科创板：688023

工业互联网安全建设手册

安恒信息技术股份有限公司

DBAPPSecurity Co., Ltd.

01 / 工业互联网安全建设手册

公司及工业互联网安全介绍

DAS-Security

杭州安恒信息技术股份有限公司（简称：安恒信息）成立于2007年，于2019年登陆

科创板，是网络安全行业发展速度最快的上市公司之一。

作为行业领导者，安恒信息秉承“构建安全可信的数字世界”的企业使命，以数字经

济的安全基石为企业定位，形成了云安全、大数据安全、物联网安全、智慧城市安

全、工业控制系统安全及工业互联网安全五大市场战略，凭借强大的研发实力和持续

的产品创新，完成覆盖网络信息安全全生命周期的产品、服务及解决方案体系，作为

国家级核心安保单位，参与了近乎全部国家重大活动网络安保，实现零失误。

2020年11月23日，安恒信息正式签约杭州2022年第19届亚运会，成为其官方网络安

全服务合作伙伴，这也是国际大型综合性赛事网络信息安全类最高层级合作。

安恒信息面向联网工业企业、工业互联网平台企业、工业互联网安全管理部门提供贯

穿IT/OT的完整工业信息安全解决方案、覆盖全生命周期的工业领域数据安全解决方

案、工业云平台和云应用安全解决方案。通过搭建合规安全能力中心、综合安全服务

中心、安全运营管理中心，形成工业互联网全栈安全防护能力，实现以关键业务为核

心的整体防控、以风险管理为导向的动态防护、以信息共享为基础的协同联防，重新

定义数字化转型下的工业互联网安全防护体系和服务模式。

工业互联网安全建设手册 / 02

研究成果

公司针对关键技术申请2525项专利（获得授权发明专利684项），拥有计算机软件著作权219项；承担国家科技部、工信

部等部委级重大科研计划项目和工业互联网创新发展工程项目共12项，参与编制国家及行业标准超过230项，其中已发布

近40项。在工业信息安全方面，是《工业互联网企业网络安全第1部分：应用工业互联网的工业企业防护要求》、《工业

互联网企业网络安全第4部分：数据防护要求》、《信息安全技术工业控制系统信息安全防护能力成熟度模型》、《工业

互联网数据安全分类分级规范》等标准与规范的起草单位，并承担国家多项工业信息安全监测应急技术支撑工作。

面向工业控制系统安全的

定量评估和全生命周期防护技术

该技术突破工控安全难以度量评估的技术

瓶颈，能深度解析超30种私有工控协议，

提取300种以上主要的工业控制系统网络

协议功能码，单个扫描任务速率可达到每

秒160万包，已达到国内领先水平。

工控网络异常监测

及未知威胁主动发现技术

该技术基于高速旁路采集、指令级深度解

析、业务逻辑异常检测技术，识别畸形网

络报文、违规业务指令和网络攻击报文，

从工具指纹、设备状态、攻击来源、防御

状态、时间特性、证据链等多维度，对工

控系统中的攻击行为进行建模分析，实现

对未知威胁的提前发现和有效响应。

工业互联网脆弱性测试及定量评估技术

该技术针对设备信息、设备关联信息、信

息交互关系、任务描述等业务运行逻辑，

基于“业务流程—任务单元—执行设备

集”工作流模型对设备功能、系统和协议

进行建模，得到工业互联业务流程的安全

定量评估结果。

工业互联网业务系统安全态势感知技术

该技术基于数据与知识挖掘，按照“感知理解-预测”从时间和空间维度实现对物理

系统、业务流程的安全分析、入侵攻击类

型识别、安全事故关联性分析以及安全连

锁事故推理，实现对工业互联网业务系统

安全态势感知。

技术

成果

03/ 工业互联网安全建设手册

05

07

17

23

25

27

28

29

30

33

34

一、公司及工业互联网安全介绍

二、工业企业安全防护

工业企业数字化转型典型场景

联网工业企业安全防护解决方案

工业互联网平台企业的安全防护解决方案

三、区域工业互联网安全管理

工业互联网安全管理典型场景

区域工业互联网安全管理解决方案

工业园区安全管理解决方案

四、工业互联网安全产品介绍

工业信息安全系列产品

工业云安全系列产品

工业数据安全系列产品

五、荣誉资质

技术实力

荣誉奖项

目录 / CONTENTS

工业互联网安全建设手册 / 04

工业企业安全防护

工业企业数字化转型典型场景

财务

主机厂

原材料/零部件供应商

产配件事业部

制造车间

云平台及应用安全：

应用中存在的身份认证安全、开

发安全、用户数据隐私等问题

供应链财务管理数生产制造数字化

供应链数字化

工控网络安全：

工控设备漏洞、勒索病毒感染等

安全问题

05/ 工业互联网安全建设手册

工业企业数字化

经销商

设计伙伴

最终客户

产品事业部

研究院 销售

仓库

服务

总部财务

链运营

产品设计数字化

人力资源数字化

销售管理数字化

仓储管理数字化

数字化

工业数据安全：

大量数据互通中存在的数据泄漏、数据勒索、非法

获取、恶意篡改、数据丢失、隐私侵犯等安全问题

工业互联网安全建设手册 / 06

联网工业企业安全防护解决方案

针对工业企业数字化转型过程中面临的工业网络和数据安全风险，安恒信息结合多年工业信息安全研究成果，根据工业企

业的业务特点及国内外工控网络安全发展趋势，提出以预警、感知、防护、应急为核心，构建贯穿工业互联网企业全生命

周期的“纵深防御”和“动态防御”安全防护体系，为企业的网络安全保驾护航。

工程师站 工程师站

工程师站

服务器 操作站 操作站 操作站

操作站 操作站

OPC

服务器

APT

MES

PS WSUS TS

MES EMS MIS

客户端

EMS

客户端

MIS

客户端

工业网闸

AMS

服务器

历史

服务器

工业

防火墙

工业

防火墙

工业安全

监测审计 工业安全

监测审计

工业安全

监测审计

SPAN

Plant A Plant B Plant C

DCS RTU PLC

SPAN

SPAN

SPAN

SPAN

工业生产区

工业安全

管理平台

工控安全

主机卫士

工业漏洞

扫描平台

工业检查

工具箱

数据库

审计

日志审计 堡垒机 工业安全

态势感知平台

安全集中

管理运维

生产管理层企业资源层现场控制层设备层

过程监控层

厂级车间级

IOT-SMP

运维审计 APT 大数据 EDR中心

日志审计 DPI 物联网监测 远程评估

运维管理区

VPN

WAF DMZ区

视频准入引擎

安防设施区

物联网安全心 前端IPC

办公区研发区

WAF 数据库

审计

数据库

防火墙

数据中心区

核心交换区

联网区

上网行为管理

NGFW

路由器

负载均衡

抗DDoS

核心交换机

07/ 工业互联网安全建设手册

工业企业云安全 工业云安全防护 安恒云

工业企业数据安全 工业数据安全防护 安恒AiGuard数据安全系列产品

防护类别 对应产品

工业企业网络安全

网络边界防护

工业网闸

安全网关（NGFW）

VPN

抗DDoS

终端安全防护

主机安全及管理系统（EDR）

工控安全主机卫士

工控漏洞扫描平台

远程评估系统

安全区域防护

工业防火墙

工业安全监测审计平台

APT攻击预警平台

控制设备及软件防护

工控安全检查工具箱

工控漏洞扫描平台

安全运维管理

工业安全管理平台

综合日志审计平台

运维审计与风险控制系统

工业互联网安全态势感知平台

EDR中心

工业互联网安全建设手册 / 08

工业企业网络安全防护

建设安全态势感知平台，以工业资产为核心，以安全生产为服务目标，实现工业资产集中管理、风险集中管控，依托大数

据安全分析能力，通过采集工业环境各类数据，并将技术指标与安全生产指标相结合，提供可视化安全态势感知与安全技

术分析能力，及时预判工业企业网络安全趋势，为应急响应提供决策分析支撑，构建智能化网络安全运营体系。

安全运营管理

在工业企业网络的各个边界加强访问控制、入侵检测等安全技术防护措施，防止外部的攻击。

网络边界防护

按照业务需求划分不同的安全域，加强安全域之间的隔离和安全域内的异常流量、异常行为等风险的安全审计，防止安全

域之间的风险蔓延和事故追溯及提前预警。

安全区域防护

在工业企业网络内的主机、服务器等终端设备上部署终端防病毒软件，提高主机的安全防护能力，并定期对终端进行安全

检查和漏洞扫描。

终端安全防护

定期对工业控制设备、软件及生产网络进行安全检查，及时发现安全风险，并通过工业防火墙、主机白名单软件等技术手

段及时优化策略，防止威胁、漏洞被利用。

工业控制设备及软件安全防护

当前越来越多的工业企业内部业务/应用系统/生产系统上云，采用传统的安全防护手段已无法满足云计算环境下的安全防

护需求，安恒云具有多云管理及多云安全平台，提供10余种的SaaS安全产品，与多种公有云和私有云紧密连接，实现对

