本文提到的ICS網(wǎng)絡(luò)細(xì)分模型只有3個(gè)流程，而實(shí)際寬域工業(yè)操作可以有數(shù)百個(gè)或更多的設(shè)備控制不同的流程。使用這種方法，整個(gè)ICS網(wǎng)絡(luò)位于IT防火墻之后，在ICS網(wǎng)絡(luò)中增加多層 的ICS寬域工業(yè)防火墻。操作員可以監(jiān)視和控制每個(gè)離散過程、每個(gè)安全系統(tǒng)和每個(gè)RTU的流量?，F(xiàn)在，ICS網(wǎng)絡(luò)中的所有內(nèi)容和關(guān)鍵流程在邏輯上都被鎖定了。只有經(jīng)過明確授權(quán)的才被允許，與外部世界連接的流量也被被限制。只有在必要時(shí)，可以使用ICS寬域工業(yè)防火墻來限制供應(yīng)商和第三方的遠(yuǎn)程訪問?？傊?，與傳統(tǒng)的IT細(xì)分方法相比，這種ICS細(xì)分方法可以在現(xiàn)有的扁平網(wǎng)絡(luò)上設(shè)計(jì)，提供了更大的操作控制和安全性，并且在財(cái)力、人力和潛在停機(jī)方面都有很好...

此外， 優(yōu)先考慮“安全內(nèi)置于數(shù)據(jù)本身”的“以數(shù)據(jù)為中心”的方法。為了阻止對(duì)制造公司的攻擊，是時(shí)候采取從“扎高籬笆”的方法轉(zhuǎn)到數(shù)據(jù)安全防護(hù)的步驟，即 從阻止攻擊者訪問數(shù)據(jù)轉(zhuǎn)移到保護(hù)數(shù)據(jù)本身。這就意味著無論數(shù)據(jù)存在于何處，無論是靜止、傳輸還是使用，都應(yīng)對(duì)其進(jìn)行保護(hù)。這包括以數(shù)字形式存儲(chǔ)在物理設(shè)備上的靜止數(shù)據(jù)，網(wǎng)絡(luò)中的傳輸數(shù)據(jù)，主動(dòng)訪問、處理或加載到動(dòng)態(tài)內(nèi)存中的使用中數(shù)據(jù)。通過采用100％加密的原則，安全**不再需要花費(fèi)數(shù)小時(shí)來調(diào)整數(shù)據(jù)分類規(guī)則，從而可以對(duì)“重要”數(shù)據(jù)進(jìn)行更嚴(yán)格的保護(hù)。無論數(shù)據(jù)存在何處都對(duì)其進(jìn)行安全保護(hù)，這可以確保即使數(shù)據(jù)被盜，仍受到保護(hù)，這意味著數(shù)據(jù)對(duì)于竊取者來說是無用的——即使是...

寬域（kemyond）成立于2010年，是一家擁有網(wǎng)絡(luò)交換通信、精確授時(shí)、安全、5G、寬域工業(yè)通用計(jì)算平臺(tái)等多方位的寬域工業(yè)信息化基礎(chǔ)設(shè)施解決能力的寬域。寬域?qū)Ｗ⒂趯捰蚬I(yè)互聯(lián)網(wǎng)領(lǐng)域的應(yīng)用研究與開發(fā)，“寬廣互聯(lián)、域享未來”是寬域發(fā)展宗旨，為用戶提供安全可靠、有良好體驗(yàn)感的技術(shù)是寬域不懈的追求。寬域研發(fā)人員占比超過40%，與軟著申請(qǐng)總量近百件，具備的技術(shù)創(chuàng)新與快速迭代的能力。目前擁有全系列寬域工業(yè)級(jí)交換機(jī)、北斗/GPS衛(wèi)星寬域時(shí)間同步裝置、5G路由器/CPE、網(wǎng)絡(luò)安全監(jiān)測(cè)裝置、工控機(jī)通用計(jì)算平臺(tái)、網(wǎng)絡(luò)管理/安全運(yùn)維與監(jiān)測(cè)平臺(tái)、串口服務(wù)/光纖收發(fā)器等一系列產(chǎn)品?？梢蕴峁挠布讓拥杰浖脚_(tái)的解決方...

企業(yè)寬域工業(yè)控制系統(tǒng)遭受病毒攻擊后，工控主機(jī)出現(xiàn)非法遠(yuǎn)程登錄并存在非授權(quán)重啟的現(xiàn)象。威努特技術(shù)人員在2小時(shí)內(nèi)到達(dá)現(xiàn)場(chǎng)，協(xié)助客戶定位問題，將現(xiàn)網(wǎng)問題妥善處理后對(duì)該公司生產(chǎn)系統(tǒng)網(wǎng)絡(luò)安全現(xiàn)狀與問題進(jìn)行了體系化分析。通過實(shí)地調(diào)研發(fā)現(xiàn)，該企業(yè)寬域工業(yè)控制系統(tǒng)內(nèi)部區(qū)域劃分明確、網(wǎng)絡(luò)架構(gòu)清晰，但針對(duì)生產(chǎn)系統(tǒng)的工控網(wǎng)絡(luò)防護(hù)較為薄弱，無法確保其阻斷來自外部有組織的團(tuán)體和擁有較為豐富資源的威脅源發(fā)起的惡意攻擊，也不符合“等保2.0”中安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心對(duì)寬域工業(yè)控制系統(tǒng)的要求。寬域CDKY-FW3000工控防火墻，通過公安部安全與警用電子產(chǎn)品質(zhì)量檢測(cè)中心檢測(cè)。光伏資產(chǎn)安全管理平...

