工控网络细分应该以较小的分区实现。流程A有专门为自己使用的防火墙，流程B有自己的防火墙，流程C也有。然后，每个防火墙都有一个交换机，每个交换机连接到特定流程的资产。后，流程A为流程A的PLC、安全系统和RTU设置了防火墙和交换机。通常，将防火墙设置为“nat”模式,即网络地址转换，意味着每个防火墙可以为每个流程组提供不同的IP地址范围。通过这种设置，每个流程就可以创建单独的防火墙策略。此外，在工厂层面也有一个防火墙和交换机。这样这个系统就有两个层或两个防火墙—一个围绕整个ICS网络，另一个围绕每个流程。宽域KYSOC-5000工控网络安全态势感知系统，采用闭环设计的安全事件的溯源和分析。冶金CDKY-FID4000工控网安集成厂家

安全管理中心a)部署统一安全管理平台，实现对宽域工业防火墙、工控主机卫士、工控安全隔离与信息交换系统设备的集中管理、安全事件的识别和分析。用户价值在办公室便可查看各设备的运行状态、产量和库存等，无需每天前往车间进行数据核对，提高企业的生产效率、降低调度周期及人员成本；对不同工艺段的DCS系统进行隔离防护，通过细致化宽域工业协议控制，只允许特定指令、函数和值域通过，做到小控制，确保安全生产；实现工程师站、服务器运行状态可视化、操作可视化、风险可视化，及时阻拦和发现可能存在的攻击行为，确保安全的工作环境；使用的基于安全芯片的移动存储设备进行文件备份，避免和传播恶意程序，减轻运维人员的工作。工业级工控网安自主研发宽域CDKY-2000S工控安全审计系统，旁路形式，不影响原有的网络结构。

宽域工业大数据往往是通过PLC、DCS、SCADA采集网关和录像机（安防摄像头）进行现场采集，四者的不同在于DCS是系统，其他的是硬件，PLC和SCADA采集网关在过程控制方面主要用于航天航空、发电、石化、钢铁、、制药、食品、石油化工、冶金、矿业、水处理、交通等领域，其中发电厂应用在大型火电厂的辅助车间、水电主控等。宽域工业防火墙：宽域工业防火墙产品，定位于帮助用户对来自网络的病毒传播、攻击等攻击行为进行过滤与防护，避免其对控制网络的影响和对生产流程的破坏。

宽域（kemyond）成立于2010年，是一家拥有网络交换通信、精确授时、安全、5G、宽域工业通用计算平台等多方位的宽域工业信息化基础设施解决能力的宽域。宽域专注于宽域工业互联网领域的应用研究与开发，“宽广互联、域享未来”是宽域发展宗旨，为用户提供安全可靠、有良好体验感的技术是宽域不懈的追求。宽域研发人员占比超过40%，与软著申请总量近百件，具备的技术创新与快速迭代的能力。目前拥有全系列宽域工业级交换机、北斗/GPS卫星宽域时间同步装置、5G路由器/CPE、网络安全监测装置、工控机通用计算平台、网络管理/安全运维与监测平台、串口服务/光纤收发器等一系列产品。可以提供从硬件底层到软件平台的解决方案，为用户构建稳定、效的网络生态的多种技术解决方案。宽域KYSOC-5000工控网络安全态势感知系统，可识别协议多，支持 248 种协议解析。

什么是ICS的零信任？ICS环境中的零信任原则就是通过确保只有经过安全身份验证的用户和设备才能访问网络中的每个流程或设备，从而维护严格的访问和通信控制。默认情况下，甚至内部通信也不信任。传统上零信任模型的大问题是复杂性，但安全性始终是一个过程，而不是一个设置后就不用管的事情。使用上述介绍的专门构建的ICS细分方法，操作、运营商和网络安全团队可以化繁为简。使用ICS宽域工业防火墙，可以映射ICS网络设备和通信，控制用户访问，实时监控所有通信，可以实现零信任控制，从而限制所有未经授权的访问。这种方法为ICS运营商提供了一条途径，无需重新设计整个ICS网络，就能获得增强的网络安全保护。宽域CDKY-FW3000工控防火墙，通过公安部安全与警用电子产品质量检测中心检测。工业级工控网安自主研发

宽域CDKY-FID4000工业隔离装置，操作系统的 TCP/IP 协议栈关掉。冶金CDKY-FID4000工控网安集成厂家

工控安全与传统安全的区别是不容有失，一旦出现信息安全事件将会影响到国计民生。工业基础设施需要加强安全防护刻不容缓，但是机械地加装安全防护产品并不能真正达到安全目标，不是部署大量的安全产品就可以达成的，要想实现高可靠的安全目标必须建立完整的安全体系框架，包括安全管理体系和安全服务体系。随着工业互联网的快速发展以及数字化转型的持续加速，工业企业内部敏感的生产环境和关键基础架构正面临日益严峻的网络安全风险，网络攻击者正在通过“攻击准备—数字化渗透—标准攻击—攻击开发和调优—验证”等方式发动组织严密的攻击，工业用户需要积极利用基于强大细分和专业分析的精心集成的解决方案，来保护不同场景下的OT网络安全。冶金CDKY-FID4000工控网安集成厂家