智慧工厂工控系统网络安全等级保护建设方案

工控安全解决方案

项目编号:

智慧工厂工控系统网络安全等保2.0

建

设

方

案

1/48

工控安全解决方案

目录

1概述.............................................................................3

1.1背景......................................................................3

1.2目标......................................................................3

2安全建设思路....................................................................5

2.1等级保护建设流程..........................................................5

2.2法律依据..................................................................6

2.3政策依据..................................................................6

3技术体系方案设计................................................................8

3.1总体拓扑图................................................................9

3.2办公网技术体系方案设计....................................................9

3.3生产网技术体系方案设计..................................................40

■态势展示层.....................................-..............................48

2/48

工控安全解决方案

1概述

1.1背景

回顾过去二十余年，各行业的信息化程度不断加深，IT信息系统的复杂度与

开放度随之提升。而在随着“工业4.0”、“工业互联网”以及我国提出的“中国

制造2025”战略之后。放眼望去，在全球范围内的信息化与工业化之间出现了

不断的交叉与融合的发展趋势，对于工业领域中不断应用信息化技术而言，对于

国家层面以及企业自身的效益层面都具有着至关重要的战略意义。

近年来，随着信息化与工业化的深度融合，无论从安全意识还是安全措施方

面，仍然停留在传统工业时代，认为“隔离和专有”足以保障信息安全。这种认

知，导致信息安全问题险象环生。也给企业的工业控制系统带来了工控信息安全

的风险和隐患。诸如生产工业控制系统的生产工艺易受到非法入侵、木马病毒攻

击、非授权访问、关键生产核心数据被窃取甚至破坏生产设备等恶意行为，可能

会造成生产线的瘫痪，涉密数据被破坏或窃取等威胁，造成生产安全事故等。所

以保障工控安全的同时，办公网的防护也是我们的目标。

XX公司作为国内信息安全行业的领导企业，为多家用户完成定级、评估和整

改工作，积累了大量丰富的等级保护建设经验。本方案根据《信息安全技术GB/T

22239-2019网络安全等级保护基本要求》，结合XX公司等级保护建设经验，针

对智能工厂工控系统信息安全现状和业务特点，提出了本次办公网和生产网的等

级保护建设方案。

1.2目标

根据智能1：厂工控系统的现状和将来的应用需求，并结合国家关于等级保护

的通用要求和工控安全要求，采用现代化信息安全保护技术，制定针对性的技术

方案与管理方案，为北方华创智能工厂信息系统的等级化安全体系建设提供参考

和实施的依据。本文将主要阐述和针对智能工厂信息系统建设和信息安全体系的

规划设计。

主要内容是智能工厂信息系统的总体信息安全体系建设，完善传统网络和工

3/48

工控安全解决方案

2安全建设思路

2.1等级保护建设流程

本方案从技术部分进行安全建设，技术部分根据《网络安全等级保护基本要

求》分为安全通信网络、安全区域边界、安全计算环境、安全管理中心四个方面

进行建设，建设面对市象则是办公和生产两张网络。

整个安全保障体系各部分既有机结合，又相互支撑。之间的关系可以理解为

“构建安全管理机构，制定完善的安全管理制度及安全策略，由相关人员，利用

技术工手段及相关工具，进行信息系统建设和运行维护。”

