工控安全厂商分析及产品对比

研祥智能工业控制现在市面上的工控机品牌当以研祥、研华、华北工控、西门子、控创五大品牌居多，今年在各个品牌之间的差异化已经越来越小，所以很多用户在选择的时候也会出现迷茫，本文小编经过整合多方资料，做出以下整理，请参考：工控行业品牌工控机的优势分析：1、研祥工控机，国内知名品牌工控机。

价格相对来说比较合理，具体视配置而定。

目前已经达到国内顶尖，国际先进的水平，也是国内特种计算机行业唯一能和国际品牌抗衡的工控品牌。

全国各地设有分公司，经销商数量也是遍布全国。

相对其他品牌而言，服务质量高。

2、研华工控机，属于台湾的品牌工控机，其工控机产品性能较好，目前主要是做国际市场，性能特点与研祥差不多，但价格相对其他品牌工控机而言偏高，而且在国内是以代理商为主，服务质量低。

3、西门子工控机，是大多数人认同的一款性能较为稳定的工控机。

最常见的是型号547B，机器被大多数人认可，但价格一般都在一万以上。

考虑多方面因素，就不建议选择了。

总体而言，机器稳定，可以减少后期维护成本，性价比一般。

相对来说研祥的性价比要高很多，而且性能差不多。

4、德国控创工控机。

性能稳定，价格偏高。

以前，它和西门子的价格基本上都在一万元以上。

特别的是型号为C4004机器，较为稳定，而且近年来这款机器便宜了很多。

针对这款机器，性价比高，可以选择。

5、华北工控的工控机，价格超级便宜。

稳定性很差，如果不是本地使用的话，那后期的服务就够让你头疼的了。

便宜的不一定不好，但厂家基本没有利润的前提下卖出去的东西，反正我们厂是不敢用，呵呵。

厂家没有利润，他拿什么来保证你的后期服务。

综述，一般要用工控机的厂商或者客户建议国内可以考虑研祥，国际品牌可以考虑西门子。

前言随着企业信息化应用的逐渐深入以及两化深度融合的持续推进，我国工业自动化水平得到了很大提高，信息、网络以及物联网技术在智能化生产设备和信息系统中的应用也日趋广泛。

企业为实现系统间的协同和信息共享，工业控制系统逐渐打破了以往的封闭性：采用标准、通用的通信协议及硬软件系统，从而使工业控制系统面临病毒、木马、黑客入侵、拒绝服务等信息安全威胁。

由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要的行业中，其安全事故造成的社会影响和经济损失会更为严重。

工业控制系统安全是工业进行信息化和智能化改造的重要因素，因此，只有在保证工控系统安全的前提下，才能够促进企业生产制造安全，从而保障工业智能化带来的生产效率的提高和附加效益的实现。

