Webfield® ECS-700系统具有管理大型联合装置的一体化能力。系统在设计时已经充分考虑到大型工厂信息共享与协同工作的需求，其一体化的系统结构和系列应用软件可帮助用户及时获得决策信息，协同不同部门的人员工作，减少维护费用，提升生产效率。Webfield® ECS-700系统具有与上位信息系统易于进行数据交换的开放接口，能够充分满足企业信息系统的各种信息需求。同时，Webfield®ECS-700系统具备灵活的系统结构，支持持续的在线系统扩容，从而保护用户的投资。

JX-300XP控制系统是浙江中控技术股份有限公司SUPCON WebField系列控制系统之一。系统应用范围已经涵盖化工、炼油、石化、冶金、电力等工业自动化行业。JX-300XP控制系统简化了工业自动化的体系结构，增强了过程控制的功能和效率，提高了工业自动化的整体性和稳定性，最终使企业节省了为工业自动化而做出的投资，真正体现了工业基础自动化的开放性精神，使自动化系统实现了网络化、智能化、数字化，突破了传统DCS、PLC等控制系统的概念和功能，也实现了企业内过程控制、设备管理的合理统一。

TCS-900是中控自主开发的大型SIS产品。其采用三重化（TMR）和硬件容错（HIFT）的关键安全技术，于2015年3月获得了TÜV Rheinland 认证。可在紧急停车系统（ESD）、燃烧管理系统（BMS）、火灾及气体检测系统（FGS）、大型压缩机组控制系统（CCS）等场合广泛应用，截止目前已在石油天然气、石化、化工、能源、制药、冶金、压缩机组等行业取得了5500多套系统的应用业绩。具有与DCS一体化，支持双模块冗余结构，三重化表决架构，四阶梯降级模式3-3-2-2-0，五级故障表决机制等功能亮点。

GCS平台产品是中控面向工厂自动化领域推出的产品，产品包括G5中大型混合控制系统和G3分布式控制系统。整个平台基于UCP通用通信协议网络进行构架，使得产品适应现场分散的使用场合，满足了连续或半连续工业过程，以及大型基础设施场所的控制需求。如能源、冶金、水泥、隧道以及市政工程这样的领域。GCS平台上集成了多种控制功能、可视化、网络和信息技术，为各种应用程序提供完全集成化解决方案，如离散控制、运动控制、批处理、安全控制和驱动控制等应用场合。平台产品具有良好的环境适应性，适用于防腐蚀、宽环境温度、高海拔、防爆和户外使用要求的应用场合，在-40ºC 至 80ºC的环境中，系统能够长期可靠运行。

GCS平台产品是中控面向工厂自动化领域推出的产品，产品包括G5Pro中大型混合控制系统、G3Smart分布式控制系统、Fastrol可定制装备配套控制模块。整个平台基于UCP通用通信协议网络进行构架，使得产品适应现场分散的使用场合，满足了连续或半连续工业过程，以及大型基础设施场所的控制需求。如能源、冶金、水泥、隧道以及市政工程这样的领域。GCS平台上集成了多种控制功能、可视化、网络和信息技术，为各种应用程序提供完全集成化解决方案，如离散控制、运动控制、批处理、安全控制和驱动控制等应用场合。平台产品具有良好的环境适应性，适用于防腐蚀、宽环境温度、高海拔、防爆和户外使用要求的应用场合，在-40ºC 至 80ºC的环境中，系统能够长期可靠运行。

Webfield®DEH系统具有管理大型联合装置的一体化能力。系统在设计时已经充分考虑到大型工厂信息共享与协同工作的需求，其一体化的系统结构和系列应用软件可帮助用户及时获得决策信息，协同不同部门的人员工作，减少维护费用，提升生产效率。Webfield®DEH系统具有与上位信息系统易于进行数据交换的开放接口，能够充分满足企业信息系统的各种信息需求。同时，Webfield®DEH系统具备灵活的系统结构，支持持续的在线系统扩容，从而保护用户的投资。

