制造业客户痛点
生产网与办公网未隔离
MES、SCADA、PLC 设备与办公网同处一个网段,生产数据存在被误操作或恶意访问的风险。按OT/IT分区规划边界隔离策略。
工控设备无法打补丁
PLC、DCS 等工控设备操作系统老旧,无法安装补丁,只能依靠网络边界隔离降低暴露面。通过防火墙白名单策略严格管控允许的访问来源和协议。
第三方设备商远程运维无管控
设备供应商通过远程通道直接访问生产设备,无访问记录和时间管控。建设受控运维接入通道,留存访问日志。
核心建设目标
- 明确生产区、办公区、运维区和外联区安全边界,落实分区隔离。
- 对工控设备网段实施访问控制白名单,限制只有授权的业务系统和运维终端可以访问。
- 建立受控的第三方运维接入通道,留存访问日志满足审计要求。
- 满足工业领域等保整改要求,配合差距分析和验收材料准备。
典型功能
OT/IT隔离
访问控制白名单
运维通道管控
日志审计
双机热备
IPS防护
安全域划分
VPN接入
工厂环境对设备稳定性要求高,我们优先考虑不中断生产的部署方式,策略变更前充分测试连通性。
适用场景
- 离散制造:汽配、机械、电子、家电等工厂的MES/PLC边界防护。
- 流程工业:化工、冶金、制药等DCS/SCADA系统生产区隔离。
- 工厂等保整改:满足等保二级/三级访问控制和审计留痕要求。
- 第三方运维管控:设备供应商远程接入通道加固与日志留存。
客户案例
华东某汽配制造企业
车间MES系统和办公网共用同一网络,生产数据存在泄露风险,且工控设备无法单独打补丁。部署山石防火墙划分生产网和办公网后,生产区访问控制趋于规范,减少了生产设备被外部直接访问的风险。整个部署和策略调试过程约6周完成。
某精细化工企业
DCS控制系统与管理网未有效隔离,等保整改要求工控区与信息化区域分开。通过防火墙实现分区隔离,同时建立第三方运维VPN接入通道,约2个月完成防火墙部署、策略配置和整改验收材料准备,通过测评。