ICS網(wǎng)絡(luò)內(nèi)的細(xì)分可能是具有挑戰(zhàn)性和高成本的。首先需要對(duì)ICS網(wǎng)絡(luò)和設(shè)備有深入的了解——在ICS環(huán)境中通常有數(shù)百個(gè)系統(tǒng)或設(shè)備。在ICS網(wǎng)絡(luò)中實(shí)現(xiàn)細(xì)分可能需要花費(fèi)相當(dāng)多的時(shí)間和精力、甚至可能需要停機(jī)，從長(zhǎng)遠(yuǎn)來看可以 降低組織的成本。 此外，許多組織缺乏開展這些項(xiàng)目所需的專業(yè)知識(shí)和協(xié)調(diào)能力。IT專業(yè)人員傳統(tǒng)上利用IT設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)細(xì)分，但I(xiàn)CS網(wǎng)絡(luò)由運(yùn)營(yíng)人員管理，他們通常沒有相同級(jí)別的網(wǎng)絡(luò)安全經(jīng)驗(yàn)或培訓(xùn)。沒有密切的協(xié)調(diào)關(guān)注，在ICS網(wǎng)絡(luò)中細(xì)分是不可能的。ICS環(huán)境對(duì)設(shè)備的要求與IT環(huán)境不同。這些ICS環(huán)境需要承受嚴(yán)苛的工作環(huán)境，這就導(dǎo)致傳統(tǒng)IT設(shè)備是無法勝任的。 但是細(xì)分 是可以實(shí)現(xiàn)的，這就是生產(chǎn)企...

融合IT 和OT 也可能存在風(fēng)險(xiǎn)。 所有寬域工業(yè)物聯(lián)網(wǎng)設(shè)備都需要可靠且可用的互聯(lián)網(wǎng)連接。它們可以提供諸如遠(yuǎn)程管理和控制、基于云的分析以及通過Internet 連接實(shí)現(xiàn)自動(dòng)化等優(yōu)勢(shì)。然而，互聯(lián)網(wǎng)連接也會(huì)將關(guān)鍵任務(wù)OT、IT 和IIoT設(shè)備暴露給潛在的外部攻擊和入侵。信息物理系統(tǒng)是寬域工業(yè)4.0的基本要素，使用復(fù)雜的控制系統(tǒng)，內(nèi)置特殊軟件，并帶有IP 技術(shù)，可通過Internet對(duì)其進(jìn)行尋址。盡管使用防火墻或DPI等標(biāo)準(zhǔn)IT網(wǎng)絡(luò)安全設(shè)備保護(hù)這一關(guān)鍵的寬域工業(yè) 4.0 網(wǎng)絡(luò)基礎(chǔ)設(shè)施似乎是合乎邏輯的，但在寬域工業(yè)環(huán)境中，標(biāo)準(zhǔn)IT設(shè)備存在許多不利情況。寬域CDKY-FID4000工業(yè)隔離裝置，用雙端口 ...

這是一個(gè)扁平化的網(wǎng)絡(luò)。這些資產(chǎn)是堆疊在一起的，但實(shí)際上，它們都掛在一個(gè)個(gè)交換機(jī)上。當(dāng)用戶以這種方式規(guī)劃網(wǎng)絡(luò)時(shí)，每臺(tái)機(jī)器的IP地址都將屬于同一子網(wǎng)上。在生產(chǎn)運(yùn)營(yíng)中，這種簡(jiǎn)單的細(xì)分級(jí)別存在一些問題。首先，流程A、流程B和流程C是互連的；對(duì)一個(gè)地方的攻擊很容易傳播到另一個(gè)地方，威脅也隨之蔓延，產(chǎn)生更大的安全隱患。其次，IT安全專業(yè)人員或管理員不能為流程A與流程B定義不同的防火墻策略。由于只有一個(gè)防火墻，所以策略也只有一套。有一些辦法可以解決多套策略問題，但在實(shí)際中很少這樣使用。 寬域CDKY-2000S，利用DPI、DFI等技術(shù)對(duì)采集到的流量進(jìn)行識(shí)別、解析和檢測(cè)。采礦工控安全審計(jì)系統(tǒng)工控網(wǎng)安集成廠家...