如何解决工控安全问题已成为企业面临的严峻挑战。

当前，市场上工控安全类产品众多，如何选择一款合适的产品来帮助企业提升工控系统安全防御能力至关重要。

面对企业选型时的种种困惑，e-works本着客观、中立、公正的原则，发布《工控系统信息安全（ICS）产品选型手册》。

旨在通过对工控系统安全领域厂商的产品及技术的全面分析和梳理，为制造企业工控系统安全解决方案的实施与选型提供参考。

选型手册涵盖了威努特、中国网安、力控华康、匡恩网络、海天炜业、绿盟科技、中科网威、谷神星、安点科技等业内主流厂商。

在此，非常感谢厂商市场人员积极配合本次选型工作，主动提供与产品相关的资料和介绍，给选型手册的编撰工作给予的大力支持。

目录前言 (2)一、工业控制系统概述 (4)1．工业控制系统体系架构 (4)2．工业控制系统功能组件 (5)3．工业控制系统安全现状 (7)4．工业控制系统安全问题分析 (8)4.1. 通信协议漏洞 (8)4.2. 操作系统漏洞 (9)4.3. 杀毒软件漏洞 (9)4.4. 应用软件漏洞 (9)4.5. 安全策略和管理流程漏洞 (9)5．工业控制系统安全保障策略 (10)二、产品选型 (11)1．资质评估 (11)2．需求评估 (13)3．功能评估 (16)4．成本评估 (13)5．合同签订 (17)三、案例分析 (20)1．工控系统安全在汽车行业的应用 (19)2．工控系统安全在数控机床行业的应用 (23)3．工控系统安全在石化行业的应用 (25)四、主流厂商及产品 (27)1．威努特 (27)2．中国网安 (28)3．力控华康 (30)4．匡恩网络 (31)5．海天炜业 (32)6．立思辰 (34)7．绿盟科技 (35)8．中科网威 (37)9．谷神星 (38)10．安点科技 (39)e-works研究院介绍 (42)一、工业控制系统概述工业控制系统（Industrial Control Systems, ICS），是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。

全球十大工控机厂商和品牌都有哪些？发布日期：2015-01-15 浏览次数：568核心提示：工控机即工业控制计算机（IndustrialPersonalComputer，简称IPC），亦叫工业电脑，延伸名词包括嵌入式电脑、加固计算机、产业电脑、车载电脑等等）。

工控机即工业控制计算机（IndustrialPersonalComputer，简称IPC），亦叫工业电脑，延伸名词包括嵌入式电脑、加固计算机、产业电脑、车载电脑等等）。

工控机是采用总线结构，对生产过程及机电设备、工艺装备进行检测与控制的工具总称。

工控机不仅具有重要的商业和个人计算机属性和特征如计算机CPU、硬盘、内存、外设及接口；还有专业的操作系统、控制网络和协议、计算能力、友好的人机界面等等。

工控行业的产品和技术非常特殊，属于中间产品，是为其他各行业提供可靠、嵌入式、智能化的工业计算机。

1、研华工控机Advantech研华是一家全球领先的网络平台(ePlatform) 服务供应商。

自1983 年创立以来，研华始终致力于为工业电脑和自动化市场开发并生产高质量、高性能的网络平台产品及服务。

研华工控机产品十分丰富，包括嵌入式电脑、CompactPCI平台、工业计算机外设、工业便携式电脑以及医疗电脑、车载电脑等上百个系列上千款产品。

研华科技已经连续几年婵联全球最大工控机厂商的荣誉。

2、西门子工控机Siemens西门子工控机应用广泛，主要用于汽车制造业（例如测试台，喷涂线）、半导体和电子工业（例如扩散工厂）、可再生能源（太阳能，风能）、化工和医药行业（例如台式压力机）、是有化工和水行业（例如水处理，水供应）、食品行业（录入灌装系统，水果压榨机）、仓库和物流（大型立体仓库，输送系统）、机械制造（例如印刷机械，防止机械，烟草机械）等行业。

