曙光網絡：筑牢工控安全防線，引領工業物聯網新時代

一、工控安全：工業發展的關鍵基石

工業控制系統安全對國家經濟和社會穩定至關重要，隨著數字化轉型推進，安全問題成為企業痛點。

工業控制系統作為國家關鍵信息基礎設施運行的神經中樞，廣泛應用于智能制造等領域。在“中國制造 2025”全面推進的背景下，工業數字化、網絡化、智能化加快發展，工控安全工作的重要性和緊迫性更加凸顯。

根據相關數據顯示，2022 年中國工控安全行業市場規模約為 48.32 億元，東部地區占比最重，占比為 60.30%。工控安全產業鏈下游主要為電力、石油、政府、煙草等領域，其中電力占比最重，占比為 40%，智能制造占比為 13.60%。

然而，隨著數字化轉型的推進，工控安全面臨著諸多挑戰。一方面，傳統的工業控制系統多以封閉、隔離的方式運行，隨著聯網需求的增加，從封閉到開放的轉變使得工業控制系統直接暴露在整個公網領域，網絡攻擊范圍加劇從 IT 向 OT 滲透，增加了攻擊面。另一方面，不同行業的國產化進程、不同產品的國產化進程存在差異化，帶來了較大的供應鏈安全難題。同時，工業控制系統中自動化設備采用的工控協議設計之初沒有考慮網絡安全因素，不同生產商的設備采用不同協議，給安全防護帶來極大難度。

此外，2022 年公開披露的工業信息安全事件共 312 起，覆蓋了十幾個工業細分領域，呈現出攻擊目標多元化、手段復雜化、影響擴大化的趨勢。工控系統作為國家關鍵基礎設施重要組成部分，一旦受到攻擊會關系到國計民生。因此，加強工控安全建設，構建全面的工控安全防護體系，已成為工業發展的關鍵基石。

二、工控安全面臨的嚴峻挑戰

（一）網絡攻擊從 IT 向 OT 滲透

隨著數字化轉型的推進，越來越多的工業控制系統需要聯網，與企業內部其他系統乃至云端進行數據交換。這種轉變使得工業控制系統直接暴露在公網領域，網絡攻擊范圍從 IT 向 OT 滲透加劇。例如，2018 年臺積電遭病毒入侵導致重要產線停擺，2019 年委內瑞拉電力控制系統連續多次遭受網絡攻擊，2020 年鋼鐵制造商 EVRAZ 遭到勒索軟件攻擊導致多家工廠停產，2021 年美國最大輸油管線遭勒索軟件攻擊，嚴重影響國內多地燃油供應。這些事件充分說明網絡攻擊從 IT 向 OT 滲透帶來的巨大風險。在工業生產環境中，生產穩定性至關重要，局部機器的停止運作可能影響整體生產，造成巨大經濟損失，甚至在關鍵基礎設施領域可能對社會產生負面影響。

（二）IT 安全無法滿足工業場景防護需求

工控協議復雜多樣，不同行業和產品的國產化進程存在差異化，帶來了較大的供應鏈安全難題。大型企業之前僅有辦公區部署 IT 安全產品，生產區處于隔離區，現在需要多種不同的 OT 安全防護方案。不同生產商的設備采用不同的協議，主流工控協議設計之初沒有考慮網絡安全因素，還有一些私有協議，這給安全防護帶來極大難度。安全廠商需要有能力學習陌生的工控協議規則和行為，建立新的安全模型。例如，在工業企業中，由于對網絡技術的實踐總體更為滯后，大型企業與中小型企業均需要采取不同的防護方案，以適應各自的生產環境和安全需求。

（三）關基領域不斷遭受黑客攻擊

工業控制系統已成為黑客攻擊的新目標，涉及運輸、能源、農業、汽車等多個行業。全球有近 11 萬臺 OT/ICS 設備暴露在互聯網上，其中 Modbus 協議占暴露服務的 29%，S7 協議增加了 121%。這一數據突顯了工業控制系統在網絡安全方面的脆弱性。例如，豐田汽車、寶馬、蔚來汽車、臺積電等都遭受過網絡攻擊，這種攻擊不僅威脅到企業的數據安全，更可能對企業的運營造成嚴重影響。黑客可以通過網絡攻擊，對工業控制系統進行篡改、破壞，甚至造成物理損害。