工控安全與傳統(tǒng)安全的區(qū)別是不容有失，一旦出現(xiàn)信息安全事件將會(huì)影響到國(guó)計(jì)民生。工業(yè)基礎(chǔ)設(shè)施需要加強(qiáng)安全防護(hù)刻不容緩，但是 機(jī)械地加裝安全防護(hù)產(chǎn)品并不能真正達(dá)到安全目標(biāo)， 不是部署大量的安全產(chǎn)品就可以達(dá)成的，要想實(shí)現(xiàn)高可靠的安全目標(biāo)必須建立完整的安全體系框架，包括安全管理體系和安全服務(wù)體系。隨著工業(yè)互聯(lián)網(wǎng)的快速發(fā)展以及數(shù)字化轉(zhuǎn)型的持續(xù)加速，工業(yè)企業(yè)內(nèi)部敏感的生產(chǎn)環(huán)境和關(guān)鍵基礎(chǔ)架構(gòu)正面臨日益嚴(yán)峻的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，網(wǎng)絡(luò)攻擊者正在通過“攻擊準(zhǔn)備—數(shù)字化滲透—標(biāo)準(zhǔn)攻擊—攻擊開發(fā)和調(diào)優(yōu)—驗(yàn)證”等方式發(fā)動(dòng)組織嚴(yán)密的攻擊，工業(yè)用戶需要積極利用基于強(qiáng)大細(xì)分和專業(yè)分析的精心集成的解決方案，來保護(hù)不同場(chǎng)景下的OT網(wǎng)絡(luò)...

工控安全發(fā)展初期階段，安全產(chǎn)品形態(tài)主要沿用了傳統(tǒng)信息安全產(chǎn)品形態(tài)，產(chǎn)品具有普適性特征，同樣的工業(yè)防火墻產(chǎn)品，既可以部署在智能制造行業(yè)中，也可以使用在石油石化環(huán)境之中。但是在經(jīng)過了初級(jí)發(fā)展階段之后，工控系統(tǒng)對(duì)于安全的要求會(huì)逐漸的細(xì)化和提高?！凹偃缫粋€(gè)破壞者想要在晚上時(shí)間關(guān)閉凈水閥門，那么普通的工業(yè)防火墻是無法防御這類攻擊的，因?yàn)榉阑饓χ荒軌蜃R(shí)別關(guān)閉閥門這個(gè)數(shù)據(jù)是通過允許通過的端口進(jìn)來的，而不清楚允許這個(gè)關(guān)閉指令執(zhí)行的前提條件和時(shí)間要求。寬域CDKY-2000S工控安全審計(jì)系統(tǒng)，異常行為模式加以統(tǒng)計(jì)。水電資產(chǎn)安全管理平臺(tái)工控網(wǎng)安批發(fā)廠家數(shù)據(jù)安全包括生產(chǎn)管理數(shù)據(jù)安全、生產(chǎn)操作數(shù)據(jù)安全、工廠外部數(shù)據(jù)安...

工控網(wǎng)絡(luò)細(xì)分應(yīng)該以較小的分區(qū)實(shí)現(xiàn)。流程A有專門為自己使用的防火墻，流程B有自己的防火墻，流程C也有。然后，每個(gè)防火墻都有一個(gè)交換機(jī)，每個(gè)交換機(jī)連接到特定流程的資產(chǎn)。 后，流程A為流程A的PLC、安全系統(tǒng)和RTU設(shè)置了防火墻和交換機(jī)。通常，將防火墻設(shè)置為“nat”模式,即網(wǎng)絡(luò)地址轉(zhuǎn)換，意味著每個(gè)防火墻可以為每個(gè)流程組提供不同的IP地址范圍。通過這種設(shè)置，每個(gè)流程就可以創(chuàng)建單獨(dú)的防火墻策略。此外，在工廠層面也有一個(gè)防火墻和交換機(jī)。這樣這個(gè)系統(tǒng)就有兩個(gè)層或兩個(gè)防火墻—一個(gè)圍繞整個(gè)ICS網(wǎng)絡(luò)，另一個(gè)圍繞每個(gè)流程。 寬域KYSOC-5000工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，海量原始流量的溯源和分析。光伏工控安全...

在采用IT細(xì)分方法進(jìn)行安全加固的實(shí)際操作中，成本會(huì)自然增加。 步就是重新配置OT網(wǎng)絡(luò)中的每個(gè)設(shè)備。這可能需要調(diào)整數(shù)百個(gè)設(shè)備的IP地址。而且對(duì)于ICS這通常需要停機(jī)和大量的工作，包括繪制OT網(wǎng)絡(luò)圖，使用管道和儀表圖(P&ID)等，但這些需要及時(shí)驗(yàn)證、更新，而且是一個(gè)比較困難、復(fù)雜、消耗時(shí)間的工作。這一切都是為了ICS的細(xì)分安全。除了初始設(shè)置之外，必須隨著時(shí)間的推移保持ICS細(xì)分的IT方法的有效性。實(shí)際上，這些防火墻通常根本不起作用，規(guī)則都是關(guān)閉的，沒有人能保持它們是 新的。因此，建立和維護(hù)防火墻規(guī)則是對(duì)生產(chǎn)運(yùn)營(yíng)團(tuán)隊(duì)的另一個(gè)巨大挑戰(zhàn)。寬域KYSOC-5000工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，長(zhǎng)周期異常行為...

