解决方案

CONTENTS

工业信息安全实验室

荣誉资质

关于我们

背 景

等级保护2.0建设流程

工控安全自主可控解决方案

产品谱系

典型案例

服务业绩

01

03

04

05

08

09

13

27

31

工业信息安全

解决方案

01

COMPANY

PROFILE

工业信息安全

解决方案

关于我们

02

浙江中控技术股份有限公司（简称“中控技术”或“公司”，688777.SH）成立于1999年，是国内领

先的流程工业智能制造整体解决方案提供商。

公司致力于满足流程工业的产业数字化需求，深耕集散控制系统（DCS）、安全仪表系统（SIS）、网

络化混合控制系统等自动化控制系统，并以此为基础，大力布局和发展工业软件、行业解决方案、仪器仪表

等产品及线上线下结合的服务模式，形成了较为完善的“工业3.0+4.0”产品及解决方案架构，连续多年入

选工信部智能制造系统解决方案供应商和示范企业。

公司坚持自主创新，持续聚焦行业痛点和热点，通过国内100余家实体5S店及海外多家本地化公司运营

相结合的营销网络建设，以及“5T技术”、“平台+工业APP”、“5S店+S2B平台”为三大核心战略控制

点的技术创新、商业模式创新，积极服务于工业3.0+工业4.0，其产品及解决方案已广泛应用在油气、石

化、化工、电力、制药、冶金、建材、造纸、新材料、新能源、食品等行业领域，覆盖全球50多个国家和地

区。

同时，作为国内率先获得“网络安全服务资质”的工业自动化供应商，中控技术参与起草多项工控安全

国家标准，拥有多名从业十多年的软硬件开发、技术支持、安全服务的资深工控安全专家，自主研发工控网

络安全产品，产品具备高可靠性，适配严苛工控环境。目前，中控技术实施并验收的网络安全项目已超过

5500个，据工控网统计，截至2022年，中控技术工控安全产品市场占有率位列工业自动化厂商第一名。

核心产品主机安全卫士和工业防火墙等产品的出货量及在线数量均位于市场前列；工控安全隔离网关和

工控安全管理平台，拥有独立自主的知识产权和多项专利技术，技术能力自主可控；内建安全增强控制器遵

循IEC 62443标准，通过Achilles Level Ⅱ国际认证，其通讯可靠性达到世界先进水平；拥有业内领先的安

全运营体系解决方案，基于人工智能和大数据的SSOC中控网络安全运营平台，可实现动态预警并及时处理

工业信息安全风险。

中控技术工业信息安全解决方案的服务用户包括中石化中石油中海油、榆林化学、万华化学、国家管

网、浙能集团、中核集团、海螺水泥、齐鲁制药、内蒙包钢等知名企业，并成功助力多家工控企业通过等保

2.0测评，增强企业安全防护能力的同时解决合规需求。

工业信息安全

解决方案

03

工业信息安全实验室

中控技术设立独立的工业网络安全实验室，拥有高仿真对抗平台以及漏洞挖掘检测平台，以便展开工控

网络安全的研究、攻防演练，为工业控制系统安全评测提供帮助，以达到提高网络安全服务水平，掌控工控

安全最新技术。

态势感知

工控网络安全应急响应中心

攻击溯源

沙箱与逆向分析

工业信息安全

解决方案

04

国家认定企业技术中心

国家地方联合工程实验室

浙江省高新技术企业

浙江省流程工业自动化与系统重点实验室

工业信息安全信息报送与通报试点工作优秀单位

2017、2018中国自动化领域年度优质工业安全服务商

国家技术创新示范企业

工业信息安全应急服务支撑单位

信息系统建设和服务能力等级证书CS4级

2020年网络安全技术应用试点示范名单

工信部2022年工业信息安全优秀应用案例

工业和信息化部商用密码应用产业促进联盟常务理事单位

ISO27001信息安全管理体系安全认证证书

ISO9000质量体系认证证书

CCRC信息安全风险评估服务资质

CCRC信息系统安全集成服务资质

CCRC信息系统安全运维服务资质

CNITSEC信息安全服务资质证书

IEC62443-2-4工业控制系统安全集成服务认证

国家科技进步二等奖

工控安全防火墙安全专用产品销售许可证

主机安全卫士安全专用产品销售许可证

工控安全隔离网关安全专用产品销售许可证

工控安全管理平台安全专用产品销售许可证

USB安全隔离终端安全专用产品销售许可证

入侵检测系统安全专用产品销售许可证

日志审计系统安全专用产品销售许可证

成熟度等级 证书 CMMI 5

麒麟软件NeoCertify认证

ECS-700系统网络安全Achilles L2认证证书