内建安全是中控技术针对工控系统核心控制器的防护设计，以抵御某些针对控制器的恶意攻击或无意的操作失误，使控制器自身保持健康运行状态。内建安全增强控制器（可信启动），集成中控技术自主开发的安全盾，具备对SC-NET数据协议的深度解析、智能学习、对异常流量的报警和阻断功能，内建安全增强控制器遵循IEC62443标准自主研发，通过CE(欧盟市场安全认证标志)认证和Achilles Level Ⅱ国际认证，其通讯可靠性达到世界一流水平。【功能特点】控制器实时检测软硬件状态；AO/DO 模块在与控制器断开通信后进入故障安全状态，此时，根据工艺要求的不同，系统可按预先组态选择：输出保持或者输出预设安全值；双机冗余，实现自动同步、勿扰切换、在线更换；三个微处理器协同处理，基本扫描周期可组态，响应速度快、实时性高；命令白名单硬件按钮，监控模式下无法进行任何操作；灵活的密钥管理方案；支持国密加密和认证；采用命令白名单机制，仅允许系统本身命令通过；增加会话管理，防止会话欺骗和劫持；增强的通讯健壮性，实现细颗粒度的流量控制；支持动态度量，在程序运行阶段对内存、程序运行状态等进行动态度量，防止运行时态的篡改等。

主机安全卫士是一款应用于工业主机防护的软件产品。其采用“白名单+黑名单”防护机制提供多层次安全保护，可对主机进行全面扫描，生成可信任的白名单列表库，只允许运行白名单中的程序；同时具备强大黑名单功能，可对系统文件进行深度扫描，识别并查杀恶意代码。主机安全卫士能有效阻止病毒、木马及0-day漏洞的感染和被利用，保障工业环境中的工程师站、操作员站、SCADA服务器、数据库服务器、OPC服务器、接口机等工业主机的安全。【产品特点】1、“白+黑”双重防护采用“白名单+黑名单”双重防护机制，能够阻止任何白名单外程序运行，同时支持病毒查杀，确保白名单内文件的安全性，为主机提供双重安全防护。2、白名单驱动机制预制白名单库，支持基于“端口+程序”策略的网络白名单防护，阻止信任端口或程序之外的网络访问，有效抵御各类网络攻击和病毒传播。3、强大的黑名单查杀功能可根据黑名单对系统文件进行深度扫描，识别并查杀恶意代码4、低消耗、高稳定具备良好系统兼容性，支持Windows及Linux操作系统，具备轻量级、低消耗、稳定性等特点契合工控环境的应用需求。5、批量统一管理支持安管平台统一管理，可实现网络内所有主机安全卫士配置一键下发、补丁更新、软件/病毒库升级等功能，方便快捷。

工控防火墙GW031是面向工业控制系统网络的逻辑隔离类安全防护产品。产品基于“白名单”设计，内置深度报文解析模块与深层防护引擎，支持OPC、Modbus、SCNet等多种通用工业控制协议，集成DCS系统协议位号级防护功能，通过“解析+跟踪+防护”的方式构建“三位一体”工控网络安全通信模型，识别并拦截非法通信行为，保障工业控制系统网络的安全性与可靠性。【产品特点】1、工业安全策略访问控制支持“七元组”安全策略配置，拦截过滤工业控制网络中未经授权的访问，阻止来自外部的安全威胁，有效保护工业控制系统的网络安全。2、工控协议细粒度位号级访问控制产品支持OPC、Modbus、SCNet等多种通用工控协议，集成工控协议深度解析防护引擎，支持最高位号级访问控制，具备深度解析、状态跟踪、应用行为限制、位号控制等多种深度防护手段，识别拦截异常工控协议应用行为，多维度保障工业控制系统应用行为安全3、深度结合工业环境需求产品内置DCS系统深度一体化防护，具备域间隔离、站间通信等典型DCS系统部署场景一键配置，高度融合DCS系统网络特点与通信协议，支持位号级DCS系统行为控制，实现DCS系统网络区域安全防护。4、多种应用场景部署方案支持OPC、域间隔离配置、站间通信等多种工业控制系统典型场景配置，同时支持基于网络、工业协议、安全策略、服务等自定义场景配置，可根据网络场景与安全需求灵活配置，实现各类复杂工控场景下的部署应用。5、工业级硬件品质EMC工业三级,工作宽温达-20℃～＋70℃（环境温度），符合G3防腐标准，支持电源冗余/以及(9~24)VDC±20%宽幅输入。平均功耗低于5W，无风扇散热设计。