寬域工業(yè)控制網(wǎng)閘是一種專門針對(duì)工業(yè)生產(chǎn)控制網(wǎng)與管理網(wǎng)之間進(jìn)行網(wǎng)絡(luò)隔離與數(shù)據(jù)傳輸而設(shè)計(jì)的硬件產(chǎn)品。該產(chǎn)品主要應(yīng)用于煤炭、鋼鐵、電力、石油、機(jī)械制造等企業(yè)的工業(yè)網(wǎng)絡(luò)安全防護(hù)場(chǎng)景。在數(shù)字化推動(dòng)下，企業(yè)網(wǎng)絡(luò)與外界的邊界已基本消失，傳統(tǒng)的安全方式手段逐步失效，制造業(yè)面臨更多的攻擊和風(fēng)險(xiǎn)。例如，對(duì)本田等主要制造商的勒索軟件攻擊突顯了網(wǎng)絡(luò)安全已發(fā)生了許多變化，以及公司對(duì)新的不斷智能制造有三大發(fā)展趨勢(shì)： 個(gè)趨勢(shì)是大數(shù)據(jù)成為智能制造發(fā)展 ；第二個(gè)趨勢(shì)是云邊協(xié)同成為智能制造發(fā)展主流；第三個(gè)趨勢(shì)是5G技術(shù) 智能制造發(fā)展方向。因此， 制造業(yè)的安全挑戰(zhàn)主要來自三方面：數(shù)據(jù)安全、云安全和場(chǎng)景安全。發(fā)展的攻擊方法的脆弱程度...

設(shè)備安全包括工廠內(nèi)單點(diǎn)智能器件、成套智能終端等智能設(shè)備的安全，以及智能產(chǎn)品的安全，具體涉及了操作系統(tǒng)和應(yīng)用軟硬件安全兩方面。 寬域工業(yè)互聯(lián)網(wǎng)的發(fā)展使得現(xiàn)場(chǎng)設(shè)備由機(jī)械化向高度智能化轉(zhuǎn)變，并產(chǎn)生了嵌入式操作系統(tǒng)微處理器應(yīng)用軟件的新模式，這就使得未來海量智能設(shè)備可能會(huì)直接暴露在網(wǎng)絡(luò)中，面臨攻擊范圍擴(kuò)大、擴(kuò)散速度增加和漏洞影響擴(kuò)大等威脅。控制安全包括控制協(xié)議安全、控制軟件安全及控制功能安全。 寬域工業(yè)互聯(lián)網(wǎng)使得生產(chǎn)控制由分層、封閉、局部逐步向扁平、開放、全局方向發(fā)展。其中在控制環(huán)境方面表現(xiàn)為 IT 與 OT 融合，控制網(wǎng)絡(luò)由封閉走向開放；在控制布局方面表現(xiàn)為控制范圍從局部擴(kuò)展至全局，并伴隨著控制監(jiān)測(cè)上...

本文提到的ICS網(wǎng)絡(luò)細(xì)分模型只有3個(gè)流程，而實(shí)際寬域工業(yè)操作可以有數(shù)百個(gè)或更多的設(shè)備控制不同的流程。使用這種方法，整個(gè)ICS網(wǎng)絡(luò)位于IT防火墻之后，在ICS網(wǎng)絡(luò)中增加多層 的ICS寬域工業(yè)防火墻。操作員可以監(jiān)視和控制每個(gè)離散過程、每個(gè)安全系統(tǒng)和每個(gè)RTU的流量?，F(xiàn)在，ICS網(wǎng)絡(luò)中的所有內(nèi)容和關(guān)鍵流程在邏輯上都被鎖定了。只有經(jīng)過明確授權(quán)的才被允許，與外部世界連接的流量也被被限制。只有在必要時(shí)，可以使用ICS寬域工業(yè)防火墻來限制供應(yīng)商和第三方的遠(yuǎn)程訪問?？傊c傳統(tǒng)的IT細(xì)分方法相比，這種ICS細(xì)分方法可以在現(xiàn)有的扁平網(wǎng)絡(luò)上設(shè)計(jì)，提供了更大的操作控制和安全性，并且在財(cái)力、人力和潛在停機(jī)方面都有很好...

產(chǎn)品基于工業(yè)協(xié)議的深度解析，對(duì)工業(yè)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行采集、分析和識(shí)別，持續(xù)不間斷的檢測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為等，對(duì)發(fā)現(xiàn)的違規(guī)行為、誤操作、工控協(xié)議指令、各種病毒攻擊等行為實(shí)時(shí)告警，并 記錄網(wǎng)絡(luò)通信行為，為調(diào)查取證提供依據(jù)。寬域工業(yè)安全審計(jì)平臺(tái)是專門針對(duì)工業(yè)網(wǎng)絡(luò)流量進(jìn)行分析和安全檢測(cè)的安全審計(jì)類產(chǎn)品，采用旁路部署方式，不需要更改現(xiàn)有網(wǎng)絡(luò)架構(gòu)。寬域工業(yè)防火墻側(cè)重于對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)，產(chǎn)品基于對(duì)工控協(xié)議數(shù)據(jù)包的深度解析，融入了工業(yè)指令控制、策略自學(xué)習(xí)、工業(yè)協(xié)議審計(jì)、訪問控制等多項(xiàng)功能，能夠 識(shí)別并阻斷針對(duì)工控系統(tǒng)的非法操作，隨時(shí)隨地保護(hù)客戶工業(yè)控制系統(tǒng)免遭任何威脅。 寬域KYSOC-5000工控網(wǎng)...