云平台、云网络、云主机、云应用和云数据各层面的全面立体防护。

工业企业云安全防护

在工业企业网络内实现对安全设备的集中管控，帮助运维人员对安全设备的运维和管理。

实现对网络设备、安全设备、终端设备等设备或系统的日志采集、分析和处理；

加强对工业企业内部的服务器、网路设备、业务系统等设备或系统的运维审计，实现账号统一管理、身份认证、行为操作

审计等安全技术措施。

安全运维管理

针对企业网络中的数据库的操作行为和访问进行记录。加强对工业企业内Web应用的访问控制，实现SQL注入、XSS、

命令注入等常见的 Web攻击行为，同时识别未知威胁及0day攻击行为，保障Web业务系统安全可靠运行。

数据安全防护

09/ 工业互联网安全建设手册

工业互联网企业安全态势感知解决方案

随着工业企业IT和OT的加速融合，两网融合安全管理成为趋势，但目前企业存在安全设备功能单一、IT和OT网络安全管

理没有融合管理，企业在两网应用了不同安全厂商的设备，由于兼容性差，不能实现统一集成管理等问题。

建设需求

实现全网域业务资产与安全设备管理、安全监测、安全分析、响应处置、安全运营以及可视化安全态势感知能力，提供资

产可管、安全可视、风险可控工业网络统一安全管理与态势感知平台。

解决方案

·全域网络安全资源整合：通过对全域安全数据、安全设备进行统一管理，提升对IT和OT两网安全支撑与协同作战能

力，赋能安全业务决策。

·增强日常安全运营闭环：通过集中安全监测、智能化安全分析、自动化响应处置等技术手段，以及通报预警、工单管

理、报告管理等管理手段，形成风险隐患及时处置，安全运营闭环跟踪的能力。

·提升工业安全管理水平：帮助企业管理者统一监管全网安全风险，打破数据孤岛，提升安全管理协同效率，实现跨部

门、跨地域的信息共享与协同管理能力。

方案价值

项目架构图

风险识别

应急响应

持续检测

安全防御

响应

恢复

识别

防御

检测

安全运营

（IT/OT）

统一安全设备管理

工业互联网

安全态势感知平台

总部集团

IT信息网态势感知 （一级平台） OT信息网态势感知

（二级平台）

工厂

（总部直管）

车间

场站

办公设备 网络设备 系统服务器

流量采集 日志采集

控制设备 工业系统 智能设备

流量采集 日志采集

MES

IT信息网 OT工控网

安全防护对象

办公设备 网络设备 系统服务器

流量采集 日志采集

控制设备 工业系统 智能设备

流量采集 日志采集

MES

IT信息网 OT工控网

安全防护对象

网络安全 设备安全 控制安全 应用安全 数据安全

状态监测 设备联动 策略处置

信息共享，管理协同 信息共享，管理协同

状态监测

数据上报二级平台 数据上报一级平台

状态监测

联动处置 联动处置

工业互联网安全建设手册 / 10

工业企业数据种类繁多、数量庞大、涉及范围广，导致工业企业数据安全建设的难度较大。典型的工业领域数据安全问题

包含研发设计数据、生产制造等数据被泄露，企业经营等数据被勒索，流通交易等数据被篡改，外部协同等数据被窃取

……

在深入调研工业企业数据安全现状及痛点后，安恒信息打造了“工业数据分类分级—工业数据安全防护—工业数据安全评

估”的整体解决方案，帮助企业实现数据智治的安全目标。

工业企业数据安全解决方案

工业互联网数据安全分析与预警体系

工业数据安全产品

综合类

AiTrust 零信任

AiLand 数据安全岛

AiGuard 数据安管平台

基础类

ICS - FW 安全传输

EDR 终端防泄漏

AiSort 分类分级

AiMask 数据脱敏

AiThink UEBA

AiDLP 数据防泄漏

AiGate 安全网关

……

识别关键信息业务数据调研安全威胁分析攻击模拟

风险态势 业务应用 关联分析 预警通告 ……

数据安全能力

工业数据全要素

外部域数据

共享交换数据

生产域数据

……

工业数据安全保护

数据采集 数据存储 数据加工 数据传输 数据公开 数据销毁

采集协商 加密存储 处理环境

安全 加密传输 共享交换 数据销毁

采集安全

控制 数据备灾 导入导出

安全 流量识别 数据溯源 销毁处置

外部数据

鉴别 分类分级 加工与

分析安全 安全迁移 数据脱敏 存储处置

数据治理 分析溯源

通过安恒信息专业的安全服务并辅之以自动化数据分类分级工具可输出重要数据、核心数据、一般数据清单，协助企业建

立数据目录管理机制；

工业数据分类分级环节-整体数据集安全建设的基础

根据“风险核查-数据梳理-数据保护-监控预警”模型，提供从生产车间现场到企业云环境全场景、覆盖工业领域数据全

生命周期的防护方案；

工业数据安全防护环节

安恒信息拥有多年数据安全评估经验和成熟的理论体系，可提升企业检验数据安全建设成效。

数据安全评估服务

11 / 工业互联网安全建设手册

工业互联网安全服务解决方案利用安恒信息在信息安全服务和工控安全方面的双重优势，依据国家有关政策法规、工控系

统信息安全相关系列标准，以PDCA（戴明环）原则为工业企业在工控系统生命周期过程中提供安全体系规划、安全评估

检查、攻防演习、安全应急演练以及工控安全人才培训等工控安全服务以及安全托管服务等一站式解决方案。

工业互联网安全服务

结合企业实际情况，从业务需求入手确定工控系统的网络安全保护需求，从技术、管理方面规划企业未来3-5年的工控系

统网络安全总体工作，为企业“量身定制”适合本单位信息化战略发展的工控系统网络安全保障体系。

工控系统安全体系规划服务

结合企业实际安全需求，从风险识别、安全防护、威胁检测、应急响应、安全运营五个阶段提供体系化、常态化的安全托

管服务，构建7*24全天候、全方位的安全运营体系，提高企业网络安全水平。

工业互联网企业安全托管服务（MSS）

采用人工评估和专业设备评估相结合的方式，为企业提供工控系统网络安全合规性评估检查服务，并通过技术手段对企业

工控系统及设备提供安全检测评估服务。

工控系统安全评估检查服务

面向监管单位和工业企业用户，以不对目标系统进行破坏攻击为底线，进行实战化、可视化、专业级的实战攻防对抗。

工控系统渗透测试服务

结合企业实际生产情况，配合支撑企业开展工控系统应急演练，提供安全保障。同时，对企业工控系统发生的网络安全事

件提供人员、技术等方面的应急处置措施。

工控系统安全应急演练服务

安恒信息提供注册信息安全专业人员-工业控制系统安全工程师（Certified Information Security Professional-ICS

Security Engineer，简称CISP-ICSSE）的认证培训。持证人员可以从事信息安全技术领域工业控制系统安全方向的

工作，具备制定工控安全威胁应对方案、开展工控系统安全防护设计、建立工控安全应急处置体系、实施安全管理等工作

的基本知识和能力。

工控安全认证（CISP-ICSSE）培训

PDCA

安全

咨询

安全

评估

认证

培训

安全

应急

攻防

演练

工业互联网安全建设手册 / 12

移动介质使用无管控，主机没有防护措施；第三方运维随意进出网络环境，没有有效管控或审计；生产网与管理网未进行

有效隔离，存在贯通风险；设备操作无审计，系统操作无记录，日志未进行统一化处理，风险管理缺乏。

典型安全需求

按业务模块清晰划分安全域，做好生产网与管理网隔离；生产域内部署工控安全主机卫士、工业监测审计等，域间通过工

业防火墙进行隔离防护，访问控制、入侵防范、确保边界安全等；生产管理区部署工业态势感知、综合日志、漏洞扫描等

设备，实现日志、风险、漏洞等的统一管理与分析。

解决方案

清晰管理各个工厂工控资产，建立完善的工业控制系统网络安全管理体系，实现集团级工业控制防护及安全运营。

价值

智能制造

涂装车间

工程师站 Emos

机器人 机器人 机器人 摄像系统

目视化

操作屏

服务器 编辑器 工程师站

机器人 机器人 机器人 摄像系统

目视化

操作屏 编辑器

涂装车间

工程师站 Emos

机器人 机器人 机器人 摄像系统

目视化

操作屏

服务器 编辑器 工程师站

机器人 机器人 机器人 摄像系统

目视化

操作屏 编辑器

FIS Shopfloor

焊装车间

操作屏 编程器

光电扫描器 变频器

自动线打号机

机器人 机器人控制器

在线测量

控制器

机器人视觉引导

下部

R100

调整

R800

动力总成车间

工业交换机 Master PC

拧紧控制器

AGV

AGV MES

AGV

Master PC AGV MES

总装车间

PLC

MP(操作面板) Emos“一体化电脑”

拧紧控

制器

打印服务器

数据上传服务器

无线

路由器

无线拧紧器 拧紧器

检测器

PLC

操作面板

车间接入交换机 车间接入交换机

PLC-CP

总装车间

PLC

MP(操作面板) Emos“一体化电脑”