三、曙光網絡的工控安全新思路

（一）軟件定義工控安全理念

曙光網絡提出的“軟件定義工控安全”理念為工控安全領域帶來了全新的思路。通過將 CPU、內存、硬盤、網絡等硬件構建一個可信的融合平臺，將工控防火墻、工控安全監測審計、工控主機防護、工控入侵檢測、工控安全管理中心、工控堡壘機等變成各項安全應用/能力，實現了安全能力的模塊化。這種模塊化的設計能夠滿足客戶按需安裝、彈性部署的需求，適應不同場景下的個性化安全需求。例如，在一些對安全性要求極高的關鍵基礎設施領域，可以根據實際情況靈活組合各種安全應用，打造出嚴密的安全防護體系。

（二）軟硬件全部自主可信

曙光網絡的工業物聯網融合平臺采用全面自主研發技術，從底層硬件設備到上層軟件應用，均采用國內自主研發的技術和方案。這不僅確保了平臺在國內市場的適用性和可靠性，還為國內工業物聯網技術的快速發展提供了有力支撐。全面自主的平臺能夠更好地滿足國內工業企業的實際需求，推動工業物聯網技術的普及和應用。此外，曙光提供了豐富的工控產品線，包括工業控制計算機、嵌入式工控機、工業平板等，可滿足不同工業領域的需求。據統計，目前曙光的工控產品線已經在多個行業得到廣泛應用，為企業的工業生產提供了穩定可靠的安全保障。

（三）可根據不同關基需求靈活部署安全能力

曙光網絡的工業物聯網融合平臺充分利用虛擬化技術，將物理資源抽象成邏輯資源，實現了資源的動態管理和靈活調配。通過整合各種工控安全應用，如工控堡壘機、工控安全管理中心、工控安全日志審計、工控防火墻等常見安全應用，構建了一個完善的工控安全生態。這種生態系統為企業的工業物聯網環境提供了全方位的安全防護。例如，在一些大型工業企業中，由于生產環境復雜，安全需求多樣，通過該平臺可以根據不同的關鍵基礎設施需求，靈活部署安全能力，實現個性化的安全防護，確保工業生產的安全穩定進行。

四、2024 年工博會亮點與曙光網絡的表現

（一）工博會網絡安全亮點紛呈

2024 年工博會成為全球工業發展的重要舞臺，網絡安全領域更是亮點紛呈。多家參展企業展示了網絡安全領域的創新成果，涵蓋了前沿技術和最新成果。其中，AI 安全大模型的引入為網絡安全領域的快速發展注入了新的動能。深信服科技展出了國內第一款安全垂直領域大模型——安全 GPT，是首個通過深度合成算法備案的安全大模型。華為推出星河 AI 網絡安全大模型，該模型集成億萬級網絡安全語料分析結果與上千名網絡安全專家經驗。

此外，中國聯通攜網絡空間安全態勢感知平臺、電信網絡詐騙治理平臺等一系列創新產品精彩亮相，涵蓋云網安全、應用安全、業務安全、AI+安全、產業生態和廣東專區等安全業務。中國南方電網集團研發出機器狗“吠云”，搭載雙光云臺、低功耗相機，融合智能識別、多機協同、數字孿生、巡檢監控等十大創新技術，已在東莞 220kV 掌洲站投入使用，實現了智能設備巡視覆蓋率達 100%，減少人工巡維工作量超 80%。

博覽會現場還舉辦了網絡安全產品和服務供需洽談會，廣泛收集網絡安全行業需求，通過產品和服務發布、現場接洽簽約等方式促成供需雙方融通合作，服務經濟高質量發展。

（二）曙光網絡攜新品亮相工博會

曙光網絡在 2024 年工博會上表現亮眼，推出了工業物聯網安全融合平臺和便攜式工業開發體驗平臺，充分展示了其深厚的技術積累和豐富的產業經驗。

工業物聯網安全融合平臺以軟件定義工控安全，全面解決傳統方案中的諸多痛點。平臺以虛擬化技術為核心基礎，把 CPU、內存、硬盤、網絡等硬件資源統一起來，并將工控安全流量監測監控審計、工控入侵檢測、工控運維堡壘機變成各項安全應用，通過一套融合平臺，實現工控安全應用的按需安裝、彈性部署、高效運維。再結合先進的機密計算技術以及智能化的資源調度與管理機制，為 IT/OT 域邊界提供全方位、高可靠性、高擴展性的網絡安全保障。