后，這種細(xì)分的IT方法并不總是適合寬域工業(yè)操作。例如，如果用戶的HMI位于防火墻之外，會(huì)發(fā)生什么情況?那在HMI和每個(gè)流程之間都要保留雙向的業(yè)務(wù)或者為現(xiàn)場(chǎng)分別配置一個(gè)HMI。ICS細(xì)分的IT方法是有益的，可以與借助防火墻一起協(xié)同工作。但在實(shí)踐中，特別是對(duì)針對(duì)控制、可用性和可靠性的操作，棘手的問題莫過于隨著時(shí)間的推移進(jìn)行重新梳理、設(shè)計(jì)所有資產(chǎn)并進(jìn)行維護(hù)。通過對(duì)ICS的市場(chǎng)的深入分析，自主研發(fā)了安全細(xì)分 的寬域工業(yè)防火墻產(chǎn)品。該產(chǎn)品通過多方位立體化的需求分析并結(jié)合細(xì)分方法論進(jìn)行設(shè)計(jì)研發(fā)，符合中國(guó)工控安全市場(chǎng)的實(shí)際需求，可廣泛應(yīng)用于電力、石油、石化、 、水利、軌道交通、智能制造等領(lǐng)域，為 SCAD...

后，這種細(xì)分的IT方法并不總是適合寬域工業(yè)操作。例如，如果用戶的HMI位于防火墻之外，會(huì)發(fā)生什么情況?那在HMI和每個(gè)流程之間都要保留雙向的業(yè)務(wù)或者為現(xiàn)場(chǎng)分別配置一個(gè)HMI。ICS細(xì)分的IT方法是有益的，可以與借助防火墻一起協(xié)同工作。但在實(shí)踐中，特別是對(duì)針對(duì)控制、可用性和可靠性的操作，棘手的問題莫過于隨著時(shí)間的推移進(jìn)行重新梳理、設(shè)計(jì)所有資產(chǎn)并進(jìn)行維護(hù)。通過對(duì)ICS的市場(chǎng)的深入分析，自主研發(fā)了安全細(xì)分 的寬域工業(yè)防火墻產(chǎn)品。該產(chǎn)品通過多方位立體化的需求分析并結(jié)合細(xì)分方法論進(jìn)行設(shè)計(jì)研發(fā)，符合中國(guó)工控安全市場(chǎng)的實(shí)際需求，可廣泛應(yīng)用于電力、石油、石化、 、水利、軌道交通、智能制造等領(lǐng)域，為 SCAD...

近些年來，寬域工業(yè)領(lǐng)域的網(wǎng)絡(luò)攻擊事件頻發(fā)，給很多企業(yè)造成了巨大的損失。國(guó)家對(duì)寬域工業(yè)互聯(lián)網(wǎng)的安全問題也越來越重視。 2016年10 月，寬域工業(yè)和信息化部印發(fā)《寬域工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，明確提出利用寬域工控邊界防護(hù)設(shè)備對(duì)OT網(wǎng)與IT網(wǎng)或互聯(lián)網(wǎng)之間的邊界進(jìn)行安全防護(hù)，禁止OT網(wǎng)直接與IT網(wǎng)或互聯(lián)網(wǎng)連接。 利用寬域工業(yè)防火墻隔離OT網(wǎng)內(nèi)各安全區(qū)域， 提升寬域工控網(wǎng)絡(luò)的安全性。本文將介紹寬域工業(yè)防火墻的基本概念、功能特點(diǎn)以及應(yīng)用場(chǎng)景寬域CDKY-OSH8000，高可用性，在實(shí)現(xiàn)安全加固的基礎(chǔ)上，不影響用戶原有的運(yùn)行。全國(guó)資產(chǎn)安全管理平臺(tái)工控網(wǎng)安性價(jià)比高網(wǎng)絡(luò)安全包括承載寬域工業(yè)智能生產(chǎn)和應(yīng)用...

制造企業(yè)目前經(jīng)歷被稱為工業(yè)4.0的數(shù)字化轉(zhuǎn)型。無論是德國(guó)工業(yè)4.0，還是中國(guó)制造2025計(jì)劃，以及世界經(jīng)濟(jì)論壇所稱的第四次工業(yè) ，都體現(xiàn)出制造業(yè)和運(yùn)營(yíng)技術(shù)（OT）在數(shù)字經(jīng)濟(jì)中的地位。第四次工業(yè) 的到來，使IT與OT日益融合、智能互聯(lián)設(shè)備使用日益增多。制造企業(yè)還在生產(chǎn)環(huán)境部署越來越多物聯(lián)網(wǎng)（IoT）設(shè)備以提高效率。高度互聯(lián)的系統(tǒng)和供應(yīng)鏈產(chǎn)生了巨大的收益。這些新技術(shù)和設(shè)備也帶來了潛在的嚴(yán)重漏洞，使企業(yè)無法 了解其風(fēng)險(xiǎn)暴露面和攻擊面的問題，尤其是在涉及其他互相連接系統(tǒng)、網(wǎng)絡(luò)和供應(yīng)鏈之時(shí)。寬域KYSOC-5000工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，采用閉環(huán)設(shè)計(jì)的安全事件的溯源和分析。光伏CDKY-AS6000工...