目前，西门子工控机主要分为三大种类：机架式（RACK），箱式（BOX）和面板式（PANAL）。

3、控创工控机Kontron控创集团成立于1962年，目前已成为全球最大的嵌入式工业计算机产品供应商。

108 2世界各大PLC厂商高端产品比较自1968年美国莫迪康( Modicon )公司发明PLC (Programmable Logic Controller) 产品以来, 先后涌现了近千个品牌, 历经30多年的发展和淘汰, 目前就高端产品而言, 在整个PLC 业界有以下几家代表了最高的技术水平:1. 美国Rockwell 公司– PLC5相对与Control Logix, PLC5 在机械和电气性能上远优于前者.在网络与通讯方面, Control Logix 支持的网络PLC5 均支持; 而PLC5 的网络, Control Logix 不能完全支持,由于Control Logix 是于1998年底推出的, 由于产品发展的自然规律, 其智能化和特殊应用模板的种类要比PLC5 少. 举例来说, PLC5 有一种Basic 模板可通过Basic 编程以对一些第三方通讯接口通讯, 而Control Logix 至今尚未推出.Control logix是AB公司为降低成本,所推出的’所谓的大型PLC’,其实为中小型PLC系统,该系统由于刚刚推出,产品的性能和指标很不成熟,特别强调的是:没有真正意义的双CPU系统.Control logix是总线式的多任务处理器结构,同一槽架上能插多块CPU,但由于是多任务处理器的机理,故虽然是多块CPU,但每一块CPU的工作内容并不一样,也就是说,一块CPU坏了,另一块CPU并不能替代,导致输入信号可以共享,但输出信号却不能同时控制.鉴于此,AB公司的几个人在一起,开发出”一段热备切换程序”,以完成双CPU的切换,但他们根本不能提供真正的切换时间(而其他公司可提供),这就是PLC业界所称的”软件切换”,很不可靠.由于AB 公司有很多的第三方厂商为其开发第三方通讯接口, 其系统的开放性很好但由于这些产品开发商均是基于PLC5 或SLC500 系列的硬件平台上来进行开发造成目前Control Logix 在系统开放性方面比PLC5 差了很多就近3 年国内外的应用实绩, PLC5 远胜于Control Logix2. 美日合资GE Fanuc 公司GE Fanuc 公司的最高端产品应是GE Fanuc 9070 系列相对与更类似与日本产品的GE Fanuc 9030 系列, 9070 在机械和电气性能上远优于前者在一些真正考核大型机标准的特性上, 如双机热备上9070的性能要远优于90303. 德国Siemens 公司从发展角度来说, S7-400 系列应该已取代S5 系列. 从模板种类, 网络种类, 专用模板数量来说, S7-400 均接近S5 系列. 然而从模板的可靠性角度分析, S5 的质量要远胜于S7-400. 这一点可以在Siemens 本公司工程部在国外重大工程仍主推S5 系列上可以看出.如99年7月,杭州四堡40万吨污水厂业主要求用S7-400,而德国的系统集成商认为S5比S7可靠,结果系统还是选用S5系列.Siemens公司在国外的投标项目中,都选用S5.4. 法国施耐德公司该公司承认Modicon TSX Quantum 系列为其最高端产品,可达到目前业界的最高水平.二. 产品比较1. 模块带电插拔能力Rockwell AB PLC5, 所有模板不能带电插拔Rockwell AB Control Logix, IO模板可带电插拔其他模板不能带电插拔GE Fanuc 9070, 所有槽装模板不能带电插拔GE Fanuc 9030, 所有模板不能带电插拔Siemens S5, 所有模板不能带电插拔Siemens S7-400, IO模板可带电插拔其他模板不能带电插拔Schneider Modicon TSX Quantum, 所有模板均能带电插拔2. 支持IEC870-5 通讯规约的能力Rockwell AB PLC5, 通过Basic 模板或第三方模板Rockwell AB Control Logix, 没有Basic 模板并且尚未有第三方模板的支持. 故应不能支持该规约GE Fanuc 9070,可以GE Fanuc 9030, 不详Siemens S5 系列, 可以Siemens S7 系列,可以Schneider Modicon TSX Quantum 系列, 可以3. 双机热备的实现Rockwell PLC5 系列两套主机系统互为备用. 以实现数据同步交换互为备用的功能.?主/从机之间采用电缆连接, 其优点是:1. 采用类Modicon 984 热备模式,可靠性高2. 所有主从机架上模板均能互备3. 