根据等级化安全保障体系的设计思路，等级保护的设计与实施通过以下步骤

进行：

1.信息系统识别与定级：确定保护对象，通过分析信息系统所属类型、所

属信息类别、服务范围以及业务对信息系统的依赖程度确定信息系统的等级。通

过此步骤充分了解信息系统状况，包括信息系统业务流程和功能模块，以及确定

信息系统的等级，为下一步安全域设计、安全保障体系框架设计、安全要求选择

以及安全措施选择提供依据。

2.安全域设计：艰据第一步的结果，通过分析信息系统业务流程、功能模

块，根据安全域划分原则设计信息系统安全域架构。通过安全域设计将信息系统

分解为多个层次，为下一步安全保障体系框架设计提供基础框架。

3.确定安全域安全要求：参照国家相关等级保护安全要求，设计不同安全

域的安全要求。通过安全域适用安全等级选择方法确定信息系统各区域等级，明

确各安全域所需采用的安全指标。

4.评估现状：根据各等级的安全要求确定各等级的评估内容，根据国家相

关风险评估方法，对信息系统各层次安全域进行有针对性的等级风险评估。并找

出信息系统安全现状与等级要求的差距，形成完整准确的按需防御的安全需求。

通过等级风险评估，可以明确各层次安全域相应等级的安全差距，为下一步安全

技术解决方案设计和安全管理建设提供依据。

5.安全保障体系方案设计：根据安全域框架，设计信息系统各个层次的安

5/48

工控安全解决方案

全保障体系框架以及具体方案。包括：各层次的安全保障体系框架形成信息系统

整体的安全保障体系框架；详细安全技术设计、安全管理设计。

6.安全建设：根据方案设计内容逐步进行安全建设，满足方案设计做要符

合的安全需求，满足等级保护相应等级的基本要求，实现按需防御。

通过如上步骤，信息系统可以形成整体的等级化的安全保障体系，同时根据

安全术建设和安全管理建设，保障信息系统整体的安全。而应该特别注意的是：

等级保护不是一个项目，它应该是一个不断循环的过程,所以通过整个安全项目、

安全服务的实施，来保证用户等级保护的建设能够持续的运行，能够使整个信息

系统随着环境的变化达到持续的安全。

本方案设计的安全保障方案仅涉及技术部分。

2.2法律依据

1994年《中华人民共和国计算机信息系统安全保护条例》（国务院令第147

号）第九条明确规定，“计算机信息系统实行安全等级保护，安全等级的划分标

准和安全等级保护的具体办法，由公安部会同有关部门制定”。

2017年《网络安全法》第二十一条明确规定国家实行网络安全等级保护制度,

网络运营者应当按照网络安全等级保护制度的要求，开展网络安全等级保护的定

级备案、等级测评、安全建设、安全检查等工作，履行安全保护义务，保障网络

免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改；第

三十一条规定，国家关键信息基础设施在网络安全等级保护制度的基础上，实行

重点保护。

《网络安全法》的颁布实施，标志着从1994年的国务院条例（国务院令第

147号）上升到了国家法律的层面，标志着国家实施十余年的信息安全等级保护

制度进入2.0阶段，同时也标志着以保护国家关键信息基础设施安全为重点的网

络安全等级保护制度依法全面实施。

2.3政策依据

>《工业控制系统信息安全防护指南》（工信软函（2016）338号）

>GB/T22239-2019《信息安全技术信息系统安全等级保护基本耍求》

6/48

工控安全解决方案

>GB/T25070-2019《信息安全技术网络安全等级保护安全设计技术要求》

>GB/T22240-2008《信息安全技术信息系统安全等级保护定级指南》

>GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》

>《关于加强工业控制系统信息安全管理的通知》（工信部（2011）451号）

7/48

工控安全解决方案

3技术体系方案设计

在本次智能工厂信息系统网络安全设计方案中，建设对象主要面向了办公和

生产管理两张网。互联网与工业控制虽然相互交叉融合，但毕竟分属于两张不同

的网络，故分开进行设计和赘述。具体的设计方案进行分开说明，总体拓扑如下

所示：

8/48

工控安全解决方案

3.1总体拓扑图

（安全管理区

颈!•।

1,57「3

♦今年■胃口・-4^..

囹开3

FRRAtS-IIOAt-.ttERP*.B»»

£舒6包E1P0WI

NA•♦助》・

（终瑞接入区4月管"