什么是ICS的零信任？ICS環(huán)境中的零信任原則就是通過確保只有經(jīng)過安全身份驗(yàn)證的用戶和設(shè)備才能訪問網(wǎng)絡(luò)中的每個(gè)流程或設(shè)備，從而維護(hù)嚴(yán)格的訪問和通信控制。默認(rèn)情況下，甚至內(nèi)部通信也不信任。傳統(tǒng)上零信任模型的 大問題是復(fù)雜性，但安全性始終是一個(gè)過程，而不是一個(gè)設(shè)置后就不用管的事情。使用上述介紹的專門構(gòu)建的ICS細(xì)分方法，操作、運(yùn)營(yíng)商和網(wǎng)絡(luò)安全團(tuán)隊(duì)可以化繁為簡(jiǎn)。使用ICS寬域工業(yè)防火墻，可以映射ICS網(wǎng)絡(luò)設(shè)備和通信，控制用戶訪問，實(shí)時(shí)監(jiān)控所有通信，可以實(shí)現(xiàn)零信任控制，從而限制所有未經(jīng)授權(quán)的訪問。這種方法為ICS運(yùn)營(yíng)商提供了一條途徑，無需重新設(shè)計(jì)整個(gè)ICS網(wǎng)絡(luò)，就能獲得增強(qiáng)的網(wǎng)絡(luò)安全保護(hù)。寬域CDKY...

工控網(wǎng)主要由生產(chǎn)車間、罐區(qū)、公用工程、熱電、電力綜保和環(huán)保中心構(gòu)成，其中2個(gè)車間采用霍尼韋爾DCS系統(tǒng)和PKS組態(tài)軟件，其余均為浙江中控DCS系統(tǒng)和VisualField組態(tài)軟件；數(shù)據(jù)采集區(qū)域使用四臺(tái)高性能服務(wù)器，從浙江中控系統(tǒng)的工程師站和霍尼韋爾系統(tǒng)的PKS服務(wù)器進(jìn)行數(shù)據(jù)采集； 后由PIMS系統(tǒng)對(duì)全廠數(shù)據(jù)進(jìn)行統(tǒng)一的管理、調(diào)度與監(jiān)控；為提高企業(yè)的生產(chǎn)效率、降低調(diào)度周期和人員成本，將PIMS數(shù)據(jù)傳輸至辦公網(wǎng)進(jìn)行展示。2017年至今，“勒索病毒”、“挖礦病毒”等詞語頻繁出現(xiàn)在各大新聞媒體上，對(duì)應(yīng)著“起亞汽車美國(guó)分公司勒索病毒事件”、“本田Ekans勒索軟件攻擊事件”、“臺(tái)積電勒索病毒事件”等寬域工...

一、寬域工業(yè)大數(shù)據(jù)的采集源——現(xiàn)場(chǎng)設(shè)備層寬域工業(yè)大數(shù)據(jù)是從工廠現(xiàn)場(chǎng)的設(shè)備層采集出來，不同的寬域工業(yè)企業(yè)有不同的現(xiàn)場(chǎng)設(shè)備，普遍是執(zhí)行器和傳感器，比如：閥門、儀表、溫變、壓變、RTU、智能儀表、攝像頭、PDA……等等。這些設(shè)備具體分布在工廠的變配電系統(tǒng)、給排水系統(tǒng)、空壓系統(tǒng)、真空系統(tǒng)、通風(fēng)系統(tǒng)、制冷系統(tǒng)、空調(diào)系統(tǒng)、廢水系統(tǒng)、軟化水系統(tǒng)、智能照明系統(tǒng)、廢氣系統(tǒng)……等，也就是常見的廠務(wù)監(jiān)控管理中數(shù)據(jù)來源的設(shè)備端。寬域CDKY-2000S工控安全審計(jì)系統(tǒng)，對(duì)網(wǎng)絡(luò)、系統(tǒng)的流量和日志數(shù)據(jù)進(jìn)行監(jiān)視和分析。冶金CDKY-FID4000工控網(wǎng)安自主研發(fā)參照等級(jí)保護(hù)、防護(hù)指南等要求，結(jié)合兄弟單位的成功案例，制定了基...

