宽域（kemyond）成立于2010年，是一家拥有网络交换通信、精确授时、安全、5G、宽域工业通用计算平台等多方位的宽域工业信息化基础设施解决能力的宽域。宽域专注于宽域工业互联网领域的应用研究与开发，“宽广互联、域享未来”是宽域发展宗旨，为用户提供安全可靠、有良好体验感的技术是宽域不懈的追求。宽域研发人员占比超过40%，与软著申请总量近百件，具备的技术创新与快速迭代的能力。目前拥有全系列宽域工业级交换机、北斗/GPS卫星宽域时间同步装置、5G路由器/CPE、网络安全监测装置、工控机通用计算平台、网络管理/安全运维与监测平台、串口服务/光纤收发器等一系列产品。可以提供从硬件底层到软件平台的解决方...

网络安全产品是保障网络安全的基础，必不可少，但日常安全运维才是安全设备持续起效的驱动力。单纯依靠大量安全产品、设备堆叠的传统静态防护方式，想要抵御飞速发展的攻击技术基本是不可能的，必须由安全策略、人员、手段、流程协同起效，才能将系统防护能力比较大化。自动化网络防御体系的建设，能够大幅度提升对攻击行为的监控、处置效率，但其无法脱离技术团队的运营。无论是企业自身业务的发展变化，还是攻击手法的迭代更新，攻击行为的分析研判都要求安全专家及时对现行防护系统、策略、手段做出有针对性的优化和调整，才能保证防御体系持续生效。如果只看网络攻击事件造成的直接经济损失，据星球日报报道，*2022年10月就有40起重...

存在工控流量监视盲区智能制造工厂内部无宽域工业流量监测审计手段，无法对异常流量攻击、工控指令攻击和控制参数非授权篡改进行实时监测和告警。存在对网络入侵“看不见”、“摸不清”的情况。宽域工业互联网应用主要包括宽域工业互联网平台与软件两大类，其范围覆盖智能化生产、网络化协同、个性化定制、服务化延伸等方面。目前宽域工业互联网平台面临的安全风险主要包括数据泄露、篡改、丢失、权限控制异常、系统漏洞利用、账户劫持和设备接入安全等。对软件而言，大的风险来自安全漏洞，包括开发过程中编码不符合安全规范而导致的软件本身的漏洞，以及由于使用不安全的第三方库而出现的漏洞等。宽域KYSOC-5000工控网络安全态势感知...

面对日益严峻的网络安全形势，我国高度重视宽域工业控制系统网络安全工作，已出台相关法律法规、政策要求，如《中华人民共和国网络安全法》、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》、《关于深化制造业与互联网融合发展的指导意见》和《关于深化“互联网+先进制造业”发展宽域工业互联网的指导意见》等。企业高度重视宽域工业控制系统网络安全建设工作，按照国家法律法规、政策要求针对宽域工业控制系统进行工控安全建设，保障生产业务系统的稳定、高效、安全运行。宽域KYSOC-5000工控网络安全态势感知系统，采用闭环设计的安全事件的溯源和分析。水电工控防火墙工...

应用场景，宽域工业防火墙的应用场景主要包括以下三种：（1）部署于隔离管理网与控制网之间宽域工业防火墙控制跨层访问并深度过滤层级间的数据交换，阻止攻击者基于管理网向控制网发起攻击。（2）部署于控制网的不同安全区域间宽域工业防火墙可将控制网分成不同的安全区域，控制安全区域之间的访问，并深度过滤各区域间的流量数据，以阻止区域间安全风险的扩散。（3）部署于关键设备与控制网之间宽域工业防火墙检测访问关键设备的IP，阻止非业务端口的访问与非法操作指令，记录关键设备的所有访问与操作记录，实现对关键设备的安全防护与流量审计。伴随着宽域工业互联网的蓬勃发展，IT和OT的融合不断深入，宽域工业网络所面临的安全威胁...