工控安全隔离网关是用于解决工业信息网与控制网间不同安全区域间边界防护问题的产品。产品内置双主机异构系统，通过专用硬件，实现工业数据信息摆渡，解决不同安全区域网络间的网络隔离与数据交互问题。产品还支持网络访问控制和常见攻击检测，实现数据采集+边界防御二合一，确保网络通讯的安全性，同时减少生产管理层与过程控制网络互联场景下的综合成本。【产品特点】1、高安全性双主机异构系统，剥离网络协议信息，采用非TCP/IP私有协议，通过专用硬件，实现工业数据交换，可彻底阻断了网络攻击路径。其中信息侧(外置机)采用非通用协议栈、无操作系统设计，无可利用漏洞，提升了系统的安全性。2、丰富的工业协议引擎通过工业协议引擎，实时检测工控协议异常内容，阻断非法流量，引擎支持OPC DA/AE、ModbusTCP、IEC104等20余种工业协议数据分析。 同时是业内唯一可支持工业数采接口实时数据库的设备，支持VxBase、VxHistorian、iSYS、VxMES以及supOS实时数据库采集协议无缝连接，时间滞后指标行业领先。3、位号级控制与过滤产品提供位号级访问控制功能，根据位号白名单访问控制策略，实现位号的读写权限控制及值控制，防止来自外部网络连接的非法操作。4、高效的工业数据交换能力具有高效的实时数据交换性能，含4个采集端口及2个转发端口，最高可支持2万点I/O位号采集与过滤控制5、高可用性支持“断线续传”，当信息网一侧出现网络中断时，缓存所采集的工业数据，待网络恢复正常后，可将历史数据快速上传至信息网。产品提供双机热备部署方式，防止设备故障引发数据传输中断。

工控安全管理平台是用于统一管理整个工业网络中工控安全设备的一体化产品。通过该平台可以对主机安全卫士、工控防火墙、工控安全隔离网关、网络监测系统、入侵检测系统、日志审计系统等安全产品进行统一集中管理，自动采集工控安全设备的操作、防护日志，便于实时掌握工控网络系统安全现状，降低网络安全运维成本、提高工业安全事件响应效率。【产品特点】1、多平台集中管理面向工业领域，支持主机安全卫士、日志审计系统、入侵检测系统、工控安全隔离网关等多种工业网络安全产品的统一管控；2、多种配置操作支持远程管控，包括白名单扫描、病毒查杀、补丁更新与管理、版本更新、病毒库更新等配置操作；3、全面的安全日志审计支持对工控安全设备的日志数据采集与集中管理，包括接收第三方syslog数据及自身数据转发等多种形式；4、准确高效的事件告警实时监控安全设备的防护状态，及时捕捉不安全事件，实现向控制网推送重要网络安全报警信息；5、高性能稳定运行保证平台自身稳定的同时构造流畅的远程配置终端环境，可同时接入500个终端进行管控。

中控日志审计分析系统是基于大数据架构的新一代日志审计系统，可针对大量分散设备的异构日志进行集中采集、统一管理、存储、统计分析的一体化产品。该产品能够实时将工业控制网络中不同厂商的网络设备、安全设备、服务器、操作员站、数据库系统的日志信息，进行统一收集、管理和分析。它能够高效、精准、全面地帮助用户发现日志中蕴含的各种安全风险，便于用户对网络中的安全问题进行定位、追踪、取证，以确保客户网络及业务的顺畅运行。【产品特点】1、全面集中的工业日志管理支持 SYSLOG、SNMP Trap、FTP、JDBC/ODBC 等多种日志采集方式；可采集、管理和分析交换机、防火墙、操作员站、数据库系统等各类设备的操作信息。2、强大数据强化技术提供一套简洁有效的工业日志统一分类方式，利用日志范式化、多源关联分析等技术将日志快速标准化，并基于安全分析需要进行工业数据的过滤和强化，丢弃无法使用的噪音信息，提升日志查询和分析效率。3、海量的日志处理能力在并发内存处理机制方面，处理效率是其它采用磁盘访问方式解决方案的数倍，借助离线计算引擎在小时级别内，可完成对海量日志的处理，解决工业日志分散、种类繁多、数量巨大的问题。4、灵活的扩展存储方案提供了多种日志存储扩展方式，支持按需选择日志存储扩展方案，可满足《网络安全法》规定至少留存 6 个月日志的要求。