I

y）I/核__心__交_换区]-----------[--------

/DMZ区

I据H3

々・印

\****W«b<iaRAtS/\x蜡*入

W

ves4nX^he«aHT<W•幢TZ

安防U

旌网络

HP入♦冶

向青]曲言区7fBnwtt苔

:时■■■露・,，tl.Nl】照第火・QQQ

ttYM.WC«3

T

H~irnHn

3.2办公网技术体系方案设计

321设计范围

本部分方案以保障智能工厂办公系统网络安全为出发点，设计范围为办公网

9/48

工控安全解决方案

络，重点从安全技术防护体系设计及安全管理体系两个方面构建办公网络整体安

全防护体系。

3.2.2设计原则

在规划、建设、使用、维护智能工厂信息系统项目的过程中，本方案将主要

遵循统一规划、分步实施、立足现状、节省投资、科学规范、严格管埋的原则进

行安全体系的整体设计和实施，并充分考虑到先进性、现实性、持续性和可扩展

性。具体体现为：

1）等级标准性原则

本方案从设计到产品选型都遵循国家等级保担三级相关标准。

2）需求、风险、代价平衡的原则

对任一网络，绝对安全难以达到，也不一定是必要的。应对一个网络进行实

际分析（包括任务、性能、结构、可靠性、可用性、可维护性等），并对网络面临

的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，

确定安全策略。

3）综合性、整体性原则

安全模块和设备的引入应该体现信息系统运行和管理的统一性。一个完整的

信息系统的整体安全性取决于其中安全防范最薄弱的一个环节，必须提高整个信

息系统的安全性以及信息系统中各个部分之间的严密的安全逻辑关联的强度，以

保证组成信息系统的各个部分协调一致地运行。

4）易操作性原则

安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降

低了安全性。

5）设备的先进性与成熟性

安全设备的选择，既要考虑其先进性，还要考虑其成熟性。先进意味着技术、

性能方面的优越，而成熟性表示可靠与可用。

6）无缝接入

安全设备的安装、运行，应不改变网络原有的拓扑结构，对网络内的用户应

是透明的，不可见的。同时，安全设备的运行应该不会对网络传输造成通信“瓶

10/48

工控安全解决方案

颈”。

7）可管理性与扩展性

安全设备应易于管理，而且支持通过现有网络对网上的安全设备进行安全的

统一管理、控制，能够在网上监控设备的运行状况，进行实时的安全审计。

8）保护原有投资的原则

在进行智能工厂安全体系建设时，应充分考虑原有投资，要充分利用智能工

厂信息系统已有的建设。

9）综合治理

信息网络的安全绝不仅仅只是一个技术问题，各种安全技术应该与运行管理

机制、人员的思想教育与技术培训、安全法律法规建设相结合，从社会信息系统

工程的角度综合考虑。

10）统一规划、分步实施

在建设过程中，全方位、多层次的综合考虑智能工厂信息安全问题和各个环

节，运用信息系统工程的观点和方法论进行统一的、整体性的设计，为后继的安

全实施提供基础保障，通过逐步实施，来达到信息系统的安全强化。从解决主要

的问题入手，伴随信息系统应用的开展，逐步提高和完善信息系统的建设，充分

利用现有资源进行合理整合的原则。

3.2.3设计思路

纵深防御

本方案以访问控制为核心，通过构建“一个中心支撑下的三重防护体系”的

纵深防御体系来保障信息系统的安全。

“一个中心，三重防护”是指以安全管理中心为核心，构建安全计算环境、

安全区域边界和安全通信网络，确保应用系统能够在安全管理中心的统一管控下

运行，不会进入任何非预期状态，从而防止用户的非授权访问和越权访问，确保

应用系统的安全。

安全管理中心是三重防护体系的控制中枢，是管理员的工作场所，管理员通

过在安全管理中心制定安全策略，强制计算环境、区域边界执行策略，从而确保

11/48

工控安全解决方案

系统的运行环境是安全。安全管理中心分成三个子系统：系统管理子系统、安全

管理子系统、审计子系统，分别对应管理员的三个角色。系统管理子系统负责对

安全保护环境中的计算节点、区域边界、通信网络实施集中管理和维护，包括用

户身份管理、资源管理、应急处理等，为信息系统的安全提供基础保障。安全管

理子系统是系统安全的控制中枢，主要实施标记管理、授权管理及策略管理等。

安全管理子系统通过制定相应的系统安全策略，并且强制节点子系统、区域边界

子系统、通信网络子系统执行，从而实现了对整个信息系统的集中管理，为重要

信息的安全提供了有力保障。审计子系统是系统的监督中枢，系统审计员通过制

定审计策略，强制节点子系统、区域边界子系统、通信网络子系统、安全管理子

系统、系统管理子系统执行，从而实现对整个信息系统的行为审计，确保用户无

法抵赖违背系统安全策略的行为，同时为应急处理提供依据。

计算环境是应用系统的运行环境，包括应用系统正常运行所必须的终端、服

务器、网络设备等，计算环境安全是应用系统安全的根本；计算环境由节点子系

统和应用防护子系统构成。节点子系统通过在操作系统核心层、系统层设置以强

制访问控制为主体的系统安全机制，形成了一个严密牢固的防护层，通过对用户

行为的控制，可以有效防止非授权用户访问和授权用户越权访问，确保信息和信

息系统的完整性安全，从而为应用系统的正常运行和免遭恶意破坏提供支撑和保

障。应用防护子系统承接了安仝操作系统和上层应用系统，直接支撑着应用系统

的安全。应用防护子系统通过对应用服务的封装，不仅实现了对应用系统访问控

制，而且增强了应用系统运行环境的隔离性，使得应用系统不受非授权进程的恶