自2020年以来，本来一直在寂静中进行的数字化转型，瞬间被提速，提前布局数字化的数字化工厂享受了数字化带来的便利，更是在大面积限电停电的情况下，根据企业自身的宽域工业大数据科学安排生产。加快了数字化的脚步，随着越来越多的宽域工业企业搭建数字化管理系统，宽域工业大数据将越来越多，其中宽域工业网络安全的防护尤为重要。每年宽域工业网络安全事故时有发生，宽域工业中的大中小企业都需要重视，特别是保密程度高、宽域工业数据不可外漏、有可逆向控制的设备……等等企业。然而不同的设备有不同的防护作用，不同的场景设备不同，下面从宽域工业互联网中宽域工业大数据的流向讲解。宽域KYSOC-5000，建设网络安全态势感知...

等保：2007年6月，公安部发布《信息安全等级保护管理办法》（公通字[2007]43号），标志着等级保护。等级保护：•《信息系统安全等级保护基本要求GB/T22239-2008》•《信息系统等级保护安全设计要求GB/T25070-2010》•《信息系统安全等级保护测评要求GB/T28448-2012》等保：2019年5月13日，国家市场监督管理总局、国家标准化管理委员会发布了3个网络安全领域的国家标准（2019年12月1日起实施）：•《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）•《信息安全技术网络安全等级保护安全设计技术要求》（GB/T25070-2019）•《信息...

一、宽域工业大数据的采集源——现场设备层宽域工业大数据是从工厂现场的设备层采集出来，不同的宽域工业企业有不同的现场设备，普遍是执行器和传感器，比如：阀门、仪表、温变、压变、RTU、智能仪表、摄像头、PDA……等等。这些设备具体分布在工厂的变配电系统、给排水系统、空压系统、真空系统、通风系统、制冷系统、空调系统、废水系统、软化水系统、智能照明系统、废气系统……等，也就是常见的厂务监控管理中数据来源的设备端。宽域CDKY-OSH8000，高可用性，在实现安全加固的基础上，不影响用户原有的运行。工厂自动化工业隔离装置工控网安推荐货源厂家后，这种细分的IT方法并不总是适合宽域工业操作。例如，如果用户的...

二、宽域工业大数据的采集——过程控制层现场设备层只会呈现设备的状态，如果没有采集和传输，只会停留在设备层，获取数据时，需要大量的人工采集、登记、分析、校正和筛选，损耗时间、物料和人力资源，还会出现数据错误的可能性。通过数据的实时采集，才让设备端的状态真实呈现，这个阶段介于设备与采集之间的过程控制，这个阶段不需要添加网络安全防护。煤炭的工控主站系统一般处于相对封闭的网络，随着“两化”（信息化与工业化）的深度融合，工控系统正越来越多的使用通用协议、通用操作系统、通用硬件和软件。由于以太网、无线设备无处不在，整个煤炭控制系统都可以和远程终端进行互联，病毒、木马、蠕虫等信息网络完全问题直接延伸到工控系...

近些年来，宽域工业领域的网络攻击事件频发，给很多企业造成了巨大的损失。国家对宽域工业互联网的安全问题也越来越重视。2016年10月，宽域工业和信息化部印发《宽域工业控制系统信息安全防护指南》，明确提出利用宽域工控边界防护设备对OT网与IT网或互联网之间的边界进行安全防护，禁止OT网直接与IT网或互联网连接。利用宽域工业防火墙隔离OT网内各安全区域，提升宽域工控网络的安全性。本文将介绍宽域工业防火墙的基本概念、功能特点以及应用场景宽域KYSOC-5000工控网络安全态势感知系统，采用闭环设计的安全事件的溯源和分析。石油化工工业级工控网安输出类型多样此外，优先考虑“安全内置于数据本身”的“以数据为...