在实时性要求不高的场合有一定的成功应用业绩其缺点是:1. 热备切换需要用户编程–使用和维护较复杂2. 主从机通过电缆交换数据, 实时性较差,最快切换周期49 msRockwell Control logix系列99年推出. 与PLC5 的结构基本相同.其优点是:1. 采用类Modicon 984 热备模式,可靠性高2. 所有主从机架上模板均能互备其缺点是:1. 热备切换需要用户编程–使用和维护较复杂2. 尚未有成功的业绩, 其可靠性不能保证3. 采用单电源技术, 不是最可靠GE Fanuc 9070 系列GE 90-70的热备系统必须使用冗余CPU模块(IC697CPU780),热备模块(IC697RCM711),以及总线传输模块(IC697BEM713).每次扫描,传送一次数据.CPU切换时间多数情况之下是在一个周期内,大约20ms.切换可通过自动,手动,及软件实现.IC697CPU780用的是80386DX芯片,主频为16MHz.CPU780不支持I/O中断,时间中断,VME集成槽架,闪存操作,STOP/IOSCAN模式.90-70的本地I/O及Genius I/O(远程I/O)都可用于热备系统.(1) Genius I/O热备系统可以有一条或多条Genius I/O bus,任何GE的设备都可以连在上面,包括Genius blocks, Remote I/O Scanner.主PLC地址为31,备用PLC地址为30.(2) 本地I/O本地I/O并非热备系统的一部分.可以选择这些数据是否传输.(3) Cable Connections可以在热备缆上连接6个机架,使用一种总线接收模块.距离很近.其优点是:采用Modicon 984 热备模式, 可靠性较高其缺点是:1. 冗余的两块CPU,必须分别作配置, 使用不方便2. 冗余用CPU 为专用CPU, 单机应用时无法使用,灵活性很差3. RCM模块与CPU之间不能有空槽, 组态麻烦4. 主从机之间切换较慢, 典型的时间应在60 ~ 80 ms左右GE Fanuc 9030 系列GE 90-30有两种热备方式.1. 单机架CPU热备由于所有的90-30机架都只有一个CPU插槽,所以90-30只支持单CPU,要在单机架上实现双CPU 冗余,就必须在一个非CPU插槽上插一块叫做PCM的模块,以起到CPU的作用.此种热备方式的优点:除了价格上的优势, 其余一无是处缺点:1) 90-30机架只支持单电源,所以一旦电源故障,双CPU也就形同虚设.2) 这种热备方式的实现必须用C语言及Basic编程,十分不便3) 很少应用实例.2. 双机架热备.这种热备方式类似于Quantum.不过它的热备模块用的是Genius I/O通讯模块.它的所有I/O均挂在Genius I/O上,主机架上没有I/O.也就是说,Genius I/O同时起到I/O通讯和热备数据交换的作用.优点:价格便宜.缺点:1)Genius I/O数据交换速度比不上光缆.2)推出不久,不够成熟.? Siemens S5 系列两套主机系统互为备用. 主/从机之间采用电缆连接, 以实现数据同步交换互为备用的功能.其优点是:1. 采用类Modicon 984 热备模式,可靠性高2. 所有主从机架上模板均能互备3. 在实时性要求不高的场合有一定的成功应用业绩其缺点是:1. 热备切换需要用户编程–使用和维护极复杂2. 主从机通过电缆交换数据, 实时性较差Siemens S7-400系列真正的S7-400的热备系统包括2块电源,2块CPU(S7 417-4H),4块热备同步子模块(这是一种体积较小, 类似于PCMCIA卡的装置,插在S7 417-4H的槽里,之间用光缆连接.其优点是:1. 采用光缆传输同步数据传送速度很高2. 所有主从机架上模板均能互备其缺点是:1. 热备切换需要用户编程–使用和维护极复杂2. 几乎在国外大型项目中无应用实绩Schneider Modicon TSX Quantum作为热备系统的发明者, Modicon 一直处于热备系统的技术领先地位.其584, 984 热备系统的构想影响了整个PLC 业界的热备技术发展. 目前Quantum 系列的热备系统从技术角度来讲, 无疑是最佳其优点是:1.热备切换无需用户编程–使用和维护极方便2.热备系统单机编程–和单机系统并无差别3. 采用光缆同步传送数据, 实时性极高4. 主从切换时间在13~48 ms 内5. 主从机完全无扰切换1.Rockwell AB Control Logix, 所有模板可带电插拔；2.GE Fanuc 9070, 所有IO槽装模板均能带电插拔；3.GE Fanuc 9030, 所有IO模板插在PAC RX3机架后均能带电插拔；4.Siemens S7-400, 所有模板可带电插拔；。

