自年疫情以来，本来一直在寂静中进行的数字化转型，瞬间被提速，提前布局数字化的数字化工厂享受了数字化带来的便利，更是在大面积限电停电的情况下，根据企业自身的工业大数据科学安排生产。疫情加快了数字化的脚步，随着越来越多的工业企业搭建数字化管理系统，工业大数据将越来越多，其中工业网络安全的防护尤为重要。

每年工业网络安全事故时有发生，工业中的大中小企业都需要重视，特别是保密程度高、工业数据不可外漏、有可逆向控制的设备……等等企业。然而不同的设备有不同的防护作用，不同的场景设备不同，下面从工业互联网中工业大数据的流向讲解。

一、工业大数据的采集源——现场设备层

工业大数据是从工厂现场的设备层采集出来，不同的工业企业有不同的现场设备，普遍是执行器和传感器，比如：阀门、仪表、温变、压变、RTU、智能仪表、摄像头、PDA……等等。

这些设备具体分布在工厂的变配电系统、给排水系统、空压系统、真空系统、通风系统、制冷系统、空调系统、废水系统、软化水系统、智能照明系统、废气系统……等，也就是常见的厂务监控管理中数据来源的设备端。

二、工业大数据的采集——过程控制层

现场设备层只会呈现设备的状态，如果没有采集和传输，只会停留在设备层，获取数据时，需要大量的人工采集、登记、分析、校正和筛选，损耗时间、物料和人力资源，还会出现数据错误的可能性。通过数据的实时采集，才让设备端的状态真实呈现，这个阶段介于设备与采集之间的过程控制，这个阶段不需要添加网络安全防护。

工业大数据往往是通过PLC、DCS、SCADA采集网关和录像机（安防摄像头）进行现场采集，四者的不同在于DCS是系统，其他的是硬件，PLC和SCADA采集网关在过程控制方面主要用于航天航空、发电、石化、钢铁、烟草、制药、食品、石油化工、冶金、矿业、水处理、交通等领域，其中发电厂应用在大型火电厂的辅助车间、水电主控等。

DCS主要应用于过程控制，主要应用在发电、石化、钢铁、烟草、制药、食品、石油化工、冶金、矿业等自动化领域，其中航天航空、火电、核电、大型石化、钢铁的主控单元目前必须使用DCS进行控制。

三、工业大数据的第一道防线——关键控制系统安全防护

PLC、DCS、SCADA采集网关和录像机可以采集数据，但是存储空间有限，需要往管理层输送实时数据和存储实时历史数据，这样数据才能得到真实的应用和保存，这个环节起到第一防线的是工业防火墙或者隔离网关。

工业防火墙：HG-ISG系列工业防火墙产品，定位于帮助用户对来自网络的病毒传播、黑客攻击等攻击行为进行过滤与防护，避免其对控制网络的影响和对生产流程的破坏。

功能特点：

查行为

工业网络通信协议的深度过滤

全透明、无间断部署

智能协议识别和辅助规则生成

规则正确性测试

符合工业用户使用习惯的配置方式

工业级产品可靠性保障

VPN功能

隔离网关：pSafetyLink系列工业安全隔离网关是专门为工业网络应用设计的安全隔离设备，用于解决控制网络如何安全接入信息网络的问题，以及控制网络内部不同安全区域之间安全防护的问题。

功能特点：

“2+1”的硬件架构

自主开发的PSL工业网络隔离技术

双数据摆渡模式

支持丰富的工业协议

测点级访问控制

分布部署、集中管理

数据断线缓存

多重可靠性保障

这个数据传输的阶段，是为了把工业中的数据存储和实时查看，甚至是可以逆向控制现场设备。不同中小企业的工厂车间或产线的数字化需求不同，有些布局到监控层就满足了现阶段的发展需求，所以会直接在SACDA系统上操作，不选择上云，与外网断开联系，这也很大程度的增强安全性。

四、工业大数据的第二道防线——控制网安全防护

当工业的数据传输到生产管理层，需要启用第二道防线，主要针对控制网的安全防护，这时需要使用工业安全审计、工业防火墙和工业安全卫士。工业安全卫士需要安装到每个管理平台的终端，包括实时历史数据库、安全管理平台、MES、能源管理、SACDA系统、操作员站……等。

工业安全审计：工控安全审计系统正是专门为工业控制网络量身打造的工控网络安全产品。它能实时监测工控网络的状态，检测工控网络中入侵行为，也能根据用户定义的审计策略，追踪工控网络安全事件，它能对工控网络的数据进行留存。

工业安全卫士：工业安全卫士是立足于工控行业，为广泛应用于该行业各个环节（如工控田、管道、炼化、销售等）的上位机（工程师工作站、操作员工作站）、服务器、销售终端等Windows系统提供专门安全防护的安全产品。

五、工业大数据的第三道防线——企业生产网隔离防护

生产数据停留在生产管理层，企业中容易出现“各自为政”，为了避免信息孤岛的形成，汇集全部的生产数据，传输至企业资源层，高层管理即可掌控整体生产经营情况。因为查看数据的对象众多，单向导入系统显得尤为重要。

单向导入系统：uSafetyGap工业安全隔离单向导入系统采用“2+1”的物理架构。内部由两个独立主机系统组成，每个主机系统分别采用自主定制的安全操作系统，具有独立的运算单元和存储单元，双主机之间通过基于SFP模块单光纤连接，保证数据的物理单向传输。实现生产网络与外部网络的数据单向传输，有效阻断外部网络的病毒、木马及黑客对生产网络的破坏与威胁。

安全管理平台：工控安全管理平台ICD-，采用B/S架构，可全面监控力控自研设备的运行状态，采集其安全事件；平台可对各类关键运行指标设置监控阈值，对采集的事件进行归一化处理和关联分析。

六、工业大数据的第四道防线——企业网络出口边界防护

当生产数据上云上平台时，管理者在随时随地能够对生产数据的实时监控，这往往只有监控的权限，下一代防火墙就是第四道防线的重点安全防护。

下一代防火墙：是一款可以全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。