拧紧控

制器

打印服务器

数据上传服务器

无线

路由器

无线拧紧器 拧紧器

检测器

PLC

操作面板

车间接入交换机 车间接入交换机

PLC-CP

安全运维中心

HMI 工程师站 服务器 服务器

下一代防火墙

数据库审计 数据库审计

工业防火墙 工业防火墙

工业安全

管理平台 堡垒机

综合日志审

计平台

工业漏洞扫

描平台 APT 工控网络安全

检查工具箱

工业防火墙

工业防火墙 工业防火墙

工业防火墙

工业安全监

测审计平台

工业安全监

测审计平台

工业安全监

测审计平台

工业安全监

测审计平台

工控安全

主机卫士

工业安全态

势感知平台

工控安全

主机卫士

工控安全

主机卫士

13 / 工业互联网安全建设手册

两化融合带来的IT与OT协议混杂，安全风险加大；系统版本久未升级带来的安全隐患；工业现场移动介质及设备无管

控；工业病毒、应用软件威胁时时存在；管理网与生产网无有效隔离。

典型安全需求

安全域间采用工业防火墙实现隔离与防护，办公网与生产网间采用单向隔离设备实现数据单向传输；安全域内部署安全监

测审计平台实现异常行为和异常流量探测；部署工控安全主机卫士，实时掌握工控网内漏洞情况，定期检查安全风险；定

期进行安全风险评估，掌握工业控制系统的安全风险；建设工业安全态势感知，采集工控流量及日志信息，深入挖掘安全

风险与攻击事件。

解决方案

满足石油化工企业合规性需求，等级保护需求；有效抑制病毒、木马的传播和扩散，解决OPC协议传输问题；满足企业对

资产的管理、安全数据的采集需求，持续发现、分析工业环境主要风险，实现可持续的安全运营。

价值

石油石化

现场设备层

L0

现场控制层

L1

过程监控层

L2

生产管理层

L3

企业资源层

L4

PLC系统 DCS系统 DCS系统

Modbus TCP

MES

WEB ERP Mail

工业防火墙 工业防火墙

工业安全

监测审计

平台

工业安全

监测审计

平台

工业安全

监测审计

平台

SCAD系统A

工业安全

监测审计

平台

OPC OPC

数采机 数采机

工业安全

态势感知

APT攻击预

警平台

综合日志

审计平台

工业安全

管理平台

工控安全主机卫士

（管理端）

工控安全检

查工具箱

APC

实时数据库

应用服务器 打印机 财务

工业网闸 安全运维管理区

堡垒机

工控审计

工业防火墙

工业防火墙

数采机

工业防火墙

数采机

数据库审计

工业互联网安全建设手册 / 14

系统众多，数据交互频繁；各类主机平台未安装防护软件及更新补丁；控制系统非国产，无法自主可控；生产操作人员跨

多部门与专业，外来人员缺乏管理，无法统一安全防护。

典型安全需求

安全分区/网络专用/横向隔离/纵向认证：

域间部署工业防火墙，生产控制区部署入侵检测、工业安全监测审计平台，监测网络边界、安全域内异常行为；部署工控

安全主机卫士；建立安全管理域，部署综合日志审计、堡垒机、数据库审计和工业安全态势感知平台，从全局视角提升对

安全威胁的发现识别、安全分析、响应处置。

解决方案

满足国家政策和行业标准要求，完善企业合规性需求；安全事件实时感知，有效提升对工控系统的安全、风险等的等信息

收集和处理能力，实现工业企业网络安全监测、审计和预警，实现工控安全动态防御，提升主动防御水平。

价值

电力行业

历史站 工程师站 操作站

工控

主机卫士

工控安全监测审

计平台

锅炉DCS 汽水DCS DEH

机组系统

生产大区

安全I区

SIS接口机

子站

生产大区

安全II区

去地调

数据网 去集团

SIS双机

服务器

MIS双机

服务器

核心交换机

历史站 工程师站 操作站

工控

主机卫士

工控安全监测审

计平台

辅控系统

SIS接口机

输煤PLC 飞灰与除渣脱硫

信息大区

安全III区

NCS主机 工程师站 操作站

1号机 2号机 N号机 1号机 2号机 N号机

PMU NCS

微机五防

燃料三大

SIS接口机

燃料接口机

SIS接口机

1号机 2号机 N号机

故障录波

电量采集

电量主机

去省调

数据网去地调

信息网

去省调

信息网

纵向加密

认证装置

纵向加密

认证装置 纵向加密

认证装置

纵向加密

认证装置

录波器

录波器

子站

CEMS

CEMS

并网考核

通讯管理 调度支持

OMS

继保统计

燃料镜像

服务器

正向隔离

装置双机

去互联网

堡垒机

日志审计

工业安全工控工具箱 管理平台

安全管理中心

下一代

防火墙

下一代

防火墙

下一代

防火墙

下一代

防火墙

工业

防火墙

工业

防火墙

工业

防火墙

工业

防火墙

正向隔离

装置双机

SIS双机

镜像服务器

正向隔离

装置双机

下一代

防火墙

下一代

防火墙

SIS接口机

环保烟气

下一代

防火墙

安全审计 安全审计

防火墙

IDS 堡垒机 IDS

IDS

工控安全监测审

计平台

工控

主机卫士

化水

15 / 工业互联网安全建设手册

生产网与管理网未进行有效隔离，存在风险贯通可能性；无法及时对入侵及异常行为进行检测与发现，安全威胁不可控。

典型安全需求

采取纵向与横向结合划分安全域；域间工业流量监测审计、工控环境漏洞扫描评估；通过部署主机防护终端，各工业域出

口部署工控防火墙等加强OT与IT域间防护；生产管理区部署工业安全态势感知、日志审计、数据库审计等，打造立体防

护系统。

解决方案

实现整个厂区各个工控系统的资产管理；快速高效识别和评估企业生产安全风险和网络安全风险；强化各车间与物流中心

等各个安全域的边界访问控制能力；利用访问控制策略和安全监测审计等，保证重要生产数据和工艺配方的保密性。实现

整个工厂安全风险及威胁、告警、日志等的综合统一可视化管理。

价值

烟草行业

①“由于项目的实施，我们公司年平均减少机组停机1次，相当于新增收入1700万元。该项目对发电厂

监控系统安全防护和可靠运营有加固作用，有效提高了发电厂控制网络与信息管理系统的防护能力。”

②“我单位使用了安恒明鉴工业控制系统安全等级保护检查工具箱……通过多次现场实践，该设备满足

了对工业控制系统安全管理和安全技术各方面不同的检查要求，极大地提高了我单位对外检查的工作效

率，和监管监察规范化、信息化水平。”

③“我司在全厂DCS上线了安恒工业安全检测审计平台。该平台投运以来运行稳定，切实增强了我司工

控环境网络安全的检测和防护能力。”