便攜式工業開發體驗平臺“SugonRI+”將工業軟件開發能力集成于一個高強度的鎂鋁合金便攜式手提實驗箱中，具備“算、控、智、安”一體化融合能力。新品搭載了國產化高算力平臺，預裝了最新版本的實時操作系統、runtime 運行時環境、硬件驅動、各類中間件、可靈活編排功能塊/應用的融合平臺，與信號采集、分析運動控制、激光雕刻、AI 人臉識別等豐富的工業場景例程，可廣泛應用于各類復雜的工業場景之中。

工博會期間，曙光網絡 S ugonRI2.0 工業編程平臺在“2024 CEC 年度最佳產品獎”評選中，榮獲自動化軟件類 2024 年度編輯推薦獎。目前，曙光網絡全面的產品與解決方案，已廣泛應用于政府、電信、金融、科教、電力、智能制造等各行各業，為行業數字化轉型、中國新型工業化發展提供強大助力。

五、曙光網絡構建全面工控安全防護體系

（一）外防

曙光網絡推出的新一代防火墻，猶如給網絡加上了一層金鐘罩。這款防火墻提供不低于國標三級的全面安全功能，在基礎安全防護、入侵檢測、防病毒、應用識別管控、VPN、內容的細粒度安全控制、數據防泄漏、垃圾郵件防護等多方面表現出色。尤其在面向工業場景時，其強大的安全防護能力能夠有效抵御來自外網的五花八門的攻擊，如登錄入侵、漏洞掃描、DoS 攻擊、SQL 注入、勒索軟件、病毒植入等。

以某工業企業為例，在部署曙光網絡新一代防火墻后，成功抵御了多次外部網絡攻擊，確保了企業工業控制系統的穩定運行。據統計，該企業在使用防火墻后的一個月內，成功攔截了數百次潛在的安全威脅，極大地降低了企業面臨的網絡安全風險。

（二）內控

堡壘機作為曙光網絡內控的重要手段，為運維構建了堅固的堡壘。曙光網絡推出的堡壘機是基于自研平臺的運維安全審計產品，通過切斷“運維終端”到“工控現場各類數字資產及其上運行業務系統”的直接訪問，建立起“運維人員”訪問“工控內部數字資產”的安全運維通道。這樣一來，避免了工控網絡內部數字資產直接暴露，有效保障了企業內部運維的安全。

例如，在一家大型制造企業中，使用曙光網絡的堡壘機后，實現了對運維人員操作的全面監控和審計。通過對操作行為的記錄和分析，及時發現并糾正了一些潛在的安全風險，提高了企業內部數字資產的安全性。

（三）軟件定義全面安全

在 2024 年工博會上，曙光網絡攜工業物聯網安全融合平臺亮相，引起了廣泛關注。該平臺將各類硬件資源統一起來，把自研或第三方的工控防火墻、工控安全運維、主機安全等各類工控安全防護手段變成各項安全應用，通過一套融合方案，實現了工控安全應用的按需安裝、彈性部署。

工業物聯網安全融合平臺采用了軟件定義工控安全的理念，充分利用虛擬化技術，將物理資源抽象成邏輯資源，實現資源的動態管理和靈活調配。通過整合各種工控安全應用，如工控堡壘機、工控安全管理中心、工控安全日志審計、工控防火墻等，構建了一個完善的工控安全生態，為企業的工業物聯網環境提供了全方位的安全防護。

例如，在某能源企業中，應用曙光網絡的工業物聯網安全融合平臺后，根據企業的實際需求，靈活部署了各種安全應用，實現了對工業控制系統的全面安全防護。不僅提高了企業的網絡安全水平，還為企業的數字化轉型提供了堅實的保障。