工业入侵检测系统是针对工业控制网络设计的进行网络安全检测及防护的一体化设备。系统通过对工控网络流量的采集、分析、监测，快速有效识别出工业控制网络中存在的网络异常行为和网络攻击行为，并进行实时告警，同时详实记录网络通信行为。新一代产品从智能识别、环境感知、行为分析三方面加强了对应用协议、异常行为、恶意文件的检测，为工业控制系统的安全事故调查提供坚实的基础，为企业提供了一套看得见、检得出的全新入侵检测解决方案。【产品特点】1、实时网络检测具有实时主动的网络检测功能，对可能出现的异常流量进行全面分析与监测。2、深度应用检测针对操作系统、工业软件以及工业控制系统，深度检测报文中的恶意流量和攻击行为，保护存在的漏洞，防止工控系统损坏或宕机。3、全面内容管理对工控网络资源提供内容管理，可有效检测间谍软件，包括木马后门、恶意程序和广告软件等。4、多种病毒查杀可对HTTP、SMTP、POP3、FTP等多种协议类型的近百万种病毒进行查杀，包括木马、蠕虫、宏病毒、脚本病毒等，同时可对多线程并发、深层次压缩文件等进行有效控制和查杀。

工业网络安全监测系统，是专门针对工业控制网络的安全审计系统。不仅包括网络安全层面的异常监测，还融入了不同行业的关键业务行为告警。系统采用旁路部署模式，对工业生产过程“零风险”，结合特定的安全策略与行为基线，可快速识别网络中的异常、攻击行为，并实时告警；同时记录所有网络通信行为，提供网络监测、协议分析和安全审计功能，为工业控制系统的安全事故调查提供全面支持。【产品特点】1、基于DPI的工控协议深度解析支持Modbus-TCP、OPC等主流工控协议的深度报文解析，有效识别动态端口。提供报文格式检查、完整性检查、指令及位号操作识别等；支持工控场景下的工控行为识别，如分布式控制系统中的组态下载、固件更新、位号调试等工控行为识别。2、基于资产角色的行为建模可按照资产角色对工业控制系统中不同资产进行行为建模，配置相应的行为基线，以此感知资产角色的异常操作行为，发现和捕获各种敏感信息、违规行为，实时告警，全面记录工控网络中的各种事件，实现对工业网络信息安全的评估及安全事件的跟踪定位。3、强大的入侵检测功能支持多种经典网络攻击检测，实时监测网络环境中的恶意攻击，为工控安全保驾护航。4、可视化流量监测支持历史流量趋势、实时流量可视化，具备友好的流量可视化监测界面。5、健康度评估具备资产健康度的评估功能，根据资产上产生的通信行为对其健康度作出评测，对健康度较低的资产作出告警，实现对潜在的网络威胁进行快速定位。

SW3026系列以太网交换机是中控技术自主研发的控制网络接入和管理的产品，具备完备的二层管理功能。该系列工业交换机集成交换、安全、SNMP等多种丰富协议，具备优越的组网能力，满足工业网络对可靠性和安全性的要求。该产品可配套中控控制系统网络方案，全面提升工控网络的安全防护能力，实现网络关键节点的威胁抑制和整网安全的桌面化运维。【产品特点】1、多协议组网架构支持 IEEE 802.1Q VLAN、SNMP、HTTP、STP、LLDP 等功能，支撑中控技术大规模总分组网架构；2、支持工业网络设备的白名单准入自主研发软件平台，有效抵御针对交换机本体的攻击；具备安全功能，支持私有准入控制协议，实现DCS控制器、操作站接入时的准入控制功能，可防护内网安全3、安全管理功能支持安全审计、自主身份鉴别、用户数据保护、安全管理等安全功能，支持端口镜像。4、工业级硬件品质采用无风扇散热电路设计，满足0~70ºC范围工作环境温度需求和 IP40 高防护等级；具备耐振动、耐冲击、耐高低温、耐腐蚀、防尘、脉冲磁场抗扰等卓越的工业级品质。