存在工控流量監(jiān)視盲區(qū)智能制造工廠內(nèi)部無寬域工業(yè)流量監(jiān)測(cè)審計(jì)手段，無法對(duì)異常流量攻擊、工控指令攻擊和控制參數(shù)非授權(quán)篡改進(jìn)行實(shí)時(shí)監(jiān)測(cè)和告警。存在對(duì)網(wǎng)絡(luò)入侵“看不見”、“摸不清”的情況。寬域工業(yè)互聯(lián)網(wǎng)應(yīng)用主要包括寬域工業(yè)互聯(lián)網(wǎng)平臺(tái)與軟件兩大類，其范圍覆蓋智能化生產(chǎn)、網(wǎng)絡(luò)化協(xié)同、個(gè)性化定制、服務(wù)化延伸等方面。目前寬域工業(yè)互聯(lián)網(wǎng)平臺(tái)面臨的安全風(fēng)險(xiǎn)主要包括數(shù)據(jù)泄露、篡改、丟失、權(quán)限控制異常、系統(tǒng)漏洞利用、賬戶劫持和設(shè)備接入安全等。對(duì)軟件而言， 大的風(fēng)險(xiǎn)來自安全漏洞，包括開發(fā)過程中編碼不符合安全規(guī)范而導(dǎo)致的軟件本身的漏洞，以及由于使用不安全的第三方庫(kù)而出現(xiàn)的漏洞等。寬域CDKY-OSH8000工業(yè)主機(jī)衛(wèi)士（...

二、寬域工業(yè)大數(shù)據(jù)的采集——過程控制層現(xiàn)場(chǎng)設(shè)備層只會(huì)呈現(xiàn)設(shè)備的狀態(tài)，如果沒有采集和傳輸，只會(huì)停留在設(shè)備層，獲取數(shù)據(jù)時(shí)，需要大量的人工采集、登記、分析、校正和篩選，損耗時(shí)間、物料和人力資源，還會(huì)出現(xiàn)數(shù)據(jù)錯(cuò)誤的可能性。通過數(shù)據(jù)的實(shí)時(shí)采集，才讓設(shè)備端的狀態(tài)真實(shí)呈現(xiàn)，這個(gè)階段介于設(shè)備與采集之間的過程控制，這個(gè)階段不需要添加網(wǎng)絡(luò)安全防護(hù)。煤炭的工控主站系統(tǒng)一般處于相對(duì)封閉的 網(wǎng)絡(luò)，隨著“兩化”（信息化與工業(yè)化）的深度融合，工控系統(tǒng)正越來越多的使用通用協(xié)議、通用操作系統(tǒng)、通用硬件和軟件。由于以太網(wǎng)、無線設(shè)備無處不在，整個(gè)煤炭控制系統(tǒng)都可以和遠(yuǎn)程終端進(jìn)行互聯(lián)，病毒、木馬、蠕蟲等信息網(wǎng)絡(luò)完全問題直接延伸到工控...

在采用IT細(xì)分方法進(jìn)行安全加固的實(shí)際操作中，成本會(huì)自然增加。 步就是重新配置OT網(wǎng)絡(luò)中的每個(gè)設(shè)備。這可能需要調(diào)整數(shù)百個(gè)設(shè)備的IP地址。而且對(duì)于ICS這通常需要停機(jī)和大量的工作，包括繪制OT網(wǎng)絡(luò)圖，使用管道和儀表圖(P&ID)等，但這些需要及時(shí)驗(yàn)證、更新，而且是一個(gè)比較困難、復(fù)雜、消耗時(shí)間的工作。這一切都是為了ICS的細(xì)分安全。除了初始設(shè)置之外，必須隨著時(shí)間的推移保持ICS細(xì)分的IT方法的有效性。實(shí)際上，這些防火墻通常根本不起作用，規(guī)則都是關(guān)閉的，沒有人能保持它們是 新的。因此，建立和維護(hù)防火墻規(guī)則是對(duì)生產(chǎn)運(yùn)營(yíng)團(tuán)隊(duì)的另一個(gè)巨大挑戰(zhàn)。寬域KYSOC-5000工控網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng)，可識(shí)別協(xié)議多，...

傳統(tǒng)的商用防火墻是目前網(wǎng)絡(luò)邊界上 常用的一種防護(hù)設(shè)備，它所提供的主要功能包括訪問控制、地址轉(zhuǎn)換、應(yīng)用代理、帶寬和流量控制、事件審核和報(bào)警等。商用防火墻誕生于傳統(tǒng)信息網(wǎng)絡(luò)環(huán)境下，雖然經(jīng)過了多年的發(fā)展和完善，但其應(yīng)用環(huán)境還是局限于企業(yè)信息網(wǎng)絡(luò)，它對(duì)于寬域工業(yè)網(wǎng)絡(luò)環(huán)境還有諸多的不適應(yīng)。也正是基于這一現(xiàn)實(shí)，寬域工業(yè)防火墻被開發(fā)應(yīng)用。該企業(yè)總體分為辦公樓（管理大區(qū)）與智能制造工廠（生產(chǎn)大區(qū)）。智能制造工廠內(nèi)包含若干生產(chǎn)車間，車間內(nèi)控制器、工程師站和攝像頭通過接入交換機(jī)（主、備）、光纖盒與工廠內(nèi)匯聚交換機(jī)相連；智能制造工廠內(nèi)工坊、服務(wù)器區(qū)、無線接入?yún)^(qū)、臨時(shí)接入?yún)^(qū)和立體倉(cāng)庫(kù)均接入?yún)R聚交換機(jī)。智能制造工廠通過...