客户评价

—— 浙江浙能台州

第二发电有限责任公司

—— 上海市公安局

—— 华能长兴电厂

PROFINET 环网 PROFINET 环网

邮件服务器 OA服务器 ERP

MES服务器 MES数据库 WEB服务器 报表服务器 数据库服务器

操作员站

MES

客户端

数采

服务器 操作员站

MES

客户端

数采

服务器

WEB发布

客户端 操作员站

MES

客户端

数采

服务器

WEB发布

客户端 MES

客户端

数采

服务器

WEB发布

客户端

制丝数采网 卷包数采网 动能数采网 物流数采网

PLC 现场控制 现场控制 PLC PLC 现场控制 现场控制 PLC 现场控制 PLC 现场控制 PLC 现场控制 PLC 现场控制 PLC

办公网

操作员站

管理层

生产

执行层

生产

监控层

现场

控制层

安全运维管理区

工业安全管理平台

工控安全主机卫士

综合日志审计平台

下一代防火墙

工业网闸

工业防火墙

工控安全监测审计平台

数据库审计与风险控制系统 工控漏洞扫描平台

运维审计与风险控制系统堡垒机 工业安全检查工具箱

图

例

工业互联网安全建设手册 / 16

工业互联网平台企业安全防护解决方案

工业互联网安全一站式SaaS服务，为工业互联网平台企业提供安全解决方案订阅、安全产品订阅、安全运营服务等一站

式安全能力。可为工业互联网平台企业提供工业云平台安全、工业APP安全、工业大数据安全、防勒索病毒攻击、上云工

业数据防护、工业安全保险等服务，满足工业企业数字化转型场景的个性化需求和通用的场景化需求，并联合工业互联网

平台企业在内的行业合作伙伴，构建起工业互联网“平台应用+安全防护”的闭环服务体系。

工业应用

VM

工业应用

VM

数据库审计 防火墙

日志审计

vSWitch

vRouter vRouter

行业/企业工业互联网平台 安全一站式SaaS

APT

工业应用

VM

工业应用

VM

防火墙 数据库审计

日志审计

vSWitch

行业/企业工业互联网平台

APT

堡垒机 EDR WAF 漏扫

VPN

Https

Router

ERP SCM S&OP CRM

L3 Switch

L3 Switch

L3 Switch

L2 Switch

OA MRP TPS ESS

防火墙

防火墙

工业

防火墙

MES WMS 历史数据 APC

SCADA OPC DS

工业应用

VM

工业应用

VM

工业应用

VM

边缘工业互联网平台

防火墙 WAF APT

SOC 数据库审计 堡垒机

综合漏扫 EDR 网页防篡改

安全资源池

OS ES

PLC RTU PLC

边缘网关

工业看板 工业应用

CNC Smart IOT 机器人 设备 变送器 传感器 泵/马达 阀门

DCS

L5

L4

L3

L2

L1

L0

第三方服务产品、供应链及企业管理工业控制与数据管理系统制造工艺设备

17 / 工业互联网安全建设手册

关键功能

工业云主机防护 基于终端和服务器的安全防护与加固要求，平台可提供勒索专防专杀、网络隔离与防护、补丁修复、外

设管控、文件审计、违规外联检测与阻断等服务。

工业数据安全 针对工业互联网数据传输、存储和应用的安全需求，对工业企业上云数据进行实时加解密，保证用户的

隐私和敏感信息安全，避免信息泄露、篡改等事件的发生。

工业APP防护 可对工业APP从服务器端、客户端、数据传输通道提供入侵防御、实时攻击检测、安全可视等全链路

安全防护能力加持。

工业云资产安全检测 提供工业资产云端漏洞扫描服务，可快速发现资产漏洞风险，防止攻击者利用漏洞破坏服务器、窃取核

心数据，实现漏洞可查、风险可视。

工业混合云管理 提供基于混合云（公有云、私有云、IDC数据中心）的多云管理和运维服务，兼容业界主流云厂商，如

阿里云、华为云、腾讯云、AWS等，真正做到多云统管。

功能描述

平台企业云安全防护

网络边界防护

云安全网关（下一代防火墙）

云抗DDoS

安全区域防护 云APT攻击预警平台

数据安全防护

云数据库审计

云WAF

终端安全防护

云EDR

云漏扫

安全运维管理

云日志审计

云运维审计

安全态势感知平台

云安全中心

防护类别 对应产品

平台企业

数据安全防护 平台数据安全防护

云数据安全中心

零信任

安恒AiGuard数据安全系列产品

平台企业云安全防护解决方案

工业互联网安全建设手册 / 18

工业互联网平台企业客户案例

采购协同 工业互联网生态圈

生产制造 经营管理

仓储物流

生态建设

网络安全 数字化转型

双创生态

生态组织

媒体宣传

行业协会

资本市场

政府部门

智慧园区

生态抓手

产业联盟

行业标准

研究实验室

政府政策资源库

解决方案库

工控安全市场

数字孪生 行业应用市场

供需对接

平台服务商

专家服务库

其他制造行业

汽车/电子行业

石油化工行业

机械加工行业 ……

构建“产品体系+服务体系+生态体系”的安全产业价值闭环体系

工业产业生态圈 工业价值链生态圈 工业应用生态圈

工业互联网平台企业数据具有边界范围广、活动参与者多的典型特点，在数据安全建设方面需要自顶向下的整体建设思

路。为此，安恒信息为工业互联网平台企业提供了“云、网、边、端”的整体数据安全解决方案，切实解决数据在上云、

在云上的安全防护问题。

平台企业数据安全解决方案

在云平台上，提供云数据安全中心，以基础数据安全原子能力（如数据访问控制、数据脱敏、数据溯源、数据防泄漏

等）为基础，配合零信任体系，杜绝因权限导致的数据安全问题，以解决云上租户数据隔离、数据共享的安全需求，整

体达到数据安全集中管控、安全态势感知的效果；

对数据接入侧，提供设备安全接入技术和产品，如适配工业场景的数据安全网关及配套的终端套件、适合工业场景的数

据访问和传输控制设备等。

资源

OA系统

应用

接口

数据

CRM系统

应用

接口

数据

……

应用

接口

数据

安恒信息AiTrust零信任安全访问体系

TAM零信任身份服务中心

DSG-APP/API零信任代理系统

身份、权限鉴别请求、访问监控 鉴别结果、会话指令、配置消息

应用代理 身份

检验

权限

检验

动态

相应

通道

安全

流量

API代理 管控

二次认证

健康检查

身份与访问管理 风险分析与相应 访问策略控制

身份管理

认证管理

权限管理

日志汇总

信任分析

令牌发布管理

会话管理

风险联动

策略

引擎

AiThink UEBA引擎

多源日志接入

风险评分&基线&风险

基础设施

第三方身份服务

第三方权限服务

安全策略控制中心

控制指令

用户评分&基线&风险

访问主体

应用/API

访问请求

终端/主机

Agent

身份认证

TLS

19 / 工业互联网安全建设手册