意干扰，保护了信息的完整性。

区域边界是应用系统运行环境的边界，是应用系统和外界交互的必经渠道，

通过区域边界的安全控制，可以对进入和流出应用环境的信息流进行安全检查，

既可以保证应用系统中的敏感信息不会泄漏出去，同时也可以防止应用系统遭受

外界的恶意攻击和破坏。

通信网络是不同应用系统之间进行信息交互的通道，安全的通信网络设备能

够保证应用系统之间交互信息的完整性。三重防护体系为应用系统构建了一个严

密的立体防护网，既能够防止应用环境之内的用户对系统安全进行破坏，又能够

防止外部用户对系统安全的破坏，即能够做到“防内为主，内外兼防”，可以有

12/48

工控安全解决方案

效保护高等级应用系统的安全。

3.23.2动态综合防御

根据中办发[2003]27号文件，“坚持积极防御、综合防范的方针，全面提

高信息安全防护能力”是国家信息保障工作的总体要求之一。“积极防御、综合

防范”是指导等级保护整体保障的战略方针。

安全保障不是单个环节，单一层面上问题的解决，必须是全方位地、多层次

地从技术、管理等方面进行全面的安全设计和建设，“积极防御、综合防范”战

略要求信息系统整体保障综合采用覆盖安全保障各个环节的防护、检测、响应和

恢复等多种安全措施和手段，对系统进行动态的、综合的保护，在攻击者成功地

破坏了某个保护措施的情况下，其他保护措施仍然能够有效地对系统进行保护，

以抵御不断不断出现的安全威胁与风险，保证系统长期稳定可靠的运行。

3.2.33安全域划分

用安全域方法论为主线来进行设计，从安全的角度来分析业务可能存在的安

全风险。所谓安全域，就是具有相同业务要求和安全要求的IT系统要素的集合。

这些IT系统要素包括：

•网络区域

•主机和系统

•人和组织

•物理环境

•策略和流程

•业务和使命

因此，如果按照广义安全域来理解，不能将安全域的工作仅仅理解为在网络

拓扑结构上的工作。

通过划分安全域的方法，将网络系统按照业务流程的不同层面划分为不同的

安全域，各个安全域内部又可以根据业务元素对象划分为不同的安全子域。针对

13/48

工控安全解决方案

每个安全域或安全子域来标识其中的关键资产，分析所存在的安全隐患和面临的

安全风险，然后给出相应的保护措施；不同的安全子域之间和不同的安全域之间

存在着数据流，这时候就需要考虑安全域边界的访问控制、身份验证和审计等安

全策略的实施。

安全域划分以及基于安全域的整体安全工作，对智能工厂的信息系统具有很

大的意义和实际作用：

■安全域划分基于网络和系统进行，是下一步安全建设的部署依据，可以

指导系统的安全规划、设计、入网和验收工作；

■可以更好的利用系统安全措施，发挥安全设备的利用率；

■基于网络和系统进行安全检查和评估的基础，可以在运行维护阶段降低

系统风险，提供检查审核依据；

■安全域可以更好的控制网络安全风险，降低系统风险；

■安全域的分割是出现问题时的预防，能够防止有害行为的渗透；

■安全域边界是灾难发生时的抑制点，能够防止影响的扩散。

“同构性简化”的安全域划分方法，其基本思路是认为一个复杂的网络应当

是由一些相通的网络结构元所组成，这些进行拼接、递归等方式构造出一个大的

网络。同一区域内的资产实施统一的保护，如进出信息保护机制，访问控制，物

理安仝特性等。

324办公网拓扑设计

办公网的安全设计拓扑如下所示：

14/48

工控安全解决方案

/互联网接入区

LZJ强）

囹■

368*E1FW*ffr

3.2.5部署方式说明

如上图所示，分为办公网和生产网，通过工业网闸进行数据摆渡。其中，在

办公网中划分了互联网接入区、核心交换区、无线接入区、业务应用区、终端接

入区、DMZ区和安全管理区等七个安全域。通过部署相应的安全产品实现三级

的防护能力。

15/48

工控安全解决方案

3.2,5.1互联网接入区

互联网接入区作为外部互联网用户和公司人员访问的入口，担任着重要的边

界防护使命。

部署如下安全产品：

•负载均衡：在互联网出口，以A/A模式，串联部署链路负载均衡设备对租用

不同运营商的多条互联网接入链路进行智能的流量分配，实现带宽资源的充

分利用。

•下一代防火墙：通过部署防火墙，实现对入站、出站双向IP包的访问控制、

应用过滤。双机部署，防止单点故障。开启入侵防御策略，对出站、入站方

向的数据包进行包还原，检测攻击行为，攻击特征，若发现攻击行为则进行

阻断。同时，开启防病毒策略，对入站方向的HTTP、SMTP、P0P3>IMAP

等流量进行防病毒过滤清洗。

・上网行为管理：在防火墙后面通过串行部署上网行为管理设备，对本地用户

访问互联网的行为进行分析和审计，防止内皆员工上班时间违规上网或在网

上发表违规言论，同时保存至少6个月的访府日志，以便协助公安调查取证。

•SSLVPN：通过旁路部署SSLVPN,连接在防火墙上，一方面对移动办公、远

程运维提供安全接入数据传输保护，另一方面为应用服务器提供国密算法

SSL卸载服务。

核心交换区

核心交换区主要由两台高性能核心交换机组成，负责所有办公网区域间流量

的交换转发。在此区域主要旁路部署审计类、准入类安全产品，对网络中的流量

进行入侵检测和网络准入审计。

部署如下安全产品：

•入侵检测系统：部署入侵检测系统，以旁路方式，对接两台核心交换机的镜

像端口；核心交换机需将其它安全域的流量镜像至入侵检测系统，供入侵检

测系统进行入侵行为检测；审计记录可通过报表展示给用户，并可发送至态

16/48

工控安全解决方案

势感知平台，进行综合的安全态势分析和展示。

•网络准入控制：在办公网核心交换机上部署准入控制系统，对试图接入局域