TCS-900系统网络安全Achilles L2认证证书

多个发明专利和软著证书

产品资质

公司资质

荣誉资质

工业信息安全

解决方案

工信部2022年工业信息安全监测应急优秀实践案例

CCRC信息安全应急处理服务资质

国家工业信息安全漏洞库（CICSVD）2022年度成员单位

05

背 景

2010年11月 “震网”事件

某国核设施遭“震网”病毒攻击，离心机严重受损，

被迫推迟发电。

2015年12月 某国电网遭攻击

某国电网遭BlackEnergy攻击，导致大规模停电。

2017年05月 永恒之蓝勒索病毒

永恒之蓝病毒爆发，波及105个国家，涉及能源、电力、

交通等重点行业。

2022年06月 西北工业大学遭遇网络

窃密攻击

国家计算机病毒应急处理中心发布关于我国西北工业大学

遭受境外网络攻击的调查报告，报告显示网络攻击源头系

美国国家安全局（NSA）

全球工控安全事故频发

工业信息安全

解决方案

06

合规要求迅速提升，市场面临确定性发展情境

2017年6月1日，《中华人民共和国网络安全法》开始生效，其中第二十一条明确规定了“国家实行网

络安全等级保护制度”。

2019年5月，等保2.0相关的《信息安全技术 网络安全等级保护基本要求》等国家标准正式发布，并于

2019年12月1日正式开始实施；

《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》等系列国家标准

工业信息安全

解决方案

07

网络安全等级保护条例 关键信息基础设施安全保护条例

2021年4月27日，国务院第133次常务会议通过《关键信息基础设施安全保护条例》，保障关键信息基

础设施安全，维护网络安全，自2021年9月1日起施行。

2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安

全法》，自2021年9月1日起施行。

系列法律的颁布提升了网络安全的重视程度，其中等级保护工作是保障我国网络安全的基本动作，涵盖

全行业，目前各单位需按照所在行业及保护对象重要程度，依据网络安全法及相关部门要求，按照“同步规

划、同步建设、同步使用”的原则，开展等级保护工作。近年来，工控网络安全逐步提升到“国家安全”的

战略层面。

工业信息安全

解决方案

等级保护2.0建设流程

中控技术基于国家网络安全等级保护相关标准和文件的要求，结合客户组织架构、业务要求、信息系统

实际情况，协助客户进行系统定级、系统备案、等级保护差距评估服务，制定完整的安全整改建议方案，协

助客户落实整改实施等工作。

现状调研 定级 备案 差距分析

持续运营 等级测评 整改实施 整改设计

收集资料

管理类

技术类

规划类

监管类

梳理业务系统

用户范围

业务功能

业务数量

网络部署

梳理资产

网络设备

安全设备

主机、虚拟机

中间件

协助整理定级

备案材料

《定级备案表》

《等级报告》

协助实施备案

提交《备案表》

领取《等级保护

备案证明》

差距分析

管理类

技术类

差距分析报告

安全保障框架

管理类

技术类

整改建设方案

云计算安全方案

工控系统安全方案

物联网安全方案

移动互联安全方案

安全管理体系

整改

信息安全组织

信息安全管

理制度体系

安全技术体系

整改

安全域整改

安全加固

安全产品

采购及部署

安全技术服务

安全运维服务

风险评估服务

等保建设咨询服务

测评机构入场

测评对象

测评计划

测评配合人员

协助管理测评

协助管理访谈

协助介绍说明

管理制度体

协助技术测评

协助技术访谈

协助说明已实施

技术措施

08

工业信息安全

解决方案

09

工控安全自主

可控解决方案

工业信息安全

解决方案

10

中控技术基于丰富的工控领域产品研发和工程实践经验，对工业互联网信息安全脆弱性和风险系数进行

了综合分析，结合智能工厂一体化集成总体框架，推出了“固防管®”(即“内建安全、纵深防御、专

业运营”)原则为核心的综合防护产品及解决方案，构建自主可控信息安全体系。

在底层构建内建安全产品体系，确保产品具有网络安全“健壮性”，在顶层规划部署网络安全管理及网

络安全运维体系确保网络安全的长期、持续有效，在中间层建设包括安全通信网络、安全区域边界、安全计

算环境以及安全管理中心的纵深防御体系。

控制系统 私有协议

内建安全应用

软件

安全SW

健壮拓扑

安全基线

主机安全卫士