工控网络细分应该以较小的分区实现。流程A有专门为自己使用的防火墙，流程B有自己的防火墙，流程C也有。然后，每个防火墙都有一个交换机，每个交换机连接到特定流程的资产。后，流程A为流程A的PLC、安全系统和RTU设置了防火墙和交换机。通常，将防火墙设置为“nat”模式,即网络地址转换，意味着每个防火墙可以为每个流程组提供不同的IP地址范围。通过这种设置，每个流程就可以创建单独的防火墙策略。此外，在工厂层面也有一个防火墙和交换机。这样这个系统就有两个层或两个防火墙—一个围绕整个ICS网络，另一个围绕每个流程。宽域CDKY-FID4000工业隔离装置，实现高速实时的数据交换技术策略，采用高速的双端口存...

宽域工业企业可以采用特定的宽域工业防火墙实现ICS细分，类似于IT细分方法。在典型的ICS网络中，假设这三个流程是这个网络上的三个关键资产。无需重新梳理或重新设计任何东西，就可以添加一个临时的ICS宽域工业防火墙，而不是IT防火墙。此ICS宽域工业防火墙可以监控ICS网络，阻断所有未经授权的流量，对异常流量发出警报，并允许经过授权的流量通过。这种方法使作业者能够更好地控制每个ICS细分点或区域。例如，如果过程A有一个本地HMI，操作员可以本地设置，使HMI只能与过程A的PLC、安全系统和RTU通信。此外，使用ICS宽域工业防火墙，操作员可以清楚地定义和批准HMI和PLC、安全系统和RTU之间的...

近年来，随着两化融合发展进程的不断深入，传统制造业的信息化、智能化已经成为必然的发展方向。在提升生产效率、降低生产成本的同时，将原本相对封闭的生产系统暴露，从而被动式地接收来自外部和内部的威胁，导致安全事件频发。它与商用防火墙等网络安全设备本质不同的地方是它阻断网络的直接连接，只完成特定宽域工业应用数据的交换。由于没有了网络的直接连接，攻击就没有了载体，如同网络的“物理隔离”。由于目前的安全技术，无论防火墙、UTM等防护系统都不能保证攻击的一定阻断，入侵检测等监控系统也不能保证入侵行为完全捕获，所以安全的方式就是物理的分开。宽域CDKY-FW3000工控防火墙，支持路由、透明、混合部署模式。石...

面对日益严峻的网络安全形势，我国高度重视宽域工业控制系统网络安全工作，已出台相关法律法规、政策要求，如《中华人民共和国网络安全法》、GB/T22239-2019《信息安全技术网络安全等级保护基本要求》、《关键信息基础设施安全保护条例》、《关于深化制造业与互联网融合发展的指导意见》和《关于深化“互联网+先进制造业”发展宽域工业互联网的指导意见》等。企业高度重视宽域工业控制系统网络安全建设工作，按照国家法律法规、政策要求针对宽域工业控制系统进行工控安全建设，保障生产业务系统的稳定、高效、安全运行。宽域CDKY-2000S工控安全审计系统，通过公安部安全与警用电子产品质量检测中心检测。智慧交通CDK...

单向导入系统：uSafetyGap宽域工业安全隔离单向导入系统采用“2+1”的物理架构。内部由两个主机系统组成，每个主机系统分别采用自主定制的安全操作系统，具有的运算单元和存储单元，双主机之间通过基于SFP模块单光纤连接，保证数据的物理单向传输。实现生产网络与外部网络的数据单向传输，有效阻断外部网络的病毒、木马及对生产网络的破坏与威胁。下一代防火墙：是一款可以应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。宽域CDKY-FW3000...