网的终端设备进行合法性认证和健康性检查，防止外部终端或不安全的终端

接入网络造成危害。

3.2.53终端接入区

终端接入区是所有办公终端的集合区域，是各类业务生产的起点。因其涉及

众多终端使用者的不同安全素养，也因终端级操作系统的较多脆弱性，使个人终

端成为了众多安全事件的起点。因此需要进行较为周全的安全防护。

部署如下安全产品：

•终端防护：需提供一台服务器，安装终端安全管理系统，对办公终端进行安

全监控和管理，实现网络准入，非法外联监测，应用发布，补丁管理，移动

介质管理，敏感文档防泄漏审计等功能。

安全管理区

安全管理区是整个系统的负责安全管理、安全运维和与之相关的用户管理、

备份管理等各个组件的集合区域。是维护系统正常运转，制定各类安全策略的核

心区域。

部署如下安全产品：

•态势感知：部署态势感知，收集所有审计类安全设备的事件信息，并结合日

志审计系统的日志信息，作统一事件关联分析，以及对内网各类资产进行风

险评估。最终以图形化界面，展示全网安全态势。

•堡垒机：部署堡垒机，将所有IT组件的管理运维端口，通过策略路由的方式,

交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理运维授权,

并对运维操作进行审计记录（录屏和键盘操作记录），并通过堡垒机实现对

运维角色与权限的划分，分为系统管理员、审计管理员、安全管理员等。

•漏洞扫描：部署漏洞扫描系统，对全网IT组件（主机操作系统、网络设备、

安全设备、数据库、中间件、应用服务等）进行脆弱性发掘，并生成检查报

17/48

工控安全解决方案

告。结果可通过报表展示给用户，并可发送至态势感知平台，从而进行综合

安全态势分析和展示。

•数据库审计：实时池、智能地解析网络上和被审计数据库相关的登录、注销,

对数据库表和字段的插入、删除、修改、查询、执行存储过程等操作，能够

精确到SQL操作语句。

•终端管理系统：作为终端管理的服务端，负责下发策略及任务。

•ESP管理平台：此处通过部署ESP管理平台，实现分级分权的对各无线AP

的管理，支持自动扫描，自动调整等功能，可有效提高无线网络性能及上网

体验。能够快速定位统计客流、探测终端信息，为电子地图、导航等业务提

供技术基础。

业务应用区

为智能工厂办公网中的重点保障区域，此区域设备部署防火墙实现边界的访

问控制和边界隔离，在服务上安装EDR实现防病毒等安全防护。

部署如下安全产品：

•防火墙：通过部署防火墙，实现对入站、出站双向IP包的访问控制、应用过

滤。开启入侵防御策略，对出站、入站方向的数据包进行包还原，检测攻击

行为，攻击特征，若发现攻击行为则进行阻断。同时，开启防病毒策略，对

入站方向的HTTP、SMTP、POP3、IMAP等流量进行防病毒过滤清洗。

•终端防护：对服务器进行安全监控和管理，实现病毒查杀防护等功能。

3.2.5.G无线接入区

部署如下安全产品：

•无线AP：此区域道过放装无线AP,实现区域内的无线网络全覆盖，提供一

个快速漫游、无终端的无线网络，为智能工厂的业务开展构建一个真正可用

的无线网络，并由ESP管理平台进行统一管控。

18/48

工控安全解决方案

DMZ区

DMZ区主要负责提供对外访问服务的区域，需部署WAF等产品，实现应用

层的攻击防护，部署EDR,实现终端级别的杀毒控制。

部署如下安全产品：

•Web应用防火墙：实现对进出web服务器的HTTP/HTTPS相关内容进行深度

分析，有效抵御WEB攻击。

326安全通信网络设计

安全通信网络重点关注的安全问题：一是网络架构的安全，包括网络安全区

域的合理划分，重要网络区域部署和防护；主干网络的可用性，包括通信链路和

节点设备的冗余、网络带宽的合理分配；网络通信中数据完整性和保密性的防护

等。因此，在安全通信网络层面，需要采用的安全技术手段包括：

网络架构安全

3.2.6.1.1安全域划分

对智能工厂信息系统划分不同的安全区域，弃为各安全区域分配相应的地址

和设置默认路由。在安全域划分基础上可方便地进行网络访问控制、网络资源管

控等安全控制，并对不同安全域边界的保护策略进行针对性设计。

3.2.6.1.2区域边界隔离

在安全域划分的基础上，利用路由交换设备自身的能力，按照用户实际需求,

对内部网络不同安全域划分不同逻辑子网（VLAN）,并在VLAN之间定义访问

控制规则（ACL）,实现网络内部不同安全域之间的基本隔离。

19/48

工控安全解决方案

3.2.6.1.3负载均衡

在互联网出口采用多运营商链路接入方式，在实现不同运营商链路相互备份

的同时，为了充分利用互联网出口的带宽资源，建议部署专门的负载均衡设备，

自动选择最优路径，将来自内外网的流量分流到最佳的链路上，保证带宽有效利

用，并达到最佳访问速度。

负载均衡器设备的链路负载均衡功能，主要用于解决多链路下的流量均衡问

题，保证系统的高可用性和可靠性。链路负载均衡能够使TCP/IP数据流在多个

ISP之间实施负载均衡。根据业务流量方向可以分为入站(Inbound)链路和出站

(Outbound)链路两种情况。

入站链路负载均衡实现方式

当客户端从Internet访问内部服务器，并且内网和外网之间存在多条ISP链

路时，通过入口链路负载均衡可以实现在多条ISP链路上分担外网用户访问内网

服务器的流量。

入站链路负载均衡中，负载均衡器设备充当权威DNS服务器的角色，外网

用户通过域名方式访问内网服务器时，逐步通过远程用户的本地DNS服务器、

ROOTDNS服务潜，最终由负载均衡器设备来进行域.名的解析。负载均衡器设