安管平台

网闸

防火墙

安全网关

病毒查杀

入侵检测

堡垒机

态势感知

数据库审计

流量审计

日志审计

网络安全评估

SaaS服务

应急响应

SSOC

AI-CIO

站点云监测

等保建设咨询

管：专业运营

防：纵深防御

固：内建安全

中控技术工控安全自主可控技术架构

工业信息安全

解决方案

11

ERP OA Web 办公终端

信息网

工业安全隔离网闸

生产管理层

数据中心

OPC服务器 操作员站

DCS交换机

APC

服务器

工业

防火墙

OPC

服务器 工程师站

内建安全

SIS操作员

SIS交换机

SIS工程师站

工业入侵检测系统

工控网络安全监测系统

USB安全隔离终端

内建安全

1装置DCS系统 1装置SIS系统

ICM

IDS

ICM

IDS

SIS机柜

DCS交换机 SIS交换机

DCS机柜

工业安全隔离网关

L4

企业管理层

L3

生产管理层

L2

过程监控层

L0

现场设备层

L1

现场控制层

日志上传，策略下发

日志上传，策略下发

安全管理中心：

在安全管理区部署集中安全管控设备，如工控安全管理平台、日志审计系统、运维堡垒机，对工控安全

设备状态、工业主机安全状态、工控网络安全事件等安全信息进行集中收集、处理，对工控网络安全态势进

行分析、展示、报警。

安全通信网络：

单独划分网络安全管理区域；采用加密算法及模式AES-CCM*,对操作站和控制站之间的通信进行加密

和完整性校验；采取灵活的密钥管理方案，实现每个控制站使用不同的密钥，支持国密加密和认证。采用命

令白名单机制，仅允许系统通讯所需命令通过。

安全区域边界：

各安全域边界部署工业防火墙、网关，实现边界隔离保护；旁路部署工业网络安全监测系统、入侵检测

系统，达到深度安全防护。

工业信息安全网络拓扑图

工业信息安全

解决方案

12

下一代防火墙

安全管理区

工业安全隔离网关 工业防火墙

工控态势感知平台 日志审计系统 运维堡垒机

LAS

OPC服务器 操作员站

DCS交换机

APC

服务器

工业

防火墙

OPC

服务器 工程师站

内建安全

SIS操作员站

SIS交换机

SIS工程师站

工业入侵检测系统

工控网络安全监测系统

USB安全隔离终端

内建安全

2装置DCS系统 2装置SIS系统

ICM

IDS

ICM

IDS

DCS交换机

DCS机柜 SIS机柜

SIS交换机

PLC交换机

内建安全

操作员站 工程师站

现场计量设备

ICM

IDS

PLC

工业入侵检测系统

工控网络安全监测系统

USB安全隔离终端

下一代防火墙

图例： 主机安全卫士

日志上传，策略下发

安全计算环境：

部署主机安全卫士，维护工业主机安全；配置工控安全基线，对工控上位机、服务器、网络安全设备进

行安全加固；部署日志审计系统，进行安全行为审计；部署容灾备份恢复系统，建立健全控制系统“最后一

道防线”。

安全物理环境：

主要考虑物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度

控制、电力供应、电磁防护等方面。

安全运维体系：

网络安全建设方案中包括可持续提供的网络安全运维服务，运维服务内容包括但不限于定期巡检、特征

库升级、应急事件响应以及网络安全事件分析。

容灾备份系统 漏洞扫描系统 工业信息安全运维服务

SSOC

工业信息安全

解决方案

产品谱系

13 工业信息安全

解决方案

14

产品概述

内建安全是中控技术针对工控系统核心控制器的防护设计，以抵御某些针对控制器的恶意攻击或无意的操作

失误，使控制器自身保持健康运行状态。内建安全增强控制器（可信启动），集成中控技术自主开发的安全

盾，具备对SC-NET数据协议的深度解析、智能学习、对异常流量的报警和阻断功能，内建安全增强控制器

遵循IEC62443标准自主研发，通过CE(欧盟市场安全认证标志)认证和Achilles Level Ⅱ国际认证，其通讯可

靠性达到世界一流水平。

内建安全增强控制器

功能特点

控制器实时检测软硬件状态；

AO/DO 模块在与控制器断开通信后进入故障安全状态，此时，根据工艺要求的不同，系统可按预先组

态选择：输出保持或者输出预设安全值；

双机冗余，实现自动同步、勿扰切换、在线更换；

三个微处理器协同处理，基本扫描周期可组态，响应速度快、实时性高；