建设工业互联网平台网络信息安全防护能力，满足平台基础安全需求，对平台网络、主机、应用、数据、容器、运营等进

行全生命周期安全规划与建设，实现边缘层、平台层、应用层的安全能力，符合等保2.0三级合规要求、和工业互联网分

类分级-平台级企业的增强级安全能力要求，为工业互联网服务奠定安全保障基础，打造工业互联网领域安全标杆，打造

领域内的唯一、第一的工业互联网安全运营大脑。

建设需求

为CosmoPlat平台建设安全能力，围绕一中心、两体系、统一资源池建设，满足工业企业安全数据汇聚、多云异构兼

容、服务分层解耦、新老应用并存等复杂安全需求，实现对云平台、大数据、应用、网络、边界、终端的全面安全赋能。

通过一个运营平台实现整体安全运营，减轻运维工作量。

解决方案

全面守护平台安全，覆盖云网边端、应用、数据和安全管理等多个层面，实现工业互联网平台安全的事前监测预警、事中

安全防御、事后审计溯源的目标；保障自身业务和客户业务的正常运转，为构建云平台安全、云应用安全、数据安全立体

化防护体系奠定基础；赋能平台众多工业互联网行业、产品与解决方案。

客户价值

卡奥斯COSMOPlat工业互联网平台防护案例

安全业务层

工业互联网安全大脑

资产管理

资产管理 业务建模

弱点管理 安全设备

态势感知

安全热点 资产感知

事件监测 检索中心

安全分析

模型管理 资产画像

指标管理 追踪溯源

安全运营

安全工作台 通报预警

工单管理 SOAR

安全数据中台

数据安全 安全数据层

安全数据接入 安全数据处理 安全数据组织 安全数据治理 安全数据服务

数据汇聚安全 数据传输安全 数据存储安全 数据处理安全 数据销毁安全

安全服务中台

安全能力层

服务目录 服务注册 服务接口 服务调度

安全资源池

硬件安全资源池 云安全资源池

安全体系

安全识别 安全防护 认证 权限 审计

安全检测 安全响应 审批 环境感知 策略管理

安全防护体系 零信任体系

工业互联网安全建设手册 / 20

平台建立在天翼云、华为云上，安全策略难以统一； 客户对于云平台的数据安全担忧，导致上平台意愿不足。

建设背景

通过集中部署的安全一站式SaaS服务，统一为用户公有云、私有云提供安全防护能力，实现安全集中建设、统一管理。

解决方案

为行业工业互联网平台服务商提供贯穿线上、线下的安全防护能力，解决中小企业和平台企业在平台安全、应用安全、数

据安全、网络安全的建设需求。

客户价值

浙江兰溪纺织行业工业互联网平台防护案例

打消客户对自身核心研发业务数据泄露的担忧，建设工业数据安全管理系统；以第三方视角提供云上数据安全保障、独立

性，保障医药企业云上数据的所有权，增加工业SaaS厂商和企业客户之间的信任度；同时满足监管需求，助力服务商和

药企建立安全可信的机制。

实现价值

某生物医药行业平台企业在高端医药制造行业深耕多年，助力为客户打造全流程数字化转型解决方案。其所服务的制药企

业对数据安全的要求性非常高，因此在保障平台提供数字化转型产品与服务过程中的网络安全同时，也需要解决平台用户

对于数据安全的担忧。

背景介绍

安恒信息以“医药数据安全”作为切入点，实现由点到面的全面网络安全保护。针对平台内网的研发环境的数据安全，采

用“区域内透明，区域外保护”原则，防止外部或内部不安全的设备接入网络，同时对企业的各种安全管理规范落地，解

决内网安全管理问题；针对医药行业SaaS应用、医药监管“黑匣子”等产品，通过引用云访问数据安全加密服务，保障

平台工业SaaS应用的医药企业客户，实现企业上云数据的全链路加密保护。

解决方案

某生物医药行业工业互联网平台数据安全防护案例

云安全中心（云端）

工业互联网一站式安全管理平台

云扫描 云抗D 云审计 云WAF

云监测 云堡垒机 数据库审计 EDR

天翼云

华为云

安全防护

安全防护

安全镜像管理

资产中心

SaaS安全管理

多云安全管理

第三方安全管理

安全监控中心

漏洞管理

安全运营中心

数据同步 配置下发

21 / 工业互联网安全建设手册

烟草 国家局、上海、深圳、浙江、陕西、山西、云南、河北……

电力

轨交

制造

有色

金属

石化

典型客户

工业互联网安全建设手册 / 22

区域工业互联网安全管理

工业互联网安全管理典型场景

·企业内部威胁和安全隐患难以发现

·如何有效落实监测预警闭环管理机制

·如何为企业建立安全服务保障体系

安全

可管

服务

管理

威胁

可见

风险

可控

工业安全管理部门

政策指导：

《工业互联网企业网络安全分类分级管理指南》

《工业互联网一体化进园区“百城千园行”》

《工业和信息化领域数据安全管理办法（试行）》

23 / 工业互联网安全建设手册

·如何掌握安全防护规范要求

·采取哪些措施可以达到合规要求

·中小企业缺少安全支撑资源

合规

自查

应急

演练

整改

建设

工业企业

政策指导：

《联网工业企业安全防护规范》

《工业互联网平台企业安全防护规范（试行）》

《工业互联网标识解析企业安全防护规范（试行）》

《信息安全技术 健康医疗数据安全指南》

《电信和互联网行业数据安全标准体系建设指南》

工业互联网安全建设手册 / 24

区域工业互联网安全管理解决方案

工业互联网安全综合服务平台服务于区域工业互联网安全管理部门，以工业互联网安全大数据分析平台为底座，建立监测

预警与协同应急管理、企业安全合规管理和安全综合服务三大业务应用，帮助用户完善监测预警闭环管理机制；建立以工

业互联网企业网络安全分类分级为要求的合规管理能力；形成工业互联网安全公共安全服务支撑体系，为用户实现管理、

服务双闭环。

监测预警与协同应急管理 企业安全合规管理 安全支撑综合服务

安全监测 协同应急

态势感知 信息共享

协同指挥

定级管理 合规自查

整改建议 验收检查

档案管理

安全门户 知识社区

产品社区 服务社区

考核管理

解决工业互联网安全监测预警难闭环难题。形成省、市工业信息安全监测预警能力，以及省、市和工业企业多级协同信息

通报、应急处置、威胁信息共享能力。当企业发生相关安全事件时，依据不同的事件等级开启响应措施，利用多级协同应

急处置能力，及时处置相关事件，让工业企业风险或损失降到最小。

监测预警与协同应急管理

建立服务沟通桥梁，形成工业互联网安全公共服务体系。建立省、市安全服务支撑供给资源池，定期开展工业互联网安全

宣传教育，提供“一站式”安全综合服务，引导工业企业自主选择相关服务，实现快速“对症下药”，开展安全服务考核

管理，形成良性循环。

安全综合服务

监测数据可验证 安全风险可预警 安全事件可处置

管理流程可闭环 总体态势可感知 应急响应可协同

开启工业互联网企业安全合规管理新模式。提供企业定级管理、符合性评测、风险评估、安全整改和档案管理等功能，帮

助安全支撑保障部门形成企业定级清单和重要数据保护目录，掌握辖区内工业企业安全现状，并针对不同类型和安全级别

