俄乌冲突、国际贸易战等外部因素打破了全球粮食生产与贸易的均衡格局，发达国家的无端指责等多重的外部压力使得我国面临空前的粮食安全风险。基于外部形势的变化，国家“十四五”规划提出“实施粮食安全战略”，要“深入实施藏粮于地、藏粮于技战略”，强调粮食安全“党政同责”。为落实“藏粮于技战略”，早在2022年中央一号文件明确提出要“加强智能粮库建设，促进人防和技防相结合，强化粮食库存动态监管”。

智能粮库建设的关键有三点，一是全方面多点位的粮库环境因素监测机制，二是智能化分析和决策平台，三是提供两者之间安全可靠通信以及持续运转的信息化基础设施（即粮油仓储信息化）。粮油仓储信息化基础设施的安全性关乎我国粮食安全，是落地“藏粮于技战略”的关键安全保障。

粮食贮存和保管的仓库是粮食供应体系的一个重要环节，是各种粮食周转储备的重要场所。粮食储藏时，受诸多环境因素影响，极易出现发热、霉变等情况，从而造成直接的经济损失。为保证粮食的安全储存，国家粮食和物资储备局在2012年发布《粮油仓储信息指南(试行)》，推进国家粮油仓储信息化建设进程,指导粮油管理部门和粮库建设。提出了开展粮油仓储信息规划、建设和运输实践。

粮油仓储信息化是指通过利用计算机网络技术、软件技术、传感技术、自动控制技术、物联网技术等手段，把环境监测、安防报警、视频监控三者相结合，实现粮油仓储业务管理的自动化、信息化和智能化，以有效解决粮库的安全隐患，并提供准确的实时数据支撑。

粮油仓储信息化系统包括：远程监管系统、业务管理系统、自动化作业系统、智能仓储系统、办公自动化系统以及各系统之间的集成等。主要实现以下功能：

在粮油仓储业务中，从传统人工和纸质单据的管理模式，逐步过渡到电子识别、自动信息录入、网络传输、计算机处理，实现业务数据电子化、作业单据无纸化、管理流程规范化。

粮油仓储企业的筒仓、成品库、油罐等逐步采用DCS自动控制系统，对出入仓作业实现自动化控制；采用RFID等技术，实现地磅自动称重或半自动称重；实现车辆和物品的库区跟踪，实现粮油货位和物品等属性信息的电子化记录与识别；实现数据的自动采集，并与业务管理系统自动连接。

利用智能粮情测控系统，逐步实现温度、湿度、气体、虫情等数据的自动采集，通过智能决策模型判断，实现通风、熏蒸、调温等粮油仓储保管作业的智能化控制。

通过视频监视、热敏传感、电子巡更、自动报警等技术手段，实现企业安全保卫的自动化控制。

有条件的粮油仓储企业可以利用计算机图形仿真技术、多媒体技术、人工智能技术等，对库内的仓储设施、办公楼等进行三维图示化建模，并与粮油仓储企业业务管理系统、远程监管系统进行对接，实现粮油仓储企业管理的可视化。

粮油仓储企业业务管理系统作为企业信息化系统的核心和粮油仓储信息化的基础，应为库内各信息化系统之间的集成提供准确有效的信息接入接口和信息交换接口，以确保实现系统与系统之间、上下级之间的数据共享、业务协同，避免出现信息孤岛。

粮食行政管理部门或企业上级单位与粮油仓储企业之间通过网络实现数据共享和远程监测、控制。

粮油仓储企业信息管理系统可以实现与特定共同的信息系统互通互联，进行数据交换，提高企业管理效率。

为响应国家“十四五”规划落实“藏粮于技”战略，各地粮食部门积极引入云计算、物联网、边缘计算等新兴技术，新技术的引入极大地推动了粮食仓储现代化水平的发展，但是也引入了诸多新的安全风险。

智能粮库建设包括经营管理、仓储管理、质量管理、作业调度管理等基础功能模块，是粮库智慧化管理的核心平台，平台综合应用云计算、物联网、自动化控制、边缘计算等新兴技术，实现对粮库基础信息的实时监测与自动化控制。在规划建设时，需要充分考虑不同技术的数据通信需求，采取可靠的技术隔离手段，避免将平台系统部署在边界。

由于粮油仓储企业数据网络及通信环境复杂，既要与粮食行政管理部门、上级单位进行数据交换实现远程监管；也要开放部分互联网访问权限，满足远程办公需求；还要通过粮情测控系统采集仓储信息数据，实现通风、调温、熏蒸等设备的自动化控制。通信方式包括了串口通信、有线通信、WIFI通信、物联网通信等多种通信方式。复杂的网络边界与融合的通信环境为粮油仓储企业带来了诸多安全风险，一旦系统内部主机被恶意控制，攻击者可以控制通风、调温、熏蒸等自动化设备，严重威胁粮油的安全储藏。因此，需要对不同的边界采取针对性的隔离措施，特别是自动控制系统与其他系统的边界，构建起安全防护的“护城河”。

