图三：安盟华御数采单向光闸部署示意

设备由内、外网处理单元和安全数据交换单元组成。安全数据交换单元在内外网主机间按照指定的周期进行安全数据的摆渡。从而在保证内外网隔离的情况下，实现可靠、高效的安全数据交换，而所有这些复杂的操作均由隔离系统自动完成，用户只需依据自身业务特点定制合适的安全策略既可实现内外网络进行安全数据通信，在保障用户信息系统安全性的同时，最大限度保证客户应用的方便性。

3、补充安全设计

网络安全审计

建议在数采工作站交换机处部署安盟华御工业安全审计系统，快速识别出数采层中的相关非法操作、异常事件、外部攻击等，并实时报警。实现尽早发现企业中安全风险，做到安全预警。

主机安全防护

建议在数采站部署安盟华御工控主机卫士，防止用户的违规和误操作、阻止不明程序，授权移动存储介质访问权限等，有效提高工控主机的深度“免疫”能力。

安全运维

通过在数采机房部署安盟华御堡垒机，实现运维管理员和第三方服务人员对数采工作站及设备的运维操作管理和审计。对运维人员的系统登录授权、操作指令限制、操作全程录屏审计等功能。

安全管理平台

在办公网部署安盟华御安全管理平台，完成设备实时信息收集，实时监测终端设备的通信流量和安全事件。进行不间断地安全事件关联分析，强大的一体化安全管控功能界面，多视角、多层次的管理，实现安全可视化。

4、方案价值与收益：

与生产采集无缝兼容

所选产品能够满足与钢铁工控系统无缝对接，又能够提升整体计算环境的性能和稳定性，实现数据采集与单向上传，安全量身定做。

工控系统高安全隔离

能够阻止各种已知与未知的安全风险，防止勒索病毒以及相关变种提供数采链路传播到工控生产系统中。

集中管理可视化管控

实现对生产网业务系统操作的管理和审计，对操作人员做到“事前可知、事中可控、事后可查”的运维操作全过程管理。

异常操作审计与攻击预警

快速识别出数采层中的相关非法操作、异常事件、外部攻击等，并实时报警。

生产主机防护

能实时防止用户的违规和误操作、阻止不明程序，授权移动存储介质访问权限等，有效提高工控主机的深度“免疫”能力。

四、用户反馈

安盟信息在充分了解了我们的需求后，结合公司目前已有体系情况，为我们制定了该方案，通过部署工业防火墙和工业数采单向光闸，使生产系统不再担心来自互联网的勒索病毒、蠕虫、木马等入侵，工业数采单向光闸采用单向物理光信号传输，无任何数据反馈，保障了钢铁生产系统稳定运行，为公司未来业务发展提供了强有力的支撑。

 –某钢铁企业

安全牛评

工业生产系统网络的安全等级要求极高，为了更好地监控和管理工业生产系统网络，需要将系统中生产过程专用设备或工业智能设备的相关数据采集并传递至外部的工业管理网络，工业管理网络一般为外网，其安全等级相对较低。正基于此，产生了工业网络的数据单向隔离要求，安盟信息根据钢铁企业特点，结合安盟华御数采单向光闸、工业防火墙等产品，提出了物理单向采集防护解决方案，在不影响用户业务的情况下，实现了数据的单向传输。既满足了合规要求，又兼顾了用户的安全防护需求。