OPC、Modbus、Siemens S7、EtherNet IP、IEC104、DNP3、

智慧园区网络安全——工控系统安全架构 工控安全专用硬件平台 工控安全高速转发平台 工控协议 高速解析引擎 协议合规性检查 基础协议解析 工业网络 全流量信息 智能学习引擎 资产 流量 协议 白名 学习 学习 单学 习 组态信息及白名单 工控网络检测策略 测试模式 / 保护模 式 工控协议解析 黑 / 白名单策 略 工业协议精细策略 工控防火墙 对工控 协议深度包解析，不仅 协议深度包解析，不仅 对二层三层网络协议进 行解析，更进一步解析 到工控网络包的应用层 ，对 OPC 、 Modbus 、 DNP3 、 IEC104 、 S 7 、 Profinet 等 进 行 深 度 分 析，防止应用层协 议被 篡改或破坏。 3.2.3 智慧园区计算——混合云方案 联通沃云 沃云 4.0 （自主研发） 沃云 A （ Powered by 阿里云） 沃云

7 次省部 级科技进步奖。同时，天融信防火墙已连续 23 年位居国内市场第一，VPN、安全服务、安全咨 询、WAF、网闸、安全管理、终端安全等产品和服务连续多年位居市场前三，EDR、态势感知、 工控安全系列产品和服务均处于领导者地位，IDPS、安全资源池、DLP等产品也位居市场前列。 未来，天融信将始终以捍卫国家网络空间安全为己任，致力于成为民族安全产业的领导者、领 先安全技术的创造者和数字时代安全的赋能者 北京威努特技术有限公司 北京威努特技术有限公司（简称：威努特）是国内工控安全行业领军企业，凭借卓越的技 术创新能力成为全球六家荣获国际自动化协会 ISASecure 认证企业之一和首批国家级专精特新 “小巨人”企业。 威努特秉承“专注工控，捍卫安全”的使命，依托率先独创的工业网络“白环境”核心技 术理念，以自主研发的全系列工控网络安全产品为基础，为电力、轨道交通、石油石化、市政、 烟草、智 服务，迄今已为国内及“一带一路”沿线国家的 6000 多家行业客户实现了业务安全合规运行。 有关国家权威机构市场分析表明，威努特多款产品如工业防火墙、工控主机卫士、工控漏扫、 工控漏挖等，均位列中国工控安全市场发展能力及市场地位第一。 作为中国工控安全国家队，威努特积极推动产业集群建设，构建生态圈发展，参与工控安 全领域国家、行业标准制定和重大活动网络安全技术保障工作，始终以保护我国关键信息基础 设施网络空间安全为己任，成为中国网络安全建设的中坚力量！

在线云端升级 解决方案 - 本地组网 平台管理端 本地服务器 后台服务器端 WEB 管理端 办公室 办公区 会议室 公共区域 温度控制 电工控制 传感器 温度控制 电工控制 传感器 温气控制 电工控制 气感 电工控制 传感 气感 基于园区网络，本地快速部署，设备即插即用，无需额外复杂联网 解决方案 - 云端组网应用 管理终端 云端服务器群 云端服务器端 WEB 管理端 管理端 APP 手机端 基于云端应用，随时随地查看设备状态及能耗，后台数据报表推送 终合型网关 本地联动网关 办公室 会议室 温度控制 电工控制 传感器 温气控制 电工控制 气感 未来拓展 - 后续产品规划 共享式产品 增值软件服务模块 我们致力为智慧园区提供 能源及空气质量检测 专业软硬件平台解决方案