USB安全隔离终端（USB Guard）是一款专为移动存储设备全面防护而设计，实现移动存储设备安全隔离、病毒查杀、文件过滤和文件共享等功能的终端。采用白名单+黑名单机制，内置文件类型白名单和杀毒引擎，能有效防止未知病毒文件对工业控制系统带来的威胁，并且能抵御badUSB、Rubber Ducky等高级USB攻击，满足了工业控制系统装置现场对移动存储设备安全访问的需求。【产品特点】1、移动存储设备物理隔离移动存储设备与系统主机物理隔离，无法直接感染系统，增强系统安全性。2、即插即用通电后只需进行IP和共享权限配置，即可满足同一网段内所有主机的拷贝需求，免安装客户端软件3、“白+黑“模式采用“白名单+黑名单”双重防护机制，内置文件类型白名单和杀毒引擎。4、异构系统USB Guard采用Linux操作系统，可免疫大多数病毒攻击5、病毒库自动更新支持安管平台统一管理，可进行病毒库集中管理、更新6、全面系统日志审计详细记录 USB 文件操作、病毒查杀、系统配置等日志，可查看、分析、统计、查询USB 安全隔离终端日志，并按风险度分级呈现威胁情况，支持日志导出。

全网诊断平台是一款用于工业网络维护的网络诊断平台软件。主要为工业网络提供了资产管理、诊断监控、故障报警、日志审计等功能，可满足大型项目中对工业网络设备管理和网络状态诊断等方面的需要，提升网络安全运营水平，满足网络“运行监控”的等保合规以及行业合规要求。【产品特点】1、工业网络资产管理运行监控支持“自动化网络资产管理”，支持控制系统网络的状态监视，提供控制器、操作站、交换机、路由器、防火墙等多种设备的统一监视功能，可有效提高运维效率；2、强大的诊断扫描专门针对工控网络设备管理，支持ECS-700、TCS-900控制系统硬件的诊断和监控，提供多种设备网络负荷、主备切换、资源使用、组态同步、程序故障等的统一管理和诊断，并输出可视化诊断结果。3、智能告警，主动预防支持设备节点的故障报警功能，交换机7*24小时端口流量记录，端到端主动预防，提前发现可能存在的风险4、方便易用，个性化设置网络拓扑自动展示，支持手动布局调整，页面操作直观便捷4、深度结合工业应用场景显示工业网络中总线型的拓扑结构，同时支持工业场景中的冗余网络管理，契合工业网络的实际需求

容灾备份系统是集备份、容灾、迁移于一体的软件产品。该产品采用一种全新的数据保护架构，提供了对操作站、工程师站、实时数据库服务器、APC服务器等多种工业主机环境的数据备份、存储和恢复。有效防止由勒索病毒、硬件损坏、误操作等导致的数据丢失，它可以为工业企业提供全面、安全、快速和可靠的数据保护手段。【产品特点】1、全面满足多类型需求全面地支持企业中的工作站、服务器、虚拟化环境和移动设备等20多种不同的平台，只需一款解决方案即可保护企业所有的数据和业务系统；2、灵活恢复提供远程备份和本机备份，可单独恢复本地和远程计算机指定的文件或文件夹到原位置或新位置，恢复时保留文件元数据，例如权限、属性、修改时间。3、集中管理现代化的网页控制台提供清晰、直观的视图、备份客户端任务和策略管理、服务器、工作站、虚拟化集中管理4、异机还原智能化的异机还原和不同平台的迁移技术，轻松地在物理机和物理机之间、物理机和虚拟机之间、虚拟机和虚拟机之间转换业务，满足企业现在和未来的数据保护需求。5、一次性授权、长期使用中控长期授权许可，不使用按年订阅方式，大幅降低用户采购、运维成本，提高产品使用便利性