开展相关安全支撑保障工作，形成分类分级闭环管理机制。

企业安全合规管理

形成定级清单和数据目录 安全合规管理流程化

合规检查差异化

风险评估精细化

检查

评估

整改

企业画像

定级信息

隐患信息

基本信息 资产信息

事件信息 整改信息

检查信息 评估信息

25 / 工业互联网安全建设手册

2021年，工信部相继发布了《工业互联网创新发展行动计划（2021-2023年）》、《关于开展工业互联网企业网络安全

分类分级管理试点工作的通知》和《关于组织开展工业领域数据安全管理试点工作的通知》。文件中分别对工业互联网安

全监测，工业互联网企业分类分级安全监管，以及安全支撑保障工作明确了行动计划和工作内容。

需求背景

·政策驱动需求：政策文件的下发，为各地方区域级工业信息安全监管部门具有明确的监管工作指导意义，分别从如何对

企业分类分级，如何做好分类分级的安全防护，以及如何做好相关安全监测预警工作给出了较为明确的工作行动目标。

·业务驱动需求：形成监测预警、信息通报、协同应急处置的闭环管理机制；形成工业企业分类分级安全监管闭环管理机

制；形成面向工业企业提供安全服务的生态体系。

需求分析

方案将工业互联网安全“监测预警与协同应急管理”、“工业互联网企业安全合规管理”和“工业互联网安全支撑综合服

务”三大业务应用融为一体，以“工业互联网安全公共服务”为核心能力，为工业互联网安全监管部门和工业企业提供

“双向赋能”。打造省、市工业互联网安全公共服务生态体系，逐步形成集约化工业互联网安全运营服务中心。

解决方案

工业安全新监管-省级工业互联网安全综合服务平台

综合安全服务能力

IT&OT安全服务资源集约化 本地-云端协同服务一体化

L3高级安全专家

L2安全分析师

L1安全工程师

服务 咨询评估 攻防演练 安全培训 安全运营 安全保险 安全服务托管

流程 资产发现管理流程 漏洞管理流程 威胁检测流程 处置响应流程 通报预警流程 服务考核流程

技术 威胁建模 情报分析 风险识别 关联分析 响应剧本与编排 安全检查评估

人员 安全测评人员 安全分析人员 安全处置人员 安全管理人员 安全咨询人员 行业安全专家

服务团队集约化

汇集多方人才，具

备IT&OT各类场

景下的安全服务团

队。

服务产品集约化

汇集从识别、防

护、检测、响应和

安全运营各阶段服

务产品。

管理

提升

技术

提升

人员

提升

全面赋能

按需订阅

区域主管部门 工业企业

L1安全运营工程师团队

（家庭医生贴身管理）

云端安全运营分析师

本地安全运营分析师

云端安全运营分析师

本地交付工程师

本地满意度经理

L3安全研究、高级专家团队

（名医团队会诊）

安全研究组

威胁建模组

情报研究组

漏洞挖掘组

应急相应组

分析研判组

项目管理组

威胁监测组

漏洞管理组

事件处置组

L2安全运营分析师团队

（门诊专家坐诊）

100+

团队

600+

团队

30+ 运营团队 团队

杭州、广州、西安、北京

四大运营中心

协同管理 协同服务 经验分享

信息共享

业务协同

省工信厅

省通管局 安全运营 省直属支撑队伍

服务考核

服务支撑

服务咨询

省监管单位 省直属工业企业

市工信局

安全运营 各地市支撑队伍

服务考核

服务支撑

服务咨询

市监管单位 市直属工业企业

全面赋能

按需订阅 安全服务资源共享

工业互联网安全建设手册 / 26

工业园区安全管理解决方案

结合工业园区的特点，依据工信部《工业互联网企业网络安全分类分级管理指南》管理规定，围绕工业园区数字产业培

育、产业数字化转型需求，以具体场景为牵引，打造工业互联网园区安全整体防护解决方案，包含工业互联网园区安全服

务平台、工业互联网园区态势感知平台、园区企业网络安全分类分级平台在内的三大服务体系，通过园区内工业企业、管

委会和上级安全管理部门协同，建立健全网络安全责任制、建立安全事件应急处置机制、建立完善工业互联网安全监测技

术手段，保障平台及解决方案企业的业务落地，推动园区高质量发展。

解决方案

工业园区建设-某省自贸区工业园区安全防护案例

客户价值

建立工业园区安全大脑实现网络安全常态化监测能力。

推进工业园区与地方监管部门网络安全管理协同发展。

建立园区网络安全生态环境，提高园区及工业企业网络安全意识。

节约成本提高信息利用率和时效性。

园区需要一套能够覆盖园区内各类工业企业，实现安全监测、预警、通报、应急处置、安全检查以及相关技术支撑工作

的平台。

落实工信部《工业互联网企业网络安全分类分级管理指南（试行）》管理规定。

加强对工业园区网络安全公共服务能力的建设。

建设背景及需求

工业互联网园区

安全服务平台

为行业平台／中小企业提供贯穿线上、

线下的安全防护能力，解决中小企业和

平台在数据、应用、平台的安全需求

工业互联网园区

态势感知平台

覆盖园区内各类工业企业，实现安全监

测、预警、通报、应急处置、安全检查

以及相关技术支撑工作

园区企业网络安全

分类分级平台

实现园区企业的分类分级的所有安全监

管需求，满足对工业企业的合规管理

园区管委会

数字化服务

运行监测

人才队伍

园区制造企业

转型痛点

转型规划

人才培训

平台企业

技术基础

解决方案

专家队伍

模型沉淀

……

平台进园区

方案获取

规划建设

方案获取

规划建设

需求获取

方案输出

运营优化

工厂可视化

能耗优化

智慧物流

产供销一体化

安全生产

数字驾驶舱

质量管控

智能仓储

人员管理

……

企业公共服务类需求 企业数字化转型类需求

安全风险管控

资产管理

安全处置

安全监测

态势感知

风险分析

……

安全服务类

安全咨询

风险评估

对抗演练

能力建设

应急保障

……

众包众创

协同研发

个性定制

……

开放创新

协同制造

备品备件

集采集销

云资源服务

资源协同共享

云EDR

云CRM

云SCM

……

通用工具

园区安全运营

园区政府类需求

实时监测

通报预警

态势感知

研判分析

应急处置

……

税务监管

环保监管

产能监测

质量监管

企业监管

招商引资服务

园区资产管理

人力资源管理

财税管理

智慧政务

园区公共服务平台体系 企业平台体系

27 / 工业互联网安全建设手册

工业互联网安全产品介绍

工业信息安全系列产品

安恒工业防火墙是专门用于工业控制网络场景下进行边界安全隔离防护的安全产

品，是一套集软件、硬件为一体的采用多重白名单的深度防御过滤机制，内置多

种针对工业控制网络设计的安全功能，能够对工控网络流量数据进行深度管控并

具备高可靠性要求的安全防护设备，能实现对工控网络流量的可知、可控，更有

效地防护工业网络环境安全，保障其业务连续性。

工业防火墙

安恒工业安全隔离与信息交换系统是安恒信息采用先进GAP技术融合访问控制、

