今年5月美國Colonial Pipeline 遭受勒索病毒攻擊，被迫關閉5500英里的燃油管道，并支付了近500萬美元贖金的安全事件再一次為工控企業(yè)敲響了警鐘。工控安全形式愈發(fā)嚴峻，面對國內外錯綜復雜的敵對勢力、 組織、偶然事件、惡意入侵、自然災害以及內部員工的惡意或無意行為，工控安全的路在何方？本文通過分析相關寬域工業(yè)控制系統(tǒng)模型，借助傳統(tǒng)IT細分的實踐，推演出工控安全細分的必要性和可行性，探索安全細分的多種應用場景下的寬域工業(yè)安全實現。 寬域工控防火墻應《信息安全等級保護管理辦法》和《信息安全技術網絡安 全等級保護技術標準》而出。水電工業(yè)隔離裝置工控網安哪家好

二、寬域工業(yè)大數據的采集——過程控制層現場設備層只會呈現設備的狀態(tài)，如果沒有采集和傳輸，只會停留在設備層，獲取數據時，需要大量的人工采集、登記、分析、校正和篩選，損耗時間、物料和人力資源，還會出現數據錯誤的可能性。通過數據的實時采集，才讓設備端的狀態(tài)真實呈現，這個階段介于設備與采集之間的過程控制，這個階段不需要添加網絡安全防護。煤炭的工控主站系統(tǒng)一般處于相對封閉的 網絡，隨著“兩化”（信息化與工業(yè)化）的深度融合，工控系統(tǒng)正越來越多的使用通用協(xié)議、通用操作系統(tǒng)、通用硬件和軟件。由于以太網、無線設備無處不在，整個煤炭控制系統(tǒng)都可以和遠程終端進行互聯，病毒、木馬、蠕蟲等信息網絡完全問題直接延伸到工控系統(tǒng)，因此面臨極大的信息安全隱患。水電CDKY-FID4000工控網安輸出類型多樣寬域CDKY-2000S工控安全審計系統(tǒng)，通過公安部安全與警用電子產品質量檢測中心檢測。

網絡和設備細分應該是所有關鍵寬域工業(yè)控制系統(tǒng)(ICS)進行深度安全防御的一種方法。它提供了一個相比于簡單的周界防御更好的安全加固方式。因為在邊界防御被攻破后就沒有更有效的阻止方式。細分和再細分（細分又稱為分段，再細分又稱為微分段）防止了IT環(huán)境中的無限制的訪問，在ICS環(huán)境中尤其如此。 后，工廠級別的防火墻通常是IT管控的資產。防火墻通常設置為允許端口80，也就意味著可以訪問任何網站。如果ICS環(huán)境中的用戶進入某個站點無意中下載了惡意軟件，也不會進行標記記錄。如果有人將他們的筆記本電腦接入ICS網絡或進行無線連接，尤其還是有訪問外網權限的，這將導致ICS網絡處于不可接受的高風險中。

寬域工業(yè)安全審計：工控安全審計系統(tǒng)正是專門為寬域工業(yè)控制網絡量身打造的工控網絡安全產品。它能實時監(jiān)測工控網絡的狀態(tài)，檢測工控網絡中入侵行為，也能根據用戶定義的審計策略，追蹤工控網絡安全事件，它能對工控網絡的數據進行留存。 寬域工業(yè)安全衛(wèi)士：寬域工業(yè)安全衛(wèi)士是立足于工控行業(yè)，為廣泛應用于該行業(yè)各個環(huán)節(jié)（如工控田、管道、煉化、銷售等）的上位機（工程師工作站、操作員工作站）、服務器、銷售終端等Windows系統(tǒng)提供專門安全防護的安全產品。寬域CDKY-OSH8000提供了一個安全保護層，從內核層截取文件訪問控制方式，加強操作系統(tǒng)安全性。

傳統(tǒng)的商用防火墻是目前網絡邊界上 常用的一種防護設備，它所提供的主要功能包括訪問控制、地址轉換、應用代理、帶寬和流量控制、事件審核和報警等。商用防火墻誕生于傳統(tǒng)信息網絡環(huán)境下，雖然經過了多年的發(fā)展和完善，但其應用環(huán)境還是局限于企業(yè)信息網絡，它對于寬域工業(yè)網絡環(huán)境還有諸多的不適應。也正是基于這一現實，寬域工業(yè)防火墻被開發(fā)應用。該企業(yè)總體分為辦公樓（管理大區(qū)）與智能制造工廠（生產大區(qū)）。智能制造工廠內包含若干生產車間，車間內控制器、工程師站和攝像頭通過接入交換機（主、備）、光纖盒與工廠內匯聚交換機相連；智能制造工廠內工坊、服務器區(qū)、無線接入區(qū)、臨時接入區(qū)和立體倉庫均接入匯聚交換機。智能制造工廠通過匯聚交換機與辦公樓內 交換機相連寬域CDKY-FID4000工業(yè)隔離裝置，操作系統(tǒng)的 TCP/IP 協(xié)議棧關掉。水電工業(yè)主機衛(wèi)士（主機加固）工控網安

寬域CDKY-FW3000工控防火墻，通過公安部安全與警用電子產品質量檢測中心檢測。水電工業(yè)隔離裝置工控網安哪家好

本文提到的ICS網絡細分模型只有3個流程，而實際寬域工業(yè)操作可以有數百個或更多的設備控制不同的流程。使用這種方法，整個ICS網絡位于IT防火墻之后，在ICS網絡中增加多層 的ICS寬域工業(yè)防火墻。操作員可以監(jiān)視和控制每個離散過程、每個安全系統(tǒng)和每個RTU的流量?，F在，ICS網絡中的所有內容和關鍵流程在邏輯上都被鎖定了。只有經過明確授權的才被允許，與外部世界連接的流量也被被限制。只有在必要時，可以使用ICS寬域工業(yè)防火墻來限制供應商和第三方的遠程訪問?？傊?，與傳統(tǒng)的IT細分方法相比，這種ICS細分方法可以在現有的扁平網絡上設計，提供了更大的操作控制和安全性，并且在財力、人力和潛在停機方面都有很好的成本優(yōu)勢。水電工業(yè)隔離裝置工控網安哪家好

上海寬域工業(yè)網絡設備有限公司是以提供工業(yè)交換機，衛(wèi)星同步時鐘，工控機，5G CPE為主的有限責任公司（自然），公司始建于2010-07-19，在全國各個地區(qū)建立了良好的商貿渠道和技術協(xié)作關系。公司主要提供在工業(yè)領域內從事網絡技術開發(fā)、網絡工程及服務，計算機軟硬件銷售(除計算機信息系統(tǒng)安全產品)、服務；網絡交換設備、通信設備、網絡安全產品、時間同步類產品的生產、銷售，金屬材料、日用百貨、五金交電、電線電纜、汽車配件批兼零、代銷. 等領域內的業(yè)務，產品滿意，服務可高，能夠滿足多方位人群或公司的需要。產品已銷往多個國家和地區(qū)，被國內外眾多企業(yè)和客戶所認可。