命令白名单硬件按钮，监控模式下无法进行任何操作；

灵活的密钥管理方案；

支持国密加密和认证；

采用命令白名单机制，仅允许系统本身命令通过；

增加会话管理，防止会话欺骗和劫持；

增强的通讯健壮性，实现细颗粒度的流量控制；

支持动态度量，在程序运行阶段对内存、程序运行状态等进行动态度量，防止运行时态的篡改等。

工业信息安全

解决方案

15

产品概述

主机安全卫士是一款应用于工业主机防护的软件产品。其采用“白名单+黑名单”防护机制提供多层次安全

保护，可对主机进行全面扫描，生成可信任的白名单列表库，只允许运行白名单中的程序；同时具备强大黑

名单功能，可对系统文件进行深度扫描，识别并查杀恶意代码。主机安全卫士能有效阻止病毒、木马及0-

day漏洞的感染和被利用，保障工业环境中的工程师站、操作员站、SCADA服务器、数据库服务器、OPC服

务器、接口机等工业主机的安全。

主机安全卫士

功能特点

“白+黑”双重防护

采用“白名单+黑名单”双重防护机制，能够阻止任何白名单外程序运行，同时支持病毒查杀，确保白

名单内文件的安全性，为主机提供双重安全防护。

白名单驱动机制

预制白名单库，支持基于“端口+程序”策略的网络白名单防护，阻止信任端口或程序之外的网络访

问，有效抵御各类网络攻击和病毒传播。

强大的黑名单查杀功能

可根据黑名单对系统文件进行深度扫描，识别并查杀恶意代码

低消耗、高稳定

具备良好系统兼容性，支持Windows及Linux操作系统，具备轻量级、低消耗、稳定性等特点契合工控

环境的应用需求。

批量统一管理

支持安管平台统一管理，可实现网络内所有主机安全卫士配置一键下发、补丁更新、软件/病毒库升级

等功能，方便快捷。

工业信息安全

解决方案

16

产品概述

工控防火墙GW031是面向工业控制系统网络的逻辑隔离类安全防护产品。产品基于“白名单”设计，内置

深度报文解析模块与深层防护引擎，支持OPC、Modbus、SCNet等多种通用工业控制协议，集成DCS系统

协议位号级防护功能，通过“解析+跟踪+防护”的方式构建“三位一体”工控网络安全通信模型，识别并

拦截非法通信行为，保障工业控制系统网络的安全性与可靠性。

工控防火墙

功能特点

工业安全策略访问控制

支持“七元组”安全策略配置，拦截过滤工业控制网络中未经授权的访问，阻止来自外部的安全威胁，

有效保护工业控制系统的网络安全。

工控协议细粒度位号级访问控制

产品支持OPC、Modbus、SCNet等多种通用工控协议，集成工控协议深度解析防护引擎，支持最高位

号级访问控制，具备深度解析、状态跟踪、应用行为限制、位号控制等多种深度防护手段，识别拦截异常工

控协议应用行为，多维度保障工业控制系统应用行为安全

深度结合工业环境需求

产品内置DCS系统深度一体化防护，具备域间隔离、站间通信等典型DCS系统部署场景一键配置，高度

融合DCS系统网络特点与通信协议，支持位号级DCS系统行为控制，实现DCS系统网络区域安全防护。

多种应用场景部署方案

支持OPC、域间隔离配置、站间通信等多种工业控制系统典型场景配置，同时支持基于网络、工业协

议、安全策略、服务等自定义场景配置，可根据网络场景与安全需求灵活配置，实现各类复杂工控场景下的

部署应用。

工业级硬件品质

EMC工业三级,工作宽温达-20℃～＋70℃（环境温度），符合 G3 防腐标准，支持电源冗余/以及

(9~24)V DC±20%宽幅输入。平均功耗低于5W，无风扇散热设计。

工业信息安全

解决方案

17

产品概述

工控安全管理平台是用于统一管理整个工业网络中工控安全设备的一体化产品。通过该平台可以对主机安全

卫士、工控防火墙、工控安全隔离网关、网络监测系统、入侵检测系统、日志审计系统等安全产品进行统一

集中管理，自动采集工控安全设备的操作、防护日志，便于实时掌握工控网络系统安全现状，降低网络安全

运维成本、提高工业安全事件响应效率。

工控安全管理平台

功能特点

多平台集中管理

面向工业领域，支持主机安全卫士、日志审计系统、入侵检测系统、工控安全隔离网关等多种工业网络

安全产品的统一管控；

多种配置操作

支持远程管控，包括白名单扫描、病毒查杀、补丁更新与管理、版本更新、病毒库更新等配置操作；

全面的安全日志审计

支持对工控安全设备的日志数据采集与集中管理，包括接收第三方syslog数据及自身数据转发等多种形

式；

准确高效的事件告警

实时监控安全设备的防护状态，及时捕捉不安全事件，实现向控制网推送重要网络安全报警信息；