备通过负载均衡算法，在多条链路中选择最优的线路，然后将域名解析成相应线

路的IP地址，返回给用户，外网用户通过该链路访问内网服务器。

出站链路负载均衡实现方式

内网和外网之间存在多条链路时，通过出站链路负载均衡可以实现在多条链

路上分担内网用户访问外网服务器的流量。

当企业拥有多个默认的网关时，负载均衡器设备出口链路负载均衡提高了链

路的利用率，把企业数据流分配到多个不同的上游路由器。假如可以同时从两个

ISP(ISPA、ISPB)连到因特网，负载均衡器出口链路负载均衡会把出去的数据

流按照负载均衡算法分配到ISPA和ISPB上，已达到负载均衡的目的。分配到

ISPA的连接被NAT成ISPA的地址范围，分配到ISPB的连接被NAT成ISPB

的地址范围，返回的响应数据也会从相应的ISP接口流入。如果其中一个ISP

的链路失效，所有的数据流将不会分配到这个ISP。

20/48

工控安全解决方案

通信传输安全

对于智能工厂信息系统的移动办公、远程运维人员通过互联网登录到信息系

统进行的业务交互操作或远程管理操作，需要采用IPSEC或SSLVPN技术保证

重要、敏感信息在网络传输过程中完整性和保密性。

安全接入管理：

通过结合使用数字证书与专用VPN客户端软件，实现接入身份以及设备的

准确识别、对接入终端的安全管理，保证系统接入过程的安全可靠。

传输过程安全管理：

借助IPSEC或SSLVPN技术的隧道加密技术实现网络通信过程及数据传输

过程的安全，并且可根据不同人员的角色确认应用的访问权限，实现随时随地，

按需接入及受限访问，最大程序保证传输过程安全。

接入及传输过程管理：

通过接入管理端电接入人员及接入设备进行统一管理.，可实现人员的角色及

权限的统一管理，实现不同角色访问不同的访问咨询。针对接入设备的安全性问

题，通过对设备进行合规性检查，确保设备接入后不会给网络带来风险。通过对

接入过程进行安全审计，实时掌握接入及传输过程的状态并对网络接入及传输行

为进行审计。

.1SSLVPN

通过旁路部署SSLVPN网关系统，连接在防火墙上，为智能工厂人员及其

他运维人员提供安全接入数据传输保护。

3.2.7安全区域边界设计

安全区域边界是对内部应用系统计算环境进行安全防护和防止敏感信息泄

露的必经渠道；通过区域边界的安全控制，可以对进入和流出应用环境的信息流

进行安全检查，既可以保证应用系统中的敏感信息不会泄漏出去，同时也可以防

止应用系统遭受外界的恶意攻击和破坏。

21/48

工控安全解决方案

3.271边界防护、访问控制

依据等级保护要求第三级中网络和通信安全相关安全要求，区域边界访问控

制防护需要通过在网络区域边界部署专业的访问控制设备（如下一代防火墙、统

一威胁网关等），并配置细颗粒度的基于地址、协议和端口级的访问控制策略，

实现对区域边界信息内容的过滤和访问控制。保证跨越边界的访问和数据流是通

过边界防护设备提供的受控接口进行通信的。另外对于用户通过其他手段接入

Internet（如无线网卡、双网卡、modem拨号上网），或使用非授权设备接入内

网，这些边界防御则形同虚设。因此，必须在全网中对网络的接入和外联进行连

接状态的监控，准确定位并能及时报警和阻断。

3.2.7.1.1防火墙

在智能工厂信息系统的互联网出口处串联部署防火墙，确保所有跨越边界的

访问和所有流入、流出的数据均通过其受控接口进行通信、接受安全检查和史理。

防火墙主要功能包括：

X基础功能

＞网络接入

1.路由、透明、混合及直连部署模式；

2.静态路由、动态路由、策略路由及ISP路由；

3.支持VLAN、TRUNK＞QinQ等二层特性；

4.链路聚合、虚拟线及子接口等多种网络接入方式；

5.支持IPv6（接口配置、路由、ICMPv6、ND、DHCPv6等）；

6.IPv6安全策略部署（ACL、AV、IPS、DDOS、URL过滤、应用识别等）；

＞安全防护

1.基于传统五元组、用户、应用、内容、时间等多元组一体化访问控制；

2.支持策略冲突检测、策略冗余检测；

3.源地址转换、目的地址转换、双向地址转换及端口转换多种NAT策略；

4.支持FTP、TFTP、PPTP、SQLNET、H.323、SIP、RTSP等动态端口协

议；

22/48

工控安全解决方案

＞高可用性

1.AA（负载均衡）、AS（主备）及SP（连接保护）双机工作模式；

2.双系统引导；

＞身份认证

1.采用内网终端统一管理的集中式认证系统；

2.支持本地认证与第三方外部认证（如RADIUS、TACACS、LDAP等）；

3.集成PKI服务，内置CA并支持第三方CA；

＞系统服务

1.提供DHCP服务器/客户端/中继、NTP、CDP等网络服务；

2.支持跨越三层设备进行IP/MAC绑定；

3.支持网关虚拟化技术；

＞系统管理

1.基于SSH、HTTPS安全协议的配置交互界面；

2.管理员分级、权限自定义、密码强度分级、管理端口自定义等扩展安全

配置；

3.支持管理员外部认证；

4.系统资源、硬件状态、网络流量、安全事件的可视化监控；

5.邮件、NETBIOS、声音、SNMP、控制台等多种组合报警方式；

6.采用Syslog日志格式，支持分级和按类型输出以及日志加密传输；

7.图形界面与命令行方式进行系统升级；

8.提供报文调试功能及系统健康记录，支持端口镜像；

9.支持PING、Traceroute＞TCP、DNS、HTTP方式进行网络诊断；

10.支持WEB抓包，可设置接口、IP、协议、端口等过滤参数，抓包文件

可导出；

11.支持RestfulAPI接口，能与第三方管理平台对接，实现自动化运维管理;