系统 ... 采集网关 安全 生产 信息 管理 系统 能源集团数据湖 边缘计算平台 电子 票证 系统 每个生产单位的硬件数量： l 服务器： 3 台 ，部署边缘计算平台 l 工控机： 2 台 ，部署采集网关 l 交换机： 1 台 ，用于网络连接 l 防火墙：按需配置 02 软件部署 l 边缘计算平台： 1 套（高可用架构） l 采集网关： 2 数据”智能分析场景， 实现数据赋能业务，构建数据应用场景。 42 平台类 工控信息安全管理系统 工业安全态势感知平台 工具类 工业控制系统安全检查工具箱软件 脆弱性扫描与管理系统（工控版） 过程控制层 检测类 工控安全监测与 审计系统 主机类 工业主机安全卫士 景云终端安全管理系 统 ( 工控版 ) 网关类 工业防火墙 （机架式 / 导轨式） 物联网安全接入防护系统 物联网安全接入防护系统 （ IOT-vbox ） 安全隔离与信息交换系统 （ 工业网闸 ） 工业蜜罐 工控 / 工业互联网安全实验 室 生产管理层 工业互联网安全竞赛平台 ** 启明星辰针对工业环境进行优化研发的产品 工业安全检测与应急响应服务 安全（网信）解决方案 ** 启明星辰作为最先开展工业互联网安全业务的信息安 全企业，目前已形成了 覆盖云、网、边、端的完整的工业 互联网安全产品体系。

硬件示意 图 投影地幕宽 3.0 米 投影地幕长 5.0 米 单台投影机长 4.0 米 融合带 1.0 米 投影机 投影机距离地面高度 3.2 米 投影机镜头采用 0.8 短焦 工控机 （一）通过客户的体感操作与画面产生互 动，可以是游戏，可以是项目内部漫游。 体感互动 - 肢体操作 体感互动 - 动感单车 （二）客户通过体感自行车与大屏内 的内容产生互动，在项目内部进行漫 投影机 单台投影机的弧 长 3.783 米 工控服务器 金属幕布 弧度是 90° 圆心离墙面距离 6.132 米 5.1 环绕音响 投射距离 7.0 米 弦长 8.557 米 弧幕与沙盘硬件摆放 - 侧视图 投影机高度 3.6 米 投影沙盘 高度 0.9 米 露出的长度 2.73 米 弧幕高度 2.6 米 工控服务器 金属幕布离地面 的高度 1.0 米 项目 光影沙盘 5.6 米 长 光影沙盘 3.0 米 宽 投影机 离地面高 4.16 米 采用 1.3~1.7 短 焦 单台投影机投影 宽 3.2 米，高 1.8 米 光影沙盘 - 硬件摆放 工控服务器 音箱 （与弧幕影音是 同一套设备） 光影沙盘 投影机 沙盘影片：配合光影沙盘，进行企业宣传、区域规划、未来展示以及项目宣传。 上篇：主讲企业的实力，通过企业的案例进行讲述，突出在宜宾的区域规划和开发，时间

5G+MEC+切片构建虚拟企业专网（业务粒 度） a）根据企业对不同业务流安全隔离的要求，在 5G+MEC的基础上结合切片技术为企业构建业务粒度 级别的虚拟企业专网。 b）企业不同类型、不同隔离要求的业务流，如视 频类、工控类、办公类等业务可以划分为不同切片，享 受虚拟专网不同等级、带宽的承载服务，在不同的逻 辑管道进行隔离承载。 5G+MEC+切片构建虚拟企业专网组网如图 2 所 示。 综合考虑项目建设进度要求、技术成熟度等因 切片管理（工控类） 其他类 工控类 业务类 业务数据流 5G终端 5G终端 5G终端 5G承载 运营商网络 CU+DU XX公司5G虚拟企业专网（切片） 中国联通MEC平台 普通数据 业务类 工控类 其他类 5G NR 5G NR 5GC 互联网 端到端切片管理系统 MEP平台 UPF3 UPF2 UPF1 UPF3 3 2 工控类 服务器 其他类 一汽业务的优先级和带宽。 A企业园区网络端到端切片组网图如图6所示。 5G 5G 企业系统：SCADA、HMI、MES 设备 设备 设备 设备 现场总线、网关 传感器、摄像头 软PLC 工控设备：PLC、DCS、CNC 数据采集及协议解析 网络转发 DPDK/SR-IOV 计算资源 存储资源 加速器资源 FPGA/GPU等 VM ME-ICT Iaas(电信级高可靠ICT融合)