高性能稳定运行

保证平台自身稳定的同时构造流畅的远程配置终端环境，可同时接入500个终端进行管控。

工业信息安全

解决方案

18

产品概述

工控安全隔离网关是用于解决工业信息网与控制网间不同安全区域间边界防护问题的产品。产品内置双主机

异构系统，通过专用硬件，实现工业数据信息摆渡，解决不同安全区域网络间的网络隔离与数据交互问题。

产品还支持网络访问控制和常见攻击检测，实现数据采集+边界防御二合一，确保网络通讯的安全性，同时

减少生产管理层与过程控制网络互联场景下的综合成本。

工控安全隔离网关

功能特点

高安全性

双主机异构系统，剥离网络协议信息，采用非TCP/IP私有协议，通过专用硬件，实现工业数据交换，可

彻底阻断了网络攻击路径。其中信息侧(外置机)采用非通用协议栈、无操作系统设计，无可利用漏洞，提升

了系统的安全性。

丰富的工业协议引擎

通 过 工 业 协 议 引 擎 ， 实 时 检 测 工 控 协 议 异 常 内 容 ， 阻 断 非 法 流 量 ， 引 擎 支 持 O P C

DA/AE、ModbusTCP、IEC104等20余种工业协议数据分析。 同时是业内唯一可支持工业数采接口实时数

据库的设备，支持VxBase、VxHistorian、iSYS、VxMES以及supOS实时数据库采集协议无缝连接，时间

滞后指标行业领先。

位号级控制与过滤

产品提供位号级访问控制功能，根据位号白名单访问控制策略，实现位号的读写权限控制及值控制，防

止来自外部网络连接的非法操作。

高效的工业数据交换能力

具有高效的实时数据交换性能，含4个采集端口及2个转发端口，最高可支持2万点I/O位号采集与过滤

控制

高可用性

支持“断线续传”，当信息网一侧出现网络中断时，缓存所采集的工业数据，待网络恢复正常后，可将

历史数据快速上传至信息网。产品提供双机热备部署方式，防止设备故障引发数据传输中断。

工业信息安全

解决方案

19

产品概述

中控日志审计分析系统是基于大数据架构的新一代日志审计系统，可针对大量分散设备的异构日志进行集中

采集、统一管理、存储、统计分析的一体化产品。该产品能够实时将工业控制网络中不同厂商的网络设备、

安全设备、服务器、操作员站、数据库系统的日志信息，进行统一收集、管理和分析。它能够高效、精准、

全面地帮助用户发现日志中蕴含的各种安全风险，便于用户对网络中的安全问题进行定位、追踪、取证，以

确保客户网络及业务的顺畅运行。

日志审计系统

功能特点

全面集中的工业日志管理

支持 SYSLOG、SNMP Trap、FTP、JDBC/ODBC 等多种日志采集方式；可采集、管理和分析交换机、

防火墙、操作员站、数据库系统等各类设备的操作信息。

强大数据强化技术

提供一套简洁有效的工业日志统一分类方式，利用日志范式化、多源关联分析等技术将日志快速标准

化，并基于安全分析需要进行工业数据的过滤和强化，丢弃无法使用的噪音信息，提升日志查询和分析效

率。

海量的日志处理能力

在并发内存处理机制方面，处理效率是其它采用磁盘访问方式解决方案的数倍，借助离线计算引擎在小

时级别内，可完成对海量日志的处理，解决工业日志分散、种类繁多、数量巨大的问题。

灵活的扩展存储方案

提供了多种日志存储扩展方式，支持按需选择日志存储扩展方案，可满足《网络安全法》规定至少留存

6 个月日志的要求。

工业信息安全

解决方案

20

产品概述

工业入侵检测系统是针对工业控制网络设计的进行网络安全检测及防护的一体化设备。系统通过对工控网络

流量的采集、分析、监测，快速有效识别出工业控制网络中存在的网络异常行为和网络攻击行为，并进行实

时告警，同时详实记录网络通信行为。新一代产品从智能识别、环境感知、行为分析三方面加强了对应用协

议、异常行为、恶意文件的检测，为工业控制系统的安全事故调查提供坚实的基础，为企业提供了一套看得

见、检得出的全新入侵检测解决方案。

工业入侵检测系统

功能特点

实时网络检测

具有实时主动的网络检测功能，对可能出现的异常流量进行全面分析与监测。

深度应用检测

针对操作系统、工业软件以及工业控制系统，深度检测报文中的恶意流量和攻击行为，保护存在的漏

洞，防止工控系统损坏或宕机。

全面内容管理

对工控网络资源提供内容管理，可有效检测间谍软件，包括木马后门、恶意程序和广告软件等。

多种病毒查杀

可对HTTP、SMTP、POP3、FTP等多种协议类型的近百万种病毒进行查杀，包括木马、蠕虫、宏病

毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

工业信息安全

解决方案

21

产品概述

工业网络安全监测系统，是专门针对工业控制网络的安全审计系统。不仅包括网络安全层面的异常监测，还

融入了不同行业的关键业务行为告警。系统采用旁路部署模式，对工业生产过程“零风险”，结合特定的安

全策略与行为基线，可快速识别网络中的异常、攻击行为，并实时告警；同时记录所有网络通信行为，提供

网络监测、协议分析和安全审计功能，为工业控制系统的安全事故调查提供全面支持。

工业网络安全监测系统

功能特点

基于DPI的工控协议深度解析

支持Modbus-TCP、OPC等主流工控协议的深度报文解析，有效识别动态端口。提供报文格式检查、

完整性检查、指令及位号操作识别等；支持工控场景下的工控行为识别，如分布式控制系统中的组态下载、

固件更新、位号调试等工控行为识别。

基于资产角色的行为建模

可按照资产角色对工业控制系统中不同资产进行行为建模，配置相应的行为基线，以此感知资产角色的

异常操作行为，发现和捕获各种敏感信息、违规行为，实时告警，全面记录工控网络中的各种事件，实现对

工业网络信息安全的评估及安全事件的跟踪定位。

强大的入侵检测功能

支持多种经典网络攻击检测，实时监测网络环境中的恶意攻击，为工控安全保驾护航。

可视化流量监测

支持历史流量趋势、实时流量可视化，具备友好的流量可视化监测界面。

健康度评估

具备资产健康度的评估功能，根据资产上产生的通信行为对其健康度作出评测，对健康度较低的资产作

出告警，实现对潜在的网络威胁进行快速定位。

工业信息安全

解决方案

22

产品概述

SUP-3020 系列以太网交换机是中控技术自主研发的控制网络接入和管理的产品，具备完备的二层管理功

能。该系列工业交换机集成交换、安全、SNMP等多种丰富协议，具备优越的组网能力，满足工业网络对可

靠性和安全性的要求。该产品可配套中控控制系统网络方案，全面提升工控网络的安全防护能力，实现网络

关键节点的威胁抑制和整网安全的桌面化运维。

安全交换机

功能特点

多协议组网架构

支持 IEEE 802.1Q VLAN、SNMP、HTTP、STP、LLDP 等功能，支撑中控技术大规模总分组网架构；

支持工业网络设备的白名单准入

自主研发软件平台，有效抵御针对交换机本体的攻击；具备安全功能，支持私有准入控制协议，实现

DCS控制器、操作站接入时的准入控制功能，可防护内网安全

安全管理功能

支持安全审计、自主身份鉴别、用户数据保护、安全管理等安全功能，支持端口镜像。

工业级硬件品质

采用无风扇散热电路设计，满足0~70ºC 范围工作环境温度需求和 IP40 高防护等级；具备耐振动、耐

冲击、耐高低温、耐腐蚀、防尘、脉冲磁场抗扰等卓越的工业级品质。

工业信息安全

解决方案

23

产品概述

USB安全隔离终端（USB Guard）是一款专为移动存储设备全面防护而设计，实现移动存储设备安全隔离、

病毒查杀、文件过滤和文件共享等功能的终端。采用白名单+黑名单机制，内置文件类型白名单和杀毒引

擎，能有效防止未知病毒文件对工业控制系统带来的威胁，并且能抵御badUSB、Rubber Ducky等高级

USB攻击，满足了工业控制系统装置现场对移动存储设备安全访问的需求。

USB安全隔离终端

功能特点

移动存储设备物理隔离

移动存储设备与系统主机物理隔离，无法直接感染系统，增强系统安全性。

即插即用

通电后只需进行IP和共享权限配置，即可满足同一网段内所有主机的拷贝需求，免安装客户端软件

“白+黑“模式

采用“白名单+黑名单”双重防护机制，内置文件类型白名单和杀毒引擎。

异构系统

USB Guard采用Linux操作系统，可免疫大多数病毒攻击

病毒库自动更新

支持安管平台统一管理，可进行病毒库集中管理、更新

全面系统日志审计

详细记录 USB 文件操作、病毒查杀、系统配置等日志，可查看、分析、统计、查询USB 安全隔离终端

日志，并按风险度分级呈现威胁情况，支持日志导出。

USB安全隔离终端

未知U盘

未知移动硬盘

USB安全隔离终端

工业信息安全

解决方案

24

产品概述

全网诊断平台是一款用于工业网络维护的网络诊断平台软件。主要为工业网络提供了资产管理、诊断监控、

故障报警、日志审计等功能，可满足大型项目中对工业网络设备管理和网络状态诊断等方面的需要，提升网

络安全运营水平，满足网络“运行监控”的等保合规以及行业合规要求。

全网诊断平台

功能特点

