Factory Security

工厂与制造业防火墙方案 · OT/IT边界隔离

针对离散制造、流程工业、汽配、化工等场景,解决生产网与办公网边界不清、工控设备暴露、第三方运维无管控和等保整改等问题。

制造业客户痛点

生产网与办公网未隔离

MES、SCADA、PLC 设备与办公网同处一个网段,生产数据存在被误操作或恶意访问的风险。按OT/IT分区规划边界隔离策略。

工控设备无法打补丁

PLC、DCS 等工控设备操作系统老旧,无法安装补丁,只能依靠网络边界隔离降低暴露面。通过防火墙白名单策略严格管控允许的访问来源和协议。

第三方设备商远程运维无管控

设备供应商通过远程通道直接访问生产设备,无访问记录和时间管控。建设受控运维接入通道,留存访问日志。

核心建设目标

  • 明确生产区、办公区、运维区和外联区安全边界,落实分区隔离。
  • 对工控设备网段实施访问控制白名单,限制只有授权的业务系统和运维终端可以访问。
  • 建立受控的第三方运维接入通道,留存访问日志满足审计要求。
  • 满足工业领域等保整改要求,配合差距分析和验收材料准备。

典型功能

OT/IT隔离 访问控制白名单 运维通道管控 日志审计 双机热备 IPS防护 安全域划分 VPN接入

工厂环境对设备稳定性要求高,我们优先考虑不中断生产的部署方式,策略变更前充分测试连通性。

适用场景

  • 离散制造:汽配、机械、电子、家电等工厂的MES/PLC边界防护。
  • 流程工业:化工、冶金、制药等DCS/SCADA系统生产区隔离。
  • 工厂等保整改:满足等保二级/三级访问控制和审计留痕要求。
  • 第三方运维管控:设备供应商远程接入通道加固与日志留存。

客户案例

华东某汽配制造企业

车间MES系统和办公网共用同一网络,生产数据存在泄露风险,且工控设备无法单独打补丁。部署山石防火墙划分生产网和办公网后,生产区访问控制趋于规范,减少了生产设备被外部直接访问的风险。整个部署和策略调试过程约6周完成。

某精细化工企业

DCS控制系统与管理网未有效隔离,等保整改要求工控区与信息化区域分开。通过防火墙实现分区隔离,同时建立第三方运维VPN接入通道,约2个月完成防火墙部署、策略配置和整改验收材料准备,通过测评。

获取工厂防火墙方案

请提供工厂网络拓扑、生产系统类型(MES/DCS/PLC)和等保要求,我们将给出分区建议与型号选型。

填写咨询信息