大话工控安全“白环境”编者按：本文的目的是尽量通俗的让那些对工控安全感兴趣，但对如何做安全防护却不甚了解的读者理解工控安全的技术特点。

工控安全这个安全的细分领域现如今也是流派纷呈、百家争鸣、欣欣向荣的景象。

概括来讲，厂商可以分成三个大类：自动化背景的厂商、传统IT安全厂商和专业工控安全厂商（对这部分详情感兴趣的读者可以参考我司公众号上的相关文章，这里不再细表）。

北京威努特技术有限公司属于第三种类型-专业工控安全厂商，因为专业，所以专注，因为专注，所以创新。

小威在客户现场经常会被人问到如下一些问题：我们的方案是如何设计定的？产品是如何工作的？防护的效果是怎么样的？小威是一个专业的技术人员，于是乎会不厌其烦、滔滔不绝的给客户讲方案、讲技术……，但面对的听众其技术基础不尽相同，琴瑟和鸣的情况也有，但曲高和寡的情形更多。

今天我们就大话一下小威公司在业界首创的工控安全“白环境”解决方案。

开讲之前，上个图先，正所谓有图有真相。

工业控制系统的安全问题有别于传统IT网络安全问题，因此在技术理念和产品实现上也完全不同。

威努特创新性的提出了建立工控系统的可信任网络白环境和工控软件白名单理念，为客户构筑工控系统“安全白环境”整体防护体系，保护国家基础工业设施安全。

•只有可信任的设备，才能接入控制网络；•只有可信任的消息，才能在网络上传输；•只有可信任的软件，才允许被执行。

我们的防护理念:从“黑”到“白”,从“被动防御”到“主动防护”。

理念过于技术化，大家会表示看不懂，那么让我们一一解惑。

这是如何做到的呢?网络分层、区域隔离,只有可信任的主机间才能通信,主机上只有可信任的软件才能运行,只有可信任软件发送的工控消息才能在监控网与控制网传输。

何为可信任的主机?经过技术检测及处理过并安装了可信卫士的主机。

何为可信任的软件?经过技术鉴定完整可用的业务相关软件(存在于可信卫士白名单中的软件)。

什么样的工控消息是可信任的?由可信任的业务软件发出的到另一台可信设备之间的且额定参数在合理区间的数据消息。

工控安全竞争分析1. 厂商综合实力分析1.1工控安全厂商概况中国工控安全厂商，根据其历史背景可以分为三种类型：∙自动化背景厂商这类厂商原来从事自动化相关的业务，后来看好工控安全的市场机遇，成立工控安全部门或子公司进入工控安全领域。

典型厂商包括：青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司、珠海市鸿瑞软件技术有限公司、中京天裕科技(北京)有限公司。

这类公司的特点是对工控系统有比较深刻的理解，有现成的客户资源。

所以，目前青岛海天炜业自动化控制系统有限公司、北京力控华康科技有限公司在工控安全市场上有较大的影响力，珠海市鸿瑞软件技术有限公司在电力行业有较大的影响力。

其他自动化厂商，如和利时集团、浙江中控技术股份有限公司、北京四方继保自动化股份有限公司等，主要是OEM第三方的产品，不作为主要的工控安全厂商进行分析。

∙传统IT安全厂商这类厂商原来从事IT信息安全的业务，工控安全作为信息安全市场的一个新兴的细分市场得到关注，成立工控安全部门进入工控安全领域。

典型厂商包括：启明星辰信息技术有限公司/北京网御星云信息技术有限公司、北京神州绿盟信息安全科技股份有限公司、北京中科网威信息技术有限公司、上海三零卫士信息安全有限公司。

这类公司的特点是信息安全技术积累较多，但对工控系统缺乏深刻的理解，并且由于当前业绩的压力，在工控安全方面的投入较小。

目前启明星辰信息技术有限公司、北京神州绿盟信息安全科技股份有限公司在工控安全市场上有一定的影响力。

∙专业工控安全厂商这类厂商基本属于近两年成立的创业公司，整合了信息安全与自动化方面的人才，100%专注于工控安全领域。

典型厂商包括：北京威努特技术有限公司、北京匡恩网络科技有限公司、谷神星网络科技（北京）有限公司。

这类公司的特点是专注，他们100%的业务都是工控安全，工控安全业务的成败决定了公司的生死存亡，因此能够全力投入。

目前北京威努特技术有限公司、北京匡恩网络科技有限公司在工控安全市场上有较大的影响力。