工业网络资产管理运行监控

支持“自动化网络资产管理”，支持控制系统网络的状态监视，提供控制器、操作站、交换机、路由

器、防火墙等多种设备的统一监视功能，可有效提高运维效率；

强大的诊断扫描

专门针对工控网络设备管理，支持ECS-700、TCS-900控制系统硬件的诊断和监控，提供多种设备网络

负荷、主备切换、资源使用、组态同步、程序故障等的统一管理和诊断，并输出可视化诊断结果。

智能告警，主动预防

支持设备节点的故障报警功能，交换机7*24小时端口流量记录，端到端主动预防，提前发现可能存在的

风险

方便易用，个性化设置

网络拓扑自动展示，支持手动布局调整，页面操作直观便捷

深度结合工业应用场景

显示工业网络中总线型的拓扑结构，同时支持工业场景中的冗余网络管理，契合工业网络的实际需求

工业信息安全

解决方案

25

产品概述

容灾备份系统是集备份、容灾、迁移于一

体的软件产品。该产品采用一种全新的数

据保护架构，提供了对操作站、工程师

站、实时数据库服务器、APC服务器等多

种工业主机环境的数据备份、存储和恢

复。有效防止由勒索病毒、硬件损坏、误

操作等导致的数据丢失，它可以为工业企

业提供全面、安全、快速和可靠的数据保

护手段。

容灾备份系统

功能特点

全面满足多类型需求

全面地支持企业中的工作站、服务器、虚拟化环境和移动设备等20多种不同的平台，只需一款解决方案

即可保护企业所有的数据和业务系统。

灵活恢复

提供远程备份和本机备份，可单独恢复本地和远程计算机指定的文件或文件夹到原位置或新位置，恢复

时保留文件元数据，例如权限、属性、修改时间。

集中管理

现代化的网页控制台提供清晰、直观的视图、备份客户端任务和策略管理、服务器、工作站、虚拟化集

中管理。

异机还原

智能化的异机还原和不同平台的迁移技术，轻松地在物理机和物理机之间、物理机和虚拟机之间、虚拟

机和虚拟机之间转换业务，满足企业现在和未来的数据保护需求。

一次性授权、长期使用

中控长期授权许可，不使用按年订阅方式，大幅降低用户采购、运维成本，提高产品使用便利性。

备 份

应用系统

操作系统

驱动程序

计算机硬件

搜索

驱动程序目录

捕获三层

数据

备份引擎

恢 复

应用系统

操作系统

驱动程序

计算机硬件

智能配置驱动

工业信息安全

解决方案

产品概述

中控技术网络安全运营服务立足于客户工控安全实际需求，结合工控安全服务能力、情报能力、研发能力、

前沿技术能力等“安全资源池”，通过面向用户的“智能枢纽平台”，整合工具、平台、专家经验等资源，

运用业务场景化安全思维，面向客户输出9个“安全服务能力”，协助客户完善自身安全体系，实现能力共

建的目标，客户 “事前、事中、事后”全生命周期的安全服务。

SSOC工业信息安全运营服务

功能特点

事前精准识别

精准识别工控环境资产信息，协助企业掌握全面、准确的资产信息。定期系统性安全巡检，能够主动发

现服务单位信息资产存在的安全风险(例如 APT 攻击)，并在巡检工作完成后，提供详细的巡检报告。安全通

告服务使客户第一时间了解安全漏洞危害及下一步处置措施。

事中快速响应

快速应急响应减少安全事件造成影响，通过 SSOC 平台对攻击行为进快速行溯源分析、问题定位，并

协助快速恢复正常生产，减少甚至避免安全事件造成损失。

事后有效固防

协助加固工控网络，修复存在漏洞，避免后期安全事件再次发生。对风险等级较高的威胁按照服务单位

客户要求开展修复及加固工作，实现安全事件处置闭环，有效提升工控生产环境安全防护能力。

1套安全资源池

安全运维能力

安全应急能力

安全情报能力

安全运营能力

安全咨询能力

安全测评能力

安全培训能力

安全测试能力

安全创新能力

安全能力输出

1+1+9战略

1套智能枢纽平台 9大安全能力

安全

运营

平台

安全

应急

平台

安全

创新

平台

安全

咨询

中心

SSOC

能力

平台

安全生产线

安全专家团队

安全项目群

安全情报

安全创新

26

工业信息安全

解决方案

17 TCS-500

产品简介

典型案例

27 工业信息安全

解决方案

28

TCS-500

产品简介

中石化九江石化在智能工厂建设中高度重视控制系统网络网络安全问题，中控的网络安全解决方案构建了工

控系统网络安全的纵深防御体系，高度与多厂家控制系统融合，为工控系统的数据泄露、病毒入侵等威胁提

供全方位的监测、分析和过滤，全面提升工控系统运行的可靠性。