作为粮库智慧化管理核心平台的载体，是攻击者的主要攻击对象，需要通过技术手段加强管理，提升计算环境抵御攻击的能力，应用行为检测、白名单等技术建立主机恶意代码防护体系；通过人工+技术的手段，进行外设使用管控、强化身份标识和鉴别。

在智能粮库系统网络安全建设过程中，面临着设备繁多、信息孤立、监测面不全、缺乏专业人员等问题，现阶段网络中不同网络安全设备相互独立，增加了技术人员的运维难度与运维压力，一旦发生网络安全事件无法快速分析处置，加大了网络安全事件在内部扩散的可能性，给安全生产带来风险。因此在进行系统规划、建设时应考虑“技管结合”，对网络安全设备日志的集中收集、泛化、分析，提高对全网安全事件的发现能力；应对网络安全设备进行集中的管理，降低技术人员的运维压力，提升安全事件的响应处置速度，实现全网资产、风险、事件的态势感知、集中监控、安全运维。

结合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》《地方粮库信息化建设技术指引（试行）》等安全防护方案和评估规范中的相关要求，建设纵深防御的安全防护技术体系：

以安全管理中心作为整个安全的中枢，构建集中管理和安全运维的能力，同时以安全通信网络为纽带，优化基础网络架构、分区分域，从而收缩网络攻击面；




以安全区域边界为依托，以访问控制为基础，增强已知和未知攻击的防范能力，通过技术手段来强化纵深防御，实现对威胁的深度检测和及时响应，防患于未然；




以安全计算环境为重心，以白名单技术为依托，改进业务风险管控，加强计算环境层面的动态防护。

安全建设示意图如下：

图1 智能粮库网络安全方案设计图

基于智能粮库系统的网络特点、通讯方式及通信协议的区别、不同系统的重要性要素，对智能粮库网络进行合理的安全区域的划分，根据不同区域的安全防护需求，构建起纵深防护安全体系。

在互联网出口部署第二代防火墙，设备支持IPS防护、Web应用防护、恶意代码检测、上网行为管理等多重安全防护功能，满足访问控制和入侵防范需求，能够进行网络设备防护、边界完整性检查和安全审计，构建起全面、立体的边界安全防护体系，设备内置IPSec VPN、SSL VPN等多种VPN功能，满足与上级单位通过VPN链路通信、外出人员远程办公等需求；

在办公网与生产管理网边界部署工控安全隔离与信息交换系统，通过配置服务通道，实现有限的数据通信，满足安全隔离需求；

在现场编程调试PC与PLC设备之间，工程师站、操作员站与PLC设备之间分别部署工业防火墙，通过配置严格的ACL策略，只允许可信的服务通过设备；基于设备AI自学习建立起工艺流程的白名单，确保只有可信的指令才能下发至PLC设备，有效保障粮食仓储安全。

图2 智能化工业行为（工艺流程）白名单

在生产管理网部署工控安全监测与审计系统，对远程监控、值班监控、工程师站等工作站下发的指令进行细粒度的审计并通过AI自学习建立起行为基线白名单，及时发现偏离基线的操作行为，采用启发式AI自学习机制，大幅提升学习效率和准确率；

图3 启发式AI自学习机制图示

在办公电脑、业务系统服务器部署主机防勒索系统，通过接管底层驱动监测函数的调用，能够及时发现异常行为，有效识别并阻断勒索攻击；

图4 六项功能全面防护勒索病毒

在远程监控工作站、值班监控工作站、工程师站、地磅房操作站等设备部署工控主机卫士，确保只有可信的应用才能在主机运行，对接触核心管理系统的用户采用密码技术实现用户身份鉴别。

图5 首创文件信誉评估技术，确保控制端安全

在办公网单独划分出安全管理区域，部署统一安全管理平台、日志审计与分析系统、安全运维管理系统、工控漏洞扫描系统等设备，实现全网事件、资产、风险的安全感知、集中管理、一体化运维，提升运维效率，强化实战能力。

威努特以全系列自研网络安全产品为基础，通过安全体系的建立，支撑起粮库智能化、数字化的发展，守牢国家粮食安全的底线，夯实国家安全基础。

威努特已在中国储备粮管理集团有限公司的全国多个粮库落地网络安全解决方案，并持续为其业务系统保驾护航，在全国范围内为我国粮油仓储服务体系的可持续发展提供了坚实的保障。