人负载均衡

1.多运营商接入（内置ISP路由），支持多种路由均衡算法及路由备份功

能；

2.采用链路有效性探测实现智能链路切换；

23/48

工控安全解决方案

3.支持入站智能DNS；

4.支持多线路接入下报文的源路径返回；

5.支持服务器负载均衡，提供多种负载均衡算法并支持服务器的应用有效

性探测；

i连接限制

1.基于源地址、目的地址、应用的连接限制；

2.支持每IP连接总数限制J、所有IP连接总数限制、每IP新建连接数限制；

，流量管理

1.独立的流量控制策略；

2.基于应用、用户、源安全区域、目的安全区域、源地址、目的地址、服

务、时间段和通道优先级等方式进行细粒度的带宽策略定义；

3.支持虚拟链路及虚拟通道对流量进行进一步的细化管理：

4.支持保证带宽、限制带宽及带宽优先级设置；

XDDOS防护

1.DDoS攻击防尹，包括非法报文攻击及统计型报文攻击；

2.基于IP、ICMP、TCP、UDP、DNS、HTTP、NTP等协,议的DDOS攻击

防护；

3.支持阈值限流、IP认证等防护手段；

4入侵防护

1.内置11大类，超过5000条入侵防御实时规则；

2.支持根据威胁事件、攻击来源、受威胁主机查询攻击；

3.支持自定义规则；

人远程接入

1.IPSECVPN、SSLVPN、GRE多种隧道接入技术；

2.支持“预共享密钥”和“数字证书”两种认证方式；

3.DES/3DES/AES等标准加密算法及MD5/SHA1等标准HASH算法；

4.SSLVPN支持windows、Android、IOS等客户端系统接入；

，数据中心

1.内置16类预定义报表模板，支持根据通信流量、上网行为、威胁统计

24/48

工控安全解决方案

等来源数据库自定义报表模板；

2.支持周期性报表的生成、支持一次性报表的生成；

3.支持报表按照PDF、WORD及EXCEL格式导出；

U集中管理

1.可实现集中管理；

2.可实时监控设备状态、系统统一升级、簧略集中下发、拓扑集中展示；

3.2.7.1.2网络准入控制

部署网络准入系统能够勾勒企业终端接入的安全基线，屏蔽一些不安全的设

备和人员接入网络，规范用户接入网络的行为。对于未安装终端代理软件或已安

装终端代理软件但不符合安全策略要求（杀毒软件、系统安全设置、违规软性等）

的终端设备，能够禁止其访问网络，或进行网络VLAN隔离，并对其提供安全修

复向导。网络准入控制策略可从网络准入身份认证、合规性健康检查、接入管理、

隔离修复四方面实现。

网络准入的具体功能：

认证方式：终端准入认证支持用户名/密码、手机短信等不同认证方式，可

与用户现有AD域、LDAP服务器进行用户信息同步，实现实名制准入认证效果。

手机短信认证则需要与短信服务器进行联动，在终端入网认证时下发验证码，从

而完成入网相关操作。

认证管理：对于临时入网用户终端，提供入网有效期管理，控制其在网时限。

当出现同一账户多在线情况时，系统能够对该用户使用终端数进行限制，并给予

在超过限制终端数的多种处理方式，满足单用户多终端入网使用需求。

黑/白名单管理：对入网终端设备实施黑/白名单管理，可根据所应用的不同

准入模式，设置黑/白名单终端IP、MAC、协议、端口、VLAN号等要素信息，黑

名单拒绝入网、白名单则免认证入网，满足管理人员维护需求，并针对哑终端等

类型设备访问网络情况提供有效解决方案。

资产发现：系统支持对接入内网的终端设备实现资产扫描发现，能够扫描发

现连接接入层交换机的设备信息，包括：终端IP、终端MAC、终端网卡供应商、

终端VLAN、交换机端口、交换机IP、绑定用户笔信息，通过资产发现使管理人

25/48

工控安全解决方案

员能够快速掌握网内各交换机接入终端设备的状态信息，并进一步实施资产绑定、

导出等相关操作。

3.2.7.1.3非法外联监控（终端安全管理）

建议在所有内部用户终端上部署非法外联监控（集成于终端安全管理系统中）

代理软件，并在安全管理区部署相应的管理服务器，通过集中定制、强制执行的

安全策略来监控和防范终端绕过边界安全防护机制私自利用双网卡、无线、拨号

等手段非法连接外部网络。一旦发现被监控终端有违规外联行为，可依据预置的

策略采取提示、报警、记录、断网或重启等处理动作。

入侵防范

3.2.7.2.1入侵检测

建议智能工厂信息系统核心交换机上旁路部署入侵检测系统，并在交换机上

设置端口镜像，将流经交换机各个重要通信端口的进出双方向数据流量镜像至入

侵检测系统的监听端口，实现对网络攻击行为的全方位检测和立体呈现。一旦发

现攻击可通过与防火墙联动或发阻断包等方式进行限制。

入侵检测系统主要功能包括：

攻击行为检测：综合采用模式匹配、协议分析、异常检测、会话关联分析、

防逃逸等多种技术，准确识别入侵攻击行为，为用户提供2~7层深度入侵检测能

力。支持检测包括溢出攻击类、RPC攻击类、WEBCGI攻击类、拒绝服务类、木

马类、蠕虫类、扫描类、网络访问类、HTTP攻击类、系统漏洞类等在内的常见

攻击。

应用识别：支持根据数据内容而非端口智能识别包括P2P、即时通讯、电子

商务、股票交易、网络游戏、网络电视、移动应用等在内的常见互联网应用，支

持对应用连接数、应用流量及应用主机等做统计排名。支持自定义应用协议。

攻击预警：检测到各种入侵攻击及违规行为后，可以通过邮件、短信等多种

方式第一时间通知管理员采取进一步的防护措施。

26/48

工控安全解决方案

攻击取证：支持攻击报文取证功能，检测到攻击事件后将原始报文完整记录

下来，日志可本地存储并同时发送至日志服务器，可作为针对入侵者采取进一步

法律行动的有力证据。

流量可视化：在应用识别和攻击检测功能的基础上，提供流量分析功能，使

用户可以清晰、直观地感知网络内的流量异常变化、应用构成情况以及存在的攻

击和违规行为，为制定安全策略提供有力的信息支撑。

3.2.7.2.2防火墙（入侵防御模块）

区域边界入侵防护功能通过防火墙上开通入侵防御模块实现。主要在网络区

域边界/重要节点检测和阻止针对内部的恶意攻击和探测，诸如对网络蠕虫、间

谍软件、木马软件、溢出攻击、数据库攻击、高级威胁攻击、暴力破解等多种深

层攻击行为，进行及时检测、阻止和报警。

入侵防御实现的功能：

攻击检测功能：采用协议分析、模式识别、统计阀值和流量异常监视等综合

技术手段，深入分析L2-L7层网络判断入侵行为，准确地发现包括溢出攻击、RPC

攻击、WEBCGI攻击、拒绝服务、木马蠕虫传播、系统漏洞攻击等在内的11大类

超过4000种网络攻击行为。同时，具有专业的防逃逸检测手段，可以规避多种

黑客的逃逸行为，严密的检测、过滤网络中细小、隐蔽的攻击行为，有效监控网

络威胁。全面兼容了国际权威的CVE漏洞库、国内权威的CNNVD漏洞库，及时

保证用户网络发现新攻击威胁。

DDOS监控功能：对于网络中会造成巨大危害的DDOS攻击，通过构建统计

性攻击模型和异常包攻击模型，可以全面发现SYNflood、ICMPflood、UDPflood.

DNSFlood,DHCPflood.Winnuke、TcpSScan以及CC攻击等多达几十种DOS/DDOS

攻击行为，完成细粒的DDOS攻击防护。

27/48

工控安全解决方案

3.2.73恶意代码

3.2.7.3.1防火墙（防病毒模块）

在智能工厂信息系统的互联网出口边界的防火墙上开启病毒过滤功能，时进

出的网络数据流进行病毒、恶意代码扫描和和过滤处理，并提供病毒代码库的自

动或手动升级，彻底阻断外部网络的病毒、蠕虫、木马及各种恶意代码向网络内

部传播。

网络病毒过滤：对SMTP、POP3、IMAP、HTTP和FTP等应用协议进行病毒

扫描和过滤，通过恶意代码特征过滤，对病毒、木马、蠕虫以及移动代码进行过

滤、清除和隔离，有效地防止可能的病毒威胁，将病毒阻断在进入网络之前。

内容过滤：对数据内容进行检查，可以采用关键字过滤，URL过滤等方式来

阻止非法数据进入网络。支持通过文件内容识别文件类型，有效的阻断非法类型

的文件进入网络。

恶意代码防护：支持对移动代码如Vbscript、JAVAscript、ActiveX、Applet

的过滤，能够防范利用上述代码编写的恶意脚本进入网络。

蠕虫防范：可以实时检测到日益泛滥的蠕虫攻击，并对其进行实时阻断，从

而有效防止信息网络因遭受蠕虫攻击而陷于瘫痪.