二、宽域工业大数据的采集——过程控制层现场设备层只会呈现设备的状态，如果没有采集和传输，只会停留在设备层，获取数据时，需要大量的人工采集、登记、分析、校正和筛选，损耗时间、物料和人力资源，还会出现数据错误的可能性。通过数据的实时采集，才让设备端的状态真实呈现，这个阶段介于设备与采集之间的过程控制，这个阶段不需要添加网络安全防护。煤炭的工控主站系统一般处于相对封闭的网络，随着“两化”（信息化与工业化）的深度融合，工控系统正越来越多的使用通用协议、通用操作系统、通用硬件和软件。由于以太网、无线设备无处不在，整个煤炭控制系统都可以和远程终端进行互联，病毒、木马、蠕虫等信息网络完全问题直接延伸到工控系...

宽域工业安全审计：工控安全审计系统正是专门为宽域工业控制网络量身打造的工控网络安全产品。它能实时监测工控网络的状态，检测工控网络中入侵行为，也能根据用户定义的审计策略，追踪工控网络安全事件，它能对工控网络的数据进行留存。宽域工业安全卫士：宽域工业安全卫士是立足于工控行业，为广泛应用于该行业各个环节（如工控田、管道、炼化、销售等）的上位机（工程师工作站、操作员工作站）、服务器、销售终端等Windows系统提供专门安全防护的安全产品。宽域CDKY-FID4000工业隔离装置，操作系统的 TCP/IP 协议栈关掉。智慧交通工控安全审计系统工控网安批发厂家网络和设备细分应该是所有关键宽域工业控制系统(...

后，这种细分的IT方法并不总是适合宽域工业操作。例如，如果用户的HMI位于防火墙之外，会发生什么情况?那在HMI和每个流程之间都要保留双向的业务或者为现场分别配置一个HMI。ICS细分的IT方法是有益的，可以与借助防火墙一起协同工作。但在实践中，特别是对针对控制、可用性和可靠性的操作，棘手的问题莫过于随着时间的推移进行重新梳理、设计所有资产并进行维护。通过对ICS的市场的深入分析，自主研发了安全细分的宽域工业防火墙产品。该产品通过多方位立体化的需求分析并结合细分方法论进行设计研发，符合中国工控安全市场的实际需求，可广泛应用于电力、石油、石化、、水利、轨道交通、智能制造等领域，为SCADA、DC...

工控网络细分应该以较小的分区实现。流程A有专门为自己使用的防火墙，流程B有自己的防火墙，流程C也有。然后，每个防火墙都有一个交换机，每个交换机连接到特定流程的资产。后，流程A为流程A的PLC、安全系统和RTU设置了防火墙和交换机。通常，将防火墙设置为“nat”模式,即网络地址转换，意味着每个防火墙可以为每个流程组提供不同的IP地址范围。通过这种设置，每个流程就可以创建单独的防火墙策略。此外，在工厂层面也有一个防火墙和交换机。这样这个系统就有两个层或两个防火墙—一个围绕整个ICS网络，另一个围绕每个流程。宽域KYSOC-5000工控网络安全态势感知系统，识别威胁类型多,支持 65 类威胁监视。光...

近些年，网络空间威胁形势愈演愈烈，影响范围与维度不断扩展，这也加速着网络安全政策法规的密集出台。网络安全和信息化建设是一体之两翼、驱动之双轮，要达到高质量的网络安全，需要与业务同步规划、同步建设、同步使用，并且持续完善，合规只意味着满足比较低标准。由内部向外部或者是横向发起的网络攻击也是常见的网络攻击行为。近些年，随着勒索病毒等恶意程序的猖獗，企业对内部威胁的重视程度也在迅速上升。内部威胁是来自组织内部的威胁，这可能来自雇员、承包商或有权访问组织系统和数据的第三方。当有恶意意图的人获得访问组织系统和数据的权限时，就可能发生内部威胁；当拥有授权访问权限的人安全意识不强、滥用其特权或操作不当时，也...