应用代理、工业协议分析、数据采集转发等技术研制生产的新一代工业网络安全

产品。是实现工业网络环境中不同安全级别网络之间数据安全交换的隔离系统，

该系统由内、外网处理单元和安全数据交换单元组成，通过配置符合企业自身业

务需要的安全策略，在保证内外网隔离的前提下，实现高效的数据安全交换。

工业安全隔离与信息交换系统

安恒工业安全监测审计平台是一款专门针对工业控制系统安全审计和威胁监测的

平台。平台可以在不引入任何风险的情况下对工控环境进行安全监测和审计；如

实完整记录网络行为的同时，实时检测网络攻击、异常操作、非法设备接入、病

毒、关键工控行为等安全威胁，并及时告警，提供处置建议。产品提供了强大的

资产管理和网络实时可视化的能力，帮助客户实时掌握工控系统运行情况，降低

客户安全运维成本。

工业安全监测审计平台

安恒工控安全主机卫士针对工业主机的主动防护系统，采取“白名单”机制，加

固工控主机系统薄弱环节，对移动存储实施权限管控和操作审计，有效防范各类

恶意代码和恶意操作，为工业企业提供专业的主机安全防护方案。

工控安全主机卫士

安恒工业互联网安全态势感知平台以大数据智能分析为基础，以工业资产为核

心，以安全生产为目标，通过采集工业环境下的安全数据，利用工业安全大数据

分析技术，将技术指标与安全生产指标相结合，实现工业资产集中管理、风险集

中管控、安全趋势预判，为应急响应提供决策分析支撑，构建工业互联网智能化

网络安全运营管理体系。

工业互联网安全态势感知平台

工业互联网安全建设手册 / 28

工业云安全系列产品

安恒云系列产品主要包括安恒云在线订阅SaaS服务（新一代风暴中心）、安恒云私有化（新一代天池）、安恒云一体机

系列等，可为用户提供集多云安全和多云管理于一体的一站式凭条级解决方案。基于多云对接能力，完成公有云、私有

云、混合云及传统数据中心架构等混合IT环境下的安全能力融合，实现对多类型关键基础设施的安全融合交付，帮助用户

实现自由选云、安全上云，满足不同用户个性化的多云安全和多云管理需求。

安恒工业漏洞扫描平台是安恒信息在深入研究工业控制系统安全并取得相关成果

基础上完全自主研发的一款专门面向工业控制系统的专业漏洞检测工具。产品集

资产探测识别、漏洞扫描、任务管理以及报表分析展示等功能于一体，拥有丰富

的漏洞信息库，支持对传统IT系统的已知漏洞扫描以及对工业控制系统的已知漏

洞识别检测；能够让工控系统管理者及时发现安全漏洞，全面掌握当前工业控制

网络及系统中的安全风险，协助管理者进行漏洞修复，为安全建设提供直接依

据，从而全面提升整体安全性。

工业漏洞扫描平台

安恒工业安全管理平台是针对工业网络安全产品以及相应安全事件进行集中统一

管控的产品，通过对工控安全相关产品的集中管理，具备对安全策略的统一配

置、运行状态的全面实时监测、日志集中管理与分析能力、安全风险的实时响

应，帮助用户全面掌握工业网络安全状态，为管理层提出安全规划与决策提供重

要参考依据。工业安全管理平台旨在实现安全资产的统一管理和安全风险的综合

分析，使工业信息安全管理更加便利、降低人力资源投入。

工业安全管理平台

明鉴工业控制系统安全检查工具箱是针对工业控制系统信息安全检查工作的一体

化专用便携式检查装备，具有规范检查、工具调用、结果展示等功能，为工控系

统运行使用单位、监管单位开展工控系统的检查工作提供专业的测评知识和测评

方法；可实现对获取数据的关联分析、统计比对、处理流转等功能，以帮助工控

系统运营单位、监管单位了解工控系统的安全状态，提升安全检查的常态化、标

准化和规范化水平。

明鉴®工业控制系统安全检查工具箱

安恒云产品族

主机安全服务

DDoS高防服务 堡垒机服务

玄武盾云防护服务

防篡改服务

APT攻击预警服务

多云管理平台服务

漏洞扫描服务 玄武盾云监测服务

天池云安全管理平台

多云管理平台

玄武盾云防护平台

天池等保一体机

网络空间风险监测

系统（全新发布）

安恒云在线订阅SaaS服务

（新一代风暴中心）

安恒云私有化

（新一代天池） 安恒云一体机

下一代防火墙服务

数据库审计服务 日志审计服务

29/ 工业互联网安全建设手册

CAPE

C

Check

A

E P

风险核查

风险评估

密钥管理

数据脱敏

水印溯源

访问控制

防泄漏

加密

弱口令检测

身份认证

设备识别

数据发现

安全分级

账号权限

数据目录

漏洞扫描

配置检查

通过风险核查让数据资产

管理员全面了解数据库资

产运行环境是否存在安全

风险。

Assort

数据梳理

Protect

数据保护

Examine

监控预警

数据梳理阶段，包含以身份为

中心的身份认证和设备识别、

以数据为中心的识别与分类分

级、账号权限的梳理、形成数

据目录。

基于数据使用场景需求制定

并实施相应的安全保护技术

措施，以确保敏感数据全生

命周期内的安全。

通过全方位监控数据的使用

和流动，最终形成数据安全

态势感知。

CAPE数据安全能力框架

行为分析

态势感知

访问监控

权限变化

以身份和

数据双中心

全面覆盖

立体化防护

智能化、体系化

CAPE数据安全能力模型

工业数据安全系列产品

工业数据安全以CAPE能力框架，为工业企业构建覆盖全生命周期的数据安全体系：为企业提供工业数据分类分级安全服

务，覆盖数据全生命周期，建立以风险核查（C）为起点，以数据梳理（A）为基础，数据保护（P）为核心，监控预警

（E）为支撑的“数据安全运营”模型，达到整体智治的安全目标。系列包括AiSort数据安全分级与风险评估系统、

AiGate数据安全网关系统、AiMask数据脱敏系统、AiThink/UEBA用户与实体行为分析系统、AiDLP数据防泄漏系

统、AiTrust零信任、数据安全岛等数据安全产品。

工业互联网安全建设手册 / 30

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101 数据安全风险 数据未分类分级 数据库漏洞利用风险 账号安全风险 权限失控风险 开发测试环节数据泄漏风险 运维人10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

10101010101010110101010101010101010101010101010101010101

AiSort 安全能力 分类分级

AiMask

数据脱敏系统

AiGate

数据安全网关系统

AiThink

用户与实体行为分析系统

应用区

AiTTE

透明

传输

加密

AiDLP

数据

防泄漏

（网络&终端）

WEB端 APP

AiTrust 应用代理网关

（用户身份鉴别、应用访问控制、页面水印）

AiTrust API代理网关

（应用身份鉴别、接口敏感信息识别、API访问控制、API动态脱敏）

业务应用A 业务应用B 业务应用C ... ...