病毒库升级：病毒过渡网关支持自动和手动两种升级方式，在自动方式下，

系统可自动到互联网上的厂家网站搜索最新的病毒库和病毒引擎，进行及时的升

级。

日志记录：提供完整的病毒日志、访问日志和系统日志等记录，并支持发送

给集中的日志审计服务器。

安全审计

3.2.7.4.1上网行为管理

在智能工厂信息系统的出口边界串行部署上网行为管理系统，对内网用户访

间互联网的行为进行分析和审计，防止内部员工上班时间违规上网或在网上发表

28/48

工控安全解决方案

违规言论，同时保存至少6个月的访问日志，以便协助公安调查取证。

上网行为管理能具体实现功能：

URL过滤：上网行为管理系统中内置千万级URL列表，将URL按照一定的

标准进行预分类，然后依据策略对内部用户访问的各种类别网页进行过滤。在过

滤URL记录的同时，可以对网络中所访问的URL进行记录和统计排名，以实现

对URL访问的监控和控制。员工依然可以上网浏览网页，但其访问时间和内容将

受到一定监控。

关键字过滤：上网行为管理系统提供对发帖的内容启用关键词过滤，对含有

攻击国家领导人、分裂国家言论、下流词汇，或者伤害公司利益的帖子进行审计

和过滤处理，并能对所有成功上传的内容进行详细记录以便事后查验。从而帮助

员工养成远离低俗内容的上网习惯，协助推动“互联网低俗内容整治”，帮助企

事业单位建外健康、规范、有序的上网环境.

黑名单控制：为了防止网络资源的滥用和方便管理员管理用户，上网行为管

理系统支持将用户加入黑名单的功能。对进入黑名单的用户可以采取惩罚机制，

惩罚期限到了之后，该用户又可以正常使用网络。用户一旦进入黑名单，当再次

上网时，网页回弹出已经进入黑名单、是什么原因进入黑名单的。灵活的黑名单

功能可以帮助管理员快速、准确的定位出谁肆意占有网络资源。对黑名单的控制，

有一个生效时间，在生效时间内才进行黑名单的控制。在生效时间外，不对用户

的速率和会话进行限制，用户产生的流量也不记入黑名单的流量配额内。

白名单管理：对于公司领导或者重要的用户，他们的上网不希望受到各种控

制策略的限制，也不希望上网的内容被记录。设备的白名单功能可以很好的满足

这些需求。符合白名单规则的流量，将不受“防火墙规则、流控规则、认证策略

规则、上网策略对象规则、黑名单规则”的控制；同时上网的流量和上网行为的

内容（如发送的邮件、发送的帖子、访问的网页、即时通讯记录等）将全部不记

录。

统计与报表系统：提供完整的互联网访问记录，根据IP/用户、应用、时间、

线路等参数对上网流量及行为进行全方位的记录，内容涵盖网络流量、带宽速率、

新建会话、活跃会话、Web访问、邮件收发、IM聊天、论坛发帖、P2P下载等

各种网络行为。从而帮助管理者了解网络整体使用情况，防止出现滥用、误用、

29/48

工控安全解决方案

盗用的行为。

上网行为监控：支持制定精细化的信息收发监控策略，有效控制信息的传播

范围，上网行为管理系统能够对以下信息发送进行监控与控制：WEB访问记录、

论坛发帖、电子邮件、即时通讯软件、FTP记录、Telnet记录。

上网行为审计：上网行为管理系统可记录全部的会话日志。通过检查完整的

会话日志，管理者可以跟踪网络中的任何操作，尤其可帮助公安部门稽查案件。

上网行为管理系统的会话记录包括：源IP、目的IP、协议类型、七层应用名称、

源端口、目的端口、是否进行NAT转换（可显示转换后的IP和端口）、会话产生

的时间和会话持续时间。

3.2・7・4.2无线AP

此区域通过放装无线AP,实现区域内的无线网络全覆盖，提供一个快速漫

游、无终端的无线网络，为智能工厂的业务开展阂建一个真正可用的无线网络，

并由ESP管理平台进行统一管控。

并且与上网行为管理进行深度融合、协同联动，实现对网内无线设备的配置

和管理。识别无线实名认证信息并对终端开展流控和审计，同时满足网监部门对

于上网行为的合规要求。

3.2.8安全计算环境设计

计算环境是应用系统的运行环境，包括应用系统正常运行所必须的主机（终

端、服务器、网络设备等）、应用系统、数据、存储与备份等，计算环境安全是

应用系统安全的根本。

计算环境的安全设计如下：

身份鉴别、访问控制

对服务器上的敏感数据设置访问权限，禁止非授权访问行为，保护服务器资

源安全；更是能够实现文件强制访问控制，即提供操作系统访问控制权限以外的

高强度的强制访问控制机制，对主客体设置安全标记，授权主体用户或进程对客

30/48

工控安全解决方案

体的操作权限，有效杜绝重要数据被非法篡改、删除等情况的发生，确保服务器

重要数据完整性不被破坏。

3.2.8.1.1堡垒机

通过在安全管理区部署堡垒主机，将所有IT组件的管理运维端口，通过策略

路由的方式，交由堡垒主机代理。实现运维单点登录，统一管理运维账号，管理

运维授权，并对运维操作进行审计记录（录屏和骐盘操作记录），并通过堡垒机

实现对运维角色与权限的划分，分为系统管理员、审计管理员、安全管理员等。

堡垒机的功能主要是：

单点登录：提供了基于B/S的单点登录系统，用户通过一次登录系统后，就

可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有

多帐号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和

口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时,

由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。单点登

录可以实现与用户授权管理的无缝链接，可以通过对用户、角色、行为和资源的

授权，增加对资源的保护和对用户行为的监控及审计。

集中帐号管理：集中帐号管理包含对所有服务器、网络设备帐号的集中管理。

帐号和资源的集中管理是集中授权、认证和审计的基础。集中帐号管理可以完成

对帐号整个生命周期的监控和管理，而且还降低了管理大量用户帐号的难度和工

作量。同时，通过统一的管理还能够发现帐号中存在的安全隐患，并且制定统一

的、标准的用户帐号安全策略。通过关联，可以实现多级的用户管理和细粒度的

用户授权。而且，还G以实现针对自然人的行为审计，以满足审计的需要。

身份认证：为用户提供统一的认证接口，提高认证的安全性和可靠性。

资源授权：提供统一的界面，对用户、角色及行为和资源进行授权，以达到

对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问

控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。

访问控制：提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度

的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命

令，该命令集合用来分配给具体的用户，来限制其系统