传统的商用防火墙是目前网络边界上常用的一种防护设备，它所提供的主要功能包括访问控制、地址转换、应用代理、带宽和流量控制、事件审核和报警等。商用防火墙诞生于传统信息网络环境下，虽然经过了多年的发展和完善，但其应用环境还是局限于企业信息网络，它对于宽域工业网络环境还有诸多的不适应。也正是基于这一现实，宽域工业防火墙被开发应用。该企业总体分为办公楼（管理大区）与智能制造工厂（生产大区）。智能制造工厂内包含若干生产车间，车间内控制器、工程师站和摄像头通过接入交换机（主、备）、光纤盒与工厂内汇聚交换机相连；智能制造工厂内工坊、服务器区、无线接入区、临时接入区和立体仓库均接入汇聚交换机。智能制造工厂通过汇...

六、宽域工业大数据的第四道防线——企业网络出口边界防护当生产数据上云上平台时，管理者在随时随地能够对生产数据的实时监控，这往往只有监控的权限，下一代防火墙就是第四道防线的重点安全防护。当前，我国宽域工业互联网平台网络安全防护发展尚处起步阶段，宽域工业互联网应用环境也出现了较多安全问题，宽域工业制造业中较多采用传统网络安全防护技术和设备，用于构建安全防护体系架构，致使整体安全解决方案漏洞百出，这也是当前宽域工业互联网发展所面临的挑战。数字化转型已成为宽域工业制造业的发展趋势，同时宽域工业网络安全不容忽视，如何选取正确的网络安全解决方案宽域CDKY-2000S工控安全审计系统，识别已知的攻击活动并...

工控安全与传统安全的区别是不容有失，一旦出现信息安全事件将会影响到国计民生。工业基础设施需要加强安全防护刻不容缓，但是机械地加装安全防护产品并不能真正达到安全目标，不是部署大量的安全产品就可以达成的，要想实现高可靠的安全目标必须建立完整的安全体系框架，包括安全管理体系和安全服务体系。随着工业互联网的快速发展以及数字化转型的持续加速，工业企业内部敏感的生产环境和关键基础架构正面临日益严峻的网络安全风险，网络攻击者正在通过“攻击准备—数字化渗透—标准攻击—攻击开发和调优—验证”等方式发动组织严密的攻击，工业用户需要积极利用基于强大细分和专业分析的精心集成的解决方案，来保护不同场景下的OT网络安全。...

网络和设备细分应该是所有关键宽域工业控制系统(ICS)进行深度安全防御的一种方法。它提供了一个相比于简单的周界防御更好的安全加固方式。因为在边界防御被攻破后就没有更有效的阻止方式。细分和再细分（细分又称为分段，再细分又称为微分段）防止了IT环境中的无限制的访问，在ICS环境中尤其如此。后，工厂级别的防火墙通常是IT管控的资产。防火墙通常设置为允许端口80，也就意味着可以访问任何网站。如果ICS环境中的用户进入某个站点无意中下载了恶意软件，也不会进行标记记录。如果有人将他们的笔记本电脑接入ICS网络或进行无线连接，尤其还是有访问外网权限的，这将导致ICS网络处于不可接受的高风险中。宽域KYSOC...

此外，优先考虑“安全内置于数据本身”的“以数据为中心”的方法。为了阻止对制造公司的攻击，是时候采取从“扎高篱笆”的方法转到数据安全防护的步骤，即从阻止攻击者访问数据转移到保护数据本身。这就意味着无论数据存在于何处，无论是静止、传输还是使用，都应对其进行保护。这包括以数字形式存储在物理设备上的静止数据，网络中的传输数据，主动访问、处理或加载到动态内存中的使用中数据。通过采用100％加密的原则，安全专家不再需要花费数小时来调整数据分类规则，从而可以对“重要”数据进行更严格的保护。无论数据存在何处都对其进行安全保护，这可以确保即使数据被盗，仍受到保护，这意味着数据对于窃取者来说是无用的——即使是公司...