中控技术网络安全运营服务立足于客户工控安全实际需求，结合工控安全服务能力、情报能力、研发能力、前沿技术能力等“安全资源池”，通过面向用户的“智能枢纽平台”，整合工具、平台、专家经验等资源，运用业务场景化安全思维，面向客户输出9个“安全服务能力”，协助客户完善自身安全体系，实现能力共建的目标，为客户提供 “事前、事中、事后”全生命周期的安全服务保障。【服务特点】1、事前精准识别精准识别工控环境资产信息，协助企业掌握全面、准确的资产信息。定期系统性安全巡检，能够主动发现服务单位信息资产存在的安全风险(例如 APT 攻击)，并在巡检工作完成后，提供详细的巡检报告。安全通告服务使客户第一时间了解安全漏洞危害及下一步处置措施。2、事中快速响应快速应急响应减少安全事件造成影响，通过 SSOC 平台对攻击行为进快速行溯源分析、问题定位，并协助快速恢复正常生产，减少甚至避免安全事件造成损失。3、事后有效固防协助加固工控网络，修复存在漏洞，避免后期安全事件再次发生。对风险等级较高的威胁按照服务单位客户要求开展修复及加固工作，实现安全事件处置闭环，有效提升工控生产环境安全防护能力。

【背景】随着工业化和信息化的发展、国家《网络安全法》和《数据安全法》的颁布，工业网络的安全建设越来越受到重视。保护工业信息安全既是企业的建设目标，也是国家的政策要求。中控技术依托丰富的工控领域产品研发和工程实践经验，开展工业网络安全建设，全面感知工控系统遇到或可能遇到的网络安全风险，提升系统的整体安全防御能力，构建单位可信、可控、可管的安全防护体系。【建设目标】网络安全 业务连续 安全合规【设计依据】国际标准IEC 62443、国内网络安全等级保护2.0、《中华人民共和国网络安全法网络安全法》等【体系架构】中控的工控系统等级保护安全技术防护从外到内构成自主可控的多层次“内建安全、纵深防御、专业运营”防护体系。在底层构建内建安全产品体系，确保产品具有网络安全“健壮性”，在顶层规划部署网络安全管理及网络安全运维体系确保网络安全的长期、持续有效，在中间层建设包括安全通信网络、安全区域边界、安全计算环境以及安全管理中心的纵深防御体系。中控技术工业信息安全自主可控技术防护体系模型【方案设计】安全管理中心：在安全管理区部署集中安全管控设备，如工控安全管理平台、网络安全监测系统、日志审计系统，对工控安全设备状态、工业主机安全状态、工控网络安全事件等安全信息进行集中收集、处理，对工控网络安全态势进行分析、展示、报警。安全通信网络：单独划分网络安全管理区域；采用加密算法及模式AES-CCM*,对操作站和控制站之间的通信进行加密和完整性校验；采取灵活的密钥管理方案，实现每个控制站使用不同的密钥，支持国密加密和认证。采用命令白名单机制，仅允许系统本身命令通过。安全区域边界：各安全域边界部署工业防火墙、网关，实现边界隔离保护；旁路部署工业网络安全监测系统、入侵检测系统，达到深度安全防护。安全计算环境：部署主机安全卫士，维护工业主机安全；配置工控安全基线，对工控上位机、服务器、网络安全设备进行安全加固；部署日志审计系统，进行安全行为审计；部署容灾备份恢复系统，建立健全控制系统“最后一道防线”。安全物理环境：主要考虑物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。安全运维体系：等保建设方案中包括可持续提供的网络安全运维服务，运维服务内容包括但不限于定期巡检、特征库升级、应急事件响应以及网络安全事件分析。网络拓扑图【价值点】合法合规：满足“等保2.0标准”、法律法规、行业标准等政策性要求。行业趋势：符合行业对工控安全防护高需求、新趋势、新技术的发展要求。安全可控：工控网络安全防护体系与多厂家控制系统高度融合；完成了从被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。业务保障：深度结合客户实际项目，解决生产中的存在问题，降低风险因素，保障连续生产，满足客户需求。

InPlant SCADA是中控技术自主研发推出的面向大规模分布式工业生产现场应用的综合监控组态系统软件，支持5万点内免费授权，为企业提供从下到上完整的生产数据采集、生产综合监视、控制与集成服务，为企业生产安全、优化调度、故障诊断及生产数字化转型提供支撑平台。软件下载：www.supcon.com/new/NBD