關于利譜
ABOUT TIPTOP
智能工廠的生存底線 : 淺談制造業邊界安全防護
隨著“數字化轉型”、“智能制造”、“工業互聯網”等國家戰略的推進,制造業正加速邁向智能化、網絡化、平臺化發展新階段。根據2024年數據顯示,中國制造業增加值占全球比重已超過30%。
在這一發展進程中,工業控制系統(ICS)、工業互聯網(IIOT)等新型架構和技術廣泛引入,使得原本封閉的生產系統開始與企業IT系統、云平臺、第三方服務商等外部系統深度互聯,制造企業的網絡邊界大幅擴展,網絡攻擊面顯著增加,安全形式愈發嚴峻。
為此,國家密集出臺多項法律法規與指導性標準,要求制造業切實加強網絡邊界安全防護,確保關鍵業務系統,核心控制網絡及生產數據的安全可控。
? 國家法律法規要求
《中華人民共和國網絡安全法》、《數據安全法》、《關鍵信息基礎設施安全保護條例》明確提出關鍵系統與重要數據應受到重點保護,并劃定了關鍵基礎設施的安全保護紅線;
《工業控制系統信息安全防護指南》(工信部)在第三部分“邊界安全防護”中指出,應通過工業防火墻、網閘等防護設備實現工業控制網絡之間的邏輯隔離;
《網絡安全等級保護制度2.0》中:
二級要求第7.5.2.1:工業控制系統與企業其他系統之間應劃分為兩個區域,區域間應采用技術隔離手段;
三級要求第8.5.2.1:區域間應采用單向的技術隔離手段,進一步加強防護強度。
? 行業標準與技術體系引導
《工業互聯網網絡安全標準體系建設指南》指出應完善邊界防護、訪問控制、數據安全、網絡通信等多個領域的技術標準,便捷安全是基礎能力;
《工業控制系統安全標準框架》提出應構建“分層分域、邊界清晰”的控制系統架構;
IEC62264-1構建的制造企業五層模型中,生產管理層(L3)與過程監控層(L2)之間為網絡安全防護重點邊界,需部署強隔離設備防止威脅橫向滲透。
需求分析
? 智能制造與工業互聯網發展對邊界隔離的迫切需求
《“十四五”智能制造發展規劃》與《工業互聯網新發展行動計劃》均強調要在“安全可控”的前提下推進工業網絡開放與數據價值釋放;
制造企業廣泛部署MES、ERP、工業數據平臺、AI分析平臺等系統,與OT網絡實現數據流轉成為剛需,邊界安全隔離技術成為關鍵基礎設施,承擔著數據流轉與系統防護“雙重責任”。
? 當前行業痛點與需求
生產系統與外部系統間數據交互頻繁,亟需安全可控的跨域傳輸通道;
ICS系統普遍“弱防護+高價值”,一旦遭受入侵將影響生產連續性和安全性;
各級合規審計與等級保護測評對邊界隔離設備提出明確指標和驗收要求;
因此,構建以網閘、光閘、工業防火墻等為核心的邊界安全隔離解決方案,已成為制造企業在數字化轉型過程中必須有限考慮的安全基礎設施建設方向。
解決方案
1、目標任務
本方案旨在通過部署邊界隔離設備,幫助制造業企業實現關鍵生產系統與外部系統之間的安全隔離,防止未授權的數據訪問與惡意入侵,構建“縱深防御,隔離為先”的工業網絡安全架構。
企業的目標建設和任務主要有以下:
構建工業網絡之間清晰的安全邊界,實現邏輯/物理隔離;
確保生產數據單向、安全傳輸至MES、ERP、工業云等系統中;
提高對工控網絡的整體可視性和管控能力;
降低運維人員誤操作和第三方接入帶來的安全風險;
建立可審計、可追溯的邊界數據交換機制。
2、技術方案
為實現上述建設目標,提出以下幾類主流邊界隔離技術路徑:
①工業單向光閘方案
結構組成:內網單元+外網單元+光收發模塊
功能特性:實現數據單向上次,物理不可逆,徹底斷開外部系統對生產網的回連可能。
適用場景:關鍵數據上報、安全等級高、數據只需上傳不需下發的場景。
②工業網閘方案
結構組成:內網單元+外網單元+隔離單元(如FPGA)
功能特性:支持工業協議深度識別,雙向數據傳輸可控,具備完整的策略配置與審計能力。
適用場景:需頻繁進行生產與管理系統雙向數據交互的工廠。
③工業防火墻方案
結構組成:標準防火墻形態+工業識別引擎
功能特性:基于應用白名單和行為識別機制,進行訪問控制與深度檢測。
適用場景:非關鍵數據交互、需要訪問控制而非強隔離的業務區域。
④光閘+工業防火墻組合方案
部署模式:生產系統出口先接入光閘,再連接工業防火墻對傳出數據進行審計與策略控制。
優勢:兼顧物理隔離與策略靈活性,適合關鍵數據上傳、需審計日志合規的場景。
⑤網閘+工業防火墻組合部署方案
部署模式:雙向數據通道通過工業網閘進行協議識別與控制,邊界再由工業防火墻做訪問過濾和異常檢測。
優勢:適合數據交互頻繁且網絡訪問復雜的制造企業,可精細化控制數據的類型、流量方向及終端行為。
3、設計方案的對比
方案類型
隔離強度
協議識別能力
適用場景
成本
運維復雜度
推薦指數
單向光閘
★★★★★
★★☆☆☆
只上傳關鍵數據、安全等級最高
中
低
★★★★☆
工業網閘
★★★★☆
★★★★★
管理層與生產層有雙向數據交互
高
中
★★★★★
工業防火墻
★★★☆☆
★★★★★
流量控制/訪問控制/協議過濾
中
低
★★★★☆
光閘 + 工業防火墻
★★★★★
★★★★☆
高安全要求 + 策略審計需求
高
中
★★★★★
網閘 + 工業防火墻
★★★★☆
★★★★★
多系統交互 + 業務審計 + 安全控制
高
高
★★★★★
結合安全隔離強度、協議適配能力、策略控制粒度、成本與維護等綜合因素,推薦制造業采用“網閘 + 工業防火墻”組合部署方案。
4、方案優勢
1) 安全全面:網閘保障核心數據安全交換,防火墻實現協議過濾和異常阻斷;
2) 策略靈活:可細化控制不同協議、方向、行為,實現動態調整策略;
3) 協議兼容強:適配MES、ERP、DCS、PLC等主流工業協議;
4) 可審計合規:滿足等保2.0、工控安全指南等監管要求;
5) 分層部署靈活:可按工廠車間、業務系統分層部署隔離策略;
6) 具備高可用性:支持熱備部署,降低單點故障風險;
7) 適配云化趨勢:支持與工業云、數據中臺、遠程運維平臺集成;
8) 運維友好:統一策略平臺、可視化監控,降低維護成本;
9) 成熟穩定:產品經過權威檢測認證,廣泛應用于制造、能源等領域。
Copyright ? 2000-2023 深圳市利譜信息技術有限公司 版權所有. 粵ICP備11081537號
邊界安全
保密安全
工業安全
安全服務
隔離網閘方案
單向光閘方案
數據安全交換平臺
工業安全解決方案
技術支持熱線
下載中心
常見問題
生命周期管理
關于利譜
新聞報道
企業文化
資質證書
代理加盟
公司榮譽
典型用戶
聯系我們
社會招聘
技術咨詢