浙江石油化工公司4000万吨/年炼化一体化项目是中国（浙江）自由贸易试验区建设的重大项目之一。中控

网络安全解决方案的应用实现了可信、可控、可管的工业控制系统资产完整性管理，使工业控制系统具有抵

御高强度连续攻击（APT）的能力。提升企业对生产控制的信息掌控能力、事故溯源能力、容灾能力、应急

响应能力。

陕煤集团榆林化学有限责任公司煤炭分质利用制化工新材料示范项目是目前在建的全球最大的煤化工项目，

将该项目列为煤炭深加工重点建设项目，同时也是陕西省“十三·五”重点项目。本次项目应用中控技术基于

零信任技术与安全原则的智能工厂网络安全解决方案。通过对特定网段、服务建立的访问控制和攻击检测体

系，将攻击阻止在到达攻击目标之前，实时检测出绝大多数攻击，并采取相应的行动；通过建立良好的身份

认证体系，防止攻击者假冒合法用户；通过建立完整的上网行为管理和日志审计体系，对不同角色的网络行

为进行监控、管理和追溯。

全球化运营的化工新材料公司万华化学集团股份有限公司采用中控技术控制系统内建安全加固技术实现工控

系统环境的内生安全，通过对工控通讯数据进行加密和完整性校验以及对整体工业控制系统的纵深防御、安

全运营。深度保障了工业控制系统网络内的核心安全能力。

石化行业

化工行业

28

工业信息安全

解决方案

中国石油化工股份有限公司天然气分公司在信息化建设过程中为了更好的了解工控系统情况启动工控安全评

估项目，邀请中控技术主导梳理各子公司工业控制系统的基本情况，分析各子公司工业信息安全防护现状，

提出工控系统防护建设规划，提升天然气分公司生产及信息化整体防护水平。

中控技术为北京市燃气集团有限责任公司某大型LNG项目提供DCS、SIS、GDS、OTS、网络安全以及

supOS、PLC等产品及解决方案。其中网络安全采用基于内建安全的工控网络安全防护系统，提升了工业控

制系统核心安全能力，实现大型工业控制系统网络的安全自主可控。提供网络安全运营SSOC服务，保障系

统网络安全长期有效。

油气行业

电力行业

浙江境内最大的内陆绿色电厂浙江浙能兰溪发电有限责任公司部署了全国产化的中控工控安全产品，可从整

体视角完成电力安全事件分析，为电力监控系统网络当前状态的掌握及未来趋势做出评估和预测，对于攻击

事件的溯源，对潜在风险进行精准控制，保障了电网稳定运行和电力可靠供应。

大唐乌沙山电厂1号机组DCS控制系统升级改造后机组一次并网成功并于2022年8月10日结束现场稳定性验

证。这是中控技术在600MW火电机组上实施的第一套完全国产化系统，并应用了全国产化工控网络安全系

统，也是大唐乌沙山电厂第一台机组实现DCS系统“100%自主可控”。

29 工业信息安全

解决方案

广西华银铝业有限公司DCS系统改造期间，高度重视工业信息安全，通过分析整厂网络结构和网络安全风

险，结合不同区域如溶出、除盐水、锅炉、焙烧等氧化铝加工生产装置特点，根据数据通信安全和整体信息

化建设要求，针对性实施具有高延展性的工业控制网络安全建设方案。同时，针对关键区域实施可靠的边界

安全设备，结合“一个中心、纵深防护”的分层级防御策略，助力企业工控安全防护系统提升整体防护能

力，抵御多方面的攻击威胁。

医疗行业信息化得到全面快速发展，互联网、大数据、云计算等新兴技术与传统医疗不断深化融合，促进了

医疗服务水平提升，同时网络安全风险也逐渐增多。大型综合性现代制药企业齐鲁制药有限公司采用中控网

络安全解决方案，将控制安全、信息安全、业务综合感知能力进行充分的融合和协调，通过异常告警、攻击

检测、网络故障分析等综合因素来实现对工业现场的分析与诊断，最大限度地保障工业控制系统的稳定、高

效、安全地运行。

冶金行业

医药行业

在工业化和信息化融合情况下，水泥生产工控系统给的安全问题体现的更加突出。红狮水泥股份有限公司部

署的中控技术i-Defender、i-NetSight、GW032等安全产品长期稳定运行，构建了工控系统网络安全的纵

深防御体系，提升企业对生产控制的信息掌控能力、事故溯源能力、应急响应能力。

建材行业

30

工业信息安全

解决方案

服务业绩

HONGSHI

红 狮

UIYAN N R Y ROU

瑞 贝 斯 药 业 REALBENEFITSPOT PHARMACEUTICAL

31 工业信息安全

解决方案

H恒力石化 ENGLI PETROCHEMICAL

TONGKUN

RONGXIANG

32

工业信息安全

解决方案

中国北方稀土

2022

年10月版