智能制造网络安全防护解决方案

随着信息化建设的深入以及生产自动化程度的提高，大量流程制造型企业开始应用先进的制造执行系统（MES）来降低成本、挖潜增效、节能减排、提高质量。这种“两化融合”（自动化网与管理信息化网融合互联）的业务应用系统，来增强企业核心竞争力。MES系统的定位是处于管理层之下和控制层之上的执行层，是两化融合的节点，主要服务于企业的生产管理和调度。MES系统要充分发挥作用，从生产网（自动化网）向信息网（管理信息网）的生产信息实时上报是必不可少的。

以前生产网是封闭环境，不与任何网络连接，并且各个生产子网均是相互独立。优势是如果没有不按规定使用网络和移动存储介质的情况下，生产网就会很安全。劣势是无法从技术手段上禁止，同时无法做到生产数据的有效利用。随着两化融合技术的发展，驱动企业需要将生产网的数据实时上报到管理网，因此企业生产网将面临着管理信息网的安全风险导入到生产网，可能会影响生产，甚至会导致安全事故发生。因此，如何能在利用MES系统先进信息技术的同时，又能保证生产网的安全，成为一个亟待解决的问题。

安盟信息作为网络安全隔离方案的领航者，经过多年潜心研究和大量的客户实际部署案例，总结了一套以单向网络隔离和工业专用应用防护系统为主体的生产网安全防护解决方案。本方案可有效地规避两化融合后给生产网带来的安全风险，并符合国家相关政策规定要求（如等级保护）。

安盟华御工业应用审计：部署于各生产子网的生产控制区，对从上位机控制端到下位机操控指令进行有效的合规性定义。支持多种工控协议，如OPC、Modbus、MMS、DNP3、IEC61850、IEC104、Profinet、Profibus等。帮助用户以最捷的方式了解和掌握网络中的业务通信状态，发现网络潜在的安全。智能化的流量自学习规则，还可以辅助系统自动生成相关的异常检测规则，对现有的规则进行调优等。

安盟华御工业应用防护系统：部署于各生产子网的生产控制区与生产非控制区之间，防范工程师站/操作员站的非授权指令下发、控制参数的恶意篡改、恶意代码的攻击，保证生产系统的安全。支持多种工控协议，如OPC、Modbus、MMS、DNP3、IEC61850、IEC104、Profinet、Profibus等。

安盟华御工业安全隔离网闸：部署于各生产子网的数据采集监控系统与管理网之间，保证生产监控数据的安全单向上报，为MES系统提供数据支撑，同时保证管理网向生产子网没有一个比特的传送，保证各生产子网的安全。

安盟华御下一代防火墙：部署于管理网的MES区与管理信息区之间保护MES系统，避免外部的网络攻击和有害信息的感染。

安盟华御运维堡垒机：部署于管理信息网，实现对全部远程维护系统设备的操作授权和的操作审计。

方案优势

◆整体防护：从网络边界到终端，从网络数据到应用数据，从用户行为到网络行为，均在方案中得到防护体现。覆盖了业务数据流转的全生命周期。

◆专业防护：针对不同的应用场景，利用相对应的专用安全防护产品进行针对性的安全防护。在MES系统与各生产子网之间部署安全隔离网闸（或工业单向光闸），而非防火墙；在生产子网的非控制区与控制区之间部署工业防火墙，而非传统防火墙；在生产子网部署工业审计系统，而非传统的网络审计系统。

◆严格防护：按照不同应用协议类型提供细粒度的信令、参数、值域的控制。

◆标准防护：依据国标最高安全等级设计，采取三权分立，满足等级保护需要。

工业网闸

控制力度：OSI模型从1-7层，单向传输

防护逻辑：被动摆渡/主动采集

控制对象：工业协议会话、信令、参数、值域

硬件架构：宽温、工业环境

工业单向光闸传统网闸

控制力度：OSI模型从1至7层，双向传输

防护逻辑：被动过滤

控制对象：IT网络协议、信令、参数

硬件架构：IT环境

——————————————————————————

工业防火墙

控制力度：OSI模型从2-7层

协议控制：工业控制协议

策略定制：智能学习加专家定制

优先级：业务优先

故障容忍：不能容忍

传统防火墙

控制力度：OSI模型从2至4层

协议控制：传统网络协议

策略定制：定制

优先级：通畅与安全兼顾

故障容忍：适当容忍