API接口 API接口 API接口 ... ...

AiSort

数据安全分级

与风险评估系统

数据发现

分类分级

风险评估

AiSort

（数据发现、分类分级、风险评估）

AiMask

（ETL、静态脱敏、水印溯源）

AiGate

（动态脱敏、访问控制、漏洞防护、运维管控）

DBAuditor

AiTDE

元数据与主数据管理

应用生产库

结构化数据库

数据仓库

非结构化数据

数据目录 数据治理

业务表

业务表

共享库

文件 接口配置 数据湖/数据中台

基础库

专题库

主题库

开放库

准生产区

准生产库

（数据库审计）

（透明数据加密）

生产区

EDR

（终端数据防泄漏）

工业防火墙

（数据安全传输 / 分区分域）

工业网闸

（数据安全传输 / 跨网）

NGFW

（数据安全传输 / VPN）

ICS-FW

数据安全传输

工业数据安全防护体系全景图

31 / 工业互联网安全建设手册

大场景

人员篡改拖库风险 数据存储风险 终端数据泄露风险 审计线索不足 数据泄露无法追溯 数据共享泄露风险（API安全） ……

AiDLP

数据防泄漏系统

AiTDE

透明数据库加密系统

AiTTE

透明传输加密系统

AiTrust

零信任

AiLand

安全岛

DBAuditor

数据库审计

多方数据安全融合计算

4

+

+

/

-

大数据局

共享开放

大数据

交易中心

公安科信

内部数据开放 企业之间

数据提供方 数据模型运营方 结果获益方

模型开发调试执行

下载加密结果集

“可用不可见”

“可用不可取”

AiLand

数据安全岛

区块链行为审计

数据安全风险感知与管理区

统全局数据安全风险态势感知

AiThink/UEBA

用户与实体

行为分析系统

账号风险

主机风险

数据风险

AiTrust TAM

零信任

身份服务中心

多因子认证

身份与访问管理

动态鉴权

DBAuditor

数据库审计

AiKMS

密钥管理

API接口

文件

库表

脱机文件

报表系统

数据分析师

数据挖掘工程师

第三方开发人员

……

测试库

前置库

数据开发人员

测试分析区

AiTrust API代理网关

（接口敏感信息识别、API访问控制、API动态脱敏）

AiMask数据脱敏系统

（静态脱敏、水印溯源）

AiMask数据脱敏系统

（静态脱敏、数据溯源）

贯穿数据流通全生命周期的

用户行为审计

数据集加密上传

授权“数据模型运营方”

的数据集申请

授权“结果获益方”

结果集下载

可信执行环境，MPC，

联邦学习，同态加密，

PSI，差分隐私等多种隐

私计算前沿技术）

数据共享开放区

工业互联网安全建设手册 / 32

技术实力

荣誉资质

1.工信安全漏洞库(CICSVD)技术支持组成员单位

——国家工业信息安全发展研究中心

2.2023年度工业信息安全监测应急支撑单位

——国家工业信息安全发展研究中心

3.网络安全技术与产业发展工业和信息化部重点实验室

专项工作组成员单位(第一批)工业互联网安全工作组

4.首个通过工信部重点实验室能力测评的工业互联网安全态势感知及安全管理类产品

——中国泰尔实验室、中国信息通信研究院

5.工业互联网设备安全能力测评证书（工控安全监测审计平台）

——中国泰尔实验室、中国信息通信研究院

6.《发电厂控制与管理系统信息安全防护关键技术及应用》获

中国电力科学技术进步奖三等奖

——中国电机工程学会、中国电力科学技术奖励工作办公室

浙江电力科学技术进步奖一等奖

——浙江省电力学会、浙江电力科学技术奖励办公室

7.工业信息安全测试评估机构（三级）

——工业信息安全产业发展联盟

8.首批工控安全防护能力贯标技术服务机构

——中国电子工业标准化技术协会、工业控制系统信息安全防护能力推进分会

9.2021年工业和信息化重点领域人才能力评价测试机构

——工业和信息化部人才交流中心

10.吉林省工业互联网生态资源池工控安全服务商（第一批）

11.广东省工业企业网络数据安全技术支撑单位（第一批）

12.大连市工业领域网络安全和数据安全服务机构（第一批）

13.湖南省工业领域网络安全和数据安全技术服务机构

14.浙江省工业信息工程服务机构资源池第一批名单

33/ 工业互联网安全建设手册

荣誉奖项

1.2021年工业互联网试点示范项目《基于SaaS化安全运营的新型工业互联网安

全防护平台》

——工业和信息化部

2.2021年“新一代信息技术与制造业融合发展试点示范名单”《钢铁制造行业工

控安全防护能力成熟度模型应用》（与大冶特殊钢有限公司联合申报）

——工业和信息化部

3.2021年全国大众创业万众创新示范项目《工业互联网安全一站式服务平台》

——国务院国资委、国家发改委、中国科协

4.2020年全球工业互联网大奖——“湛卢奖”工业安全奖

5.2022网信工控安全领域自主创新尖锋企业

6.工业和信息化部“铸网2022”实网演练优秀技术支撑单位

7.2018-2022年连续五年获中国工业信息安全大会工业信息安全优秀应用案例

——工业信息安全产业发展联盟

·《大型汽车制造企业工业互联网安全态势感知与综合管控服务项目》

·《基于SaaS化安全运营能力的新型工业互联网平台安全一体化解决方案》

·《智能制造企业工业互联网平台安全防护建设方案》

·《大型铝业集团工业安全态势感知平台建设》

·《大型火电机组工控网络和信息系统安全智能防护体系建设》

8.2017-2021年连续五年获中国自动化领域年度优质工业安全服务商

——中国自动化学会

9.海南省工业和信息化厅工业领域数据安全优秀产品、服务和应用解决方案

10.江苏省工业和信息化厅工业领域数据安全优秀产品、服务和应用解决方案

11.山东省工业和信息化厅工业领域数据安全优秀应用解决方案 AiGuard工业数

据安全解决方案

12.2021年工业互联网园区安全防护服务解决方案优秀案例

——工业互联网产业联盟

13.2021年度网络安全工程项目典范实践案例《某省级工业互联网安全综合服务

平台项目》

——中关村网络安全与信息化产业联盟

14.在赛迪发布的《中国工控安全市场发展白皮书（2021）》中，安恒信息

工业互联网安全态势感知产品市场地位第二

工业安全管理平台市场地位第一

工业安全监测审计平台市场地位第二

工业安全服务市场地位第一

工业互联网安全建设手册 / 34

杭州亚运会官方网络安全服务合作伙伴

Make security more intelligent Make intelligence more secure

安恒信息资讯

安恒信息技术股份有限公司

DBAPPSecurity Co., Ltd.

官网：www.dbappsecurity.com.cn

电邮：info@dbappsecurity.com.cn

客服专线：+86-400-6059-110

地址：杭州市滨江区西兴街道联慧街188号安恒大厦

座机：0571-88380999/28860999

传真：0571-28863666

杭州总部

科创板：688023

©安恒信息 V.20230829宣传品