產(chǎn)品基于工業(yè)協(xié)議的深度解析，對(duì)工業(yè)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行采集、分析和識(shí)別，持續(xù)不間斷的檢測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為等，對(duì)發(fā)現(xiàn)的違規(guī)行為、誤操作、工控協(xié)議指令、各種病毒攻擊等行為實(shí)時(shí)告警，并 記錄網(wǎng)絡(luò)通信行為，為調(diào)查取證提供依據(jù)。寬域工業(yè)安全審計(jì)平臺(tái)是專門針對(duì)工業(yè)網(wǎng)絡(luò)流量進(jìn)行分析和安全檢測(cè)的安全審計(jì)類產(chǎn)品，采用旁路部署方式，不需要更改現(xiàn)有網(wǎng)絡(luò)架構(gòu)。寬域工業(yè)防火墻側(cè)重于對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)，產(chǎn)品基于對(duì)工控協(xié)議數(shù)據(jù)包的深度解析，融入了工業(yè)指令控制、策略自學(xué)習(xí)、工業(yè)協(xié)議審計(jì)、訪問控制等多項(xiàng)功能，能夠 識(shí)別并阻斷針對(duì)工控系統(tǒng)的非法操作，隨時(shí)隨地保護(hù)客戶工業(yè)控制系統(tǒng)免遭任何威脅。 寬域CDKY-AS6000資產(chǎn)...

面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢(shì)，我國(guó)高度重視寬域工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全工作，已出臺(tái)相關(guān)法律法規(guī)、政策要求，如《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》、《關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》和《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展寬域工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》等。企業(yè)高度重視寬域工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全建設(shè)工作，按照國(guó)家法律法規(guī)、政策要求針對(duì)寬域工業(yè)控制系統(tǒng)進(jìn)行工控安全建設(shè)，保障生產(chǎn)業(yè)務(wù)系統(tǒng)的穩(wěn)定、高效、安全運(yùn)行。寬域CDKY-FID4000工業(yè)隔離裝置，用雙端口 RAM 實(shí)現(xiàn)數(shù)據(jù)的存儲(chǔ)和轉(zhuǎn)發(fā)。采礦工業(yè)主機(jī)衛(wèi)士...

產(chǎn)品基于工業(yè)協(xié)議的深度解析，對(duì)工業(yè)網(wǎng)絡(luò)數(shù)據(jù)流量進(jìn)行采集、分析和識(shí)別，持續(xù)不間斷的檢測(cè)通信內(nèi)容、網(wǎng)絡(luò)行為等，對(duì)發(fā)現(xiàn)的違規(guī)行為、誤操作、工控協(xié)議指令、各種病毒攻擊等行為實(shí)時(shí)告警，并 記錄網(wǎng)絡(luò)通信行為，為調(diào)查取證提供依據(jù)。寬域工業(yè)安全審計(jì)平臺(tái)是專門針對(duì)工業(yè)網(wǎng)絡(luò)流量進(jìn)行分析和安全檢測(cè)的安全審計(jì)類產(chǎn)品，采用旁路部署方式，不需要更改現(xiàn)有網(wǎng)絡(luò)架構(gòu)。寬域工業(yè)防火墻側(cè)重于對(duì)工業(yè)控制系統(tǒng)的安全防護(hù)，產(chǎn)品基于對(duì)工控協(xié)議數(shù)據(jù)包的深度解析，融入了工業(yè)指令控制、策略自學(xué)習(xí)、工業(yè)協(xié)議審計(jì)、訪問控制等多項(xiàng)功能，能夠 識(shí)別并阻斷針對(duì)工控系統(tǒng)的非法操作，隨時(shí)隨地保護(hù)客戶工業(yè)控制系統(tǒng)免遭任何威脅。 寬域CDKY-AS6000資產(chǎn)...

本文提到的ICS網(wǎng)絡(luò)細(xì)分模型只有3個(gè)流程，而實(shí)際寬域工業(yè)操作可以有數(shù)百個(gè)或更多的設(shè)備控制不同的流程。使用這種方法，整個(gè)ICS網(wǎng)絡(luò)位于IT防火墻之后，在ICS網(wǎng)絡(luò)中增加多層 的ICS寬域工業(yè)防火墻。操作員可以監(jiān)視和控制每個(gè)離散過程、每個(gè)安全系統(tǒng)和每個(gè)RTU的流量?，F(xiàn)在，ICS網(wǎng)絡(luò)中的所有內(nèi)容和關(guān)鍵流程在邏輯上都被鎖定了。只有經(jīng)過明確授權(quán)的才被允許，與外部世界連接的流量也被被限制。只有在必要時(shí)，可以使用ICS寬域工業(yè)防火墻來限制供應(yīng)商和第三方的遠(yuǎn)程訪問?？傊c傳統(tǒng)的IT細(xì)分方法相比，這種ICS細(xì)分方法可以在現(xiàn)有的扁平網(wǎng)絡(luò)上設(shè)計(jì)，提供了更大的操作控制和安全性，并且在財(cái)力、人力和潛在停機(jī)方面都有很好...