本解决方案按照国家/行业网络安全相关法律和标准，针对工业企业控制网络的特点和安全现状，打造符合工业环境下的软硬件产品。方案中工控防火墙产品采用国产化工业级CPU，支持X86平台和ARM平台，支持bypass功能。所有产品均通过IP20外壳防护等级认证、取得高低温和静电检测报告，以及具备冗余电源，在工业环境下依然可以正常稳定运行。通过采用国产化软硬件设备，搭载银河麒麟桌面操作系统V10，进一步提升对于底层软硬件自主创新的能力。

• 芯片架构：飞腾、海光

• 操作系统：银河麒麟桌面操作系统V10

• 应用软件：天地和兴工控防火墙HX-SFW/V1.0、工控信息安全监管与分析平台HX-EICS/V1.0

• 工控防火墙采用创新的通用安全平台，基于银河麒麟桌面操作系统V10，将操作系统、网络处理、安全应用等技术完美地结合在一起，具备了高智能、高性能、高安全性、高健壮性、高扩展性等特点，具有多平台支持、统一安全引擎、深度包检测、多线程均衡收包等关键技术。

• 工控信息安全监管与分析平台可对工控防火墙进行集中管理和有效监控，更有效地发现网络内部违规资产、行为、策略和威胁，具有集中的安全策略配置、多维度的安全威胁呈现和全方位的威胁检查分析等关键技术。

本解决方案主要应用于石油石化行业炼化、油气田、管道集输、LNG加气站等重要基础设施中的生产控制系统场景，生产控制系统一旦出现问题可能导致安全事故，造成重大损失，目前面临的主要安全隐患包括：车间子网、各气站到中心、各场站SCADA系统、各场站到调度和分调中心等重要生产网络边界缺乏有效的安全隔离；系统内部缺乏入侵、审计监测技术措施，导致无法及时发现、告警系统内的非法数据流量和异常操作行为;缺乏统一的安全管理中心，可能导致无法及时处理安全隐患。

本解决方案发挥工控协议的深度解析能力，不仅可支持基于网络五元组的访问控制，还可以基于工控行为的安全控制与防护，保护各安全域系统的运行安全，形成有效的区域隔离控制。通过在工控系统网络中新建安全管理域，对工控网络中工控防火墙进行集中管理和有效监控，实现全网安全系统的状态监控、安全风险的集中分析、处理与可视化等集中安全管理。

案例名称：中国石化金陵分公司工控系统边界安全加固解决方案

建设内容：本解决方案针对中国石化金陵分公司生产控制系统实际需求，利用当前先进的网络安全防护理念、技术与产品，构建一套稳定、可靠的网络安全立体防护体系，保障网络边界安全并满足标准合规性要求。

同时，按照企业多级管理职能，设计构建全网工控安全管控与运营体系，形成多级联动机制，实现全网动态安全监测、风险可视、通报预警与联动处置，提高网络安全综合管控与防护能力。

管理体系：本方案按照国家等级/分级保护制度要求，在网络安全建设过程中，不仅要完成安全技术防护体系的构建，也要不断完善安全管理体系的建设，全面提高企业全员网络安全风险的防控意识，规避人为风险的发生，为安全生产实现真正意义上的保驾护航。

案例价值：本方案采用自主创新技术路线，通过实现生产系统网络与外界网络的有效隔离，降低了中国石化金陵分公司工控系统敏感数据被泄露的风险，同时满足等保2.0以区域边界安全为保障和以安全管理中心为核心的相关要求。