假设有一家企业，这家企业运行三个工艺流程。有三种不同的控制系统，执行三种不同的操作。流程A有PLC、安全系统、RTU；流程B有PLC、安全系统、RTU；流程C拥有相同的资产。这些流程组成了它们的ICS网络。通常，在工厂级有一个防火墙。这个防火墙可以是针对整个工厂或者只是针对ICS网络；这两种情况都有。但是让我们假设客户的网络安全更先进一些，并且他们在流程工厂级别有防火墙。对于本例，在每个防火墙的末端都有一个交换机。交换机允许多个连接进出，防火墙实现规则，任何试图通过防火墙进入ICS的通信都被阻止。宽域CDKY-2000S工控安全审计系统，异常行为模式加以统计。水电工业隔离装置工控网安主流品牌网...

参照等级保护、防护指南等要求，结合兄弟单位的成功案例，制定了基于“行为白名单”的“纵深安全防御”技术方案，满足等保2.0“一个中心、三重防护”安全体系，建立工控边界隔离“白环境”、工控网络异常检测“白环境”、工控主机安全免疫“白环境”三重积极防御体系，通过统一安全管理中心集中管理运维，实现工控网络高效纵深防御。安全计算环境a)对各操作员站/工程师站、数采服务器及PIMS服务器系统进行安全加固，包含：账户策略、密码策略、审计策略及介质管控等；b)对操作员站/工程师站、数采服务器及PIMS服务器系统进行杀毒，并部署“白名单”应用软件，防范恶意代码和漏洞利用。宽域CDKY-OSH8000工业主机卫士...

区域间缺乏访问控制、恶意代码防护手段。该企业办公楼（管理大区）与智能制造工厂（生产大区）间未做有效隔离；智能制造工厂内部各生产车间、工坊、服务器区、无线接入区、临时接入区以及立体仓库之间未做有效隔离，存在网络层面各区域间非授权访问风险及病毒横向传播风险。宽域工业防火墙是国内于宽域工业控制安全领域的防火墙产品，能够有效对SCADA、DCS、PCS、PLC、RTU等宽域工业控制系统进行信息安全防护。该产品主要用于解决宽域工业基础设施在网络环境可能存在病毒、、敌对势力的恶意攻击以及工作人员误操作时的安全防护问题。宽域CDKY-FID4000，可以文件单向传输、数据库单向同步、实时数据流单向广播等不同...

工控安全与传统安全的区别是不容有失，一旦出现信息安全事件将会影响到国计民生。工业基础设施需要加强安全防护刻不容缓，但是机械地加装安全防护产品并不能真正达到安全目标，不是部署大量的安全产品就可以达成的，要想实现高可靠的安全目标必须建立完整的安全体系框架，包括安全管理体系和安全服务体系。随着工业互联网的快速发展以及数字化转型的持续加速，工业企业内部敏感的生产环境和关键基础架构正面临日益严峻的网络安全风险，网络攻击者正在通过“攻击准备—数字化渗透—标准攻击—攻击开发和调优—验证”等方式发动组织严密的攻击，工业用户需要积极利用基于强大细分和专业分析的精心集成的解决方案，来保护不同场景下的OT网络安全。...

宽域工业大数据往往是通过PLC、DCS、SCADA采集网关和录像机（安防摄像头）进行现场采集，四者的不同在于DCS是系统，其他的是硬件，PLC和SCADA采集网关在过程控制方面主要用于航天航空、发电、石化、钢铁、、制药、食品、石油化工、冶金、矿业、水处理、交通等领域，其中发电厂应用在大型火电厂的辅助车间、水电主控等。宽域工业防火墙：宽域工业防火墙产品，定位于帮助用户对来自网络的病毒传播、攻击等攻击行为进行过滤与防护，避免其对控制网络的影响和对生产流程的破坏。宽域CDKY-FID4000工业隔离装置，用双端口 RAM 实现数据的存储和转发。国内工业主机卫士（主机加固）工控网安批量按需定制本文提到...