工控安全防護技術

工控系統安全防護技術主要包含如下幾種：

1.工業防火墻

工業防火墻技術是防范工控網絡攻擊最常用的技術手段，通過隔離工控網絡和信息網絡來實現網絡邊界防護與邏輯隔離。把握好訪問控制的顆粒度決定了工控網絡安全建設的成敗，以往的端口級訪問控制策略無法防護工業協議惡意代碼攻擊，這就需要在網絡邊界處部署具有工業協議深度包檢測（DPI）功能的工業防火墻系統來提供更加有效的工業協議應用層防護。

工業防火墻一般部署在企業信息網和生產網的隔離、關鍵控制節點、生產網區域之間、生產網和第三方系統邊界隔離防護（例如遠程維護）。工業防火墻不僅提供針對端口的防護，更對基于應用層的數據包深度檢查，采用了工業通訊協議白名單技術，內置PC/ Modbus/DNP3/ Profinet/ 104等多種專有工業通訊協議，為工業通訊提供獨特、工業級的專業隔離防護解決方案。工業防火墻還可以實時對組態的防火墻策略進行修改，而且不影響實時通訊。

2.在線審計與異常檢測

生產控制區的監控系統應當具備安全審計功能，能夠對生產網絡通訊做行為分析，實時監測網絡中的通訊鏈路狀態，溯源網絡中病毒木馬的傳播路徑；同時，用戶可自定義異常狀態判定閾值，將發生的異常通訊以告警的形式匯總展示。實現此項功能的基礎是抓包分析技術，抓包分析技術可以從中了解協議的實現情況、是否存在網絡攻擊等，為制定安全策略及進行安全審計提供直接依據。

除具備實時工業通訊協議行為解析外，審計設備也可像飛機的黑匣子一樣，能夠回溯及追查網絡安全問題，完成追根溯源，主要包括如下功能：網絡數據流量監測，網絡異常數據報警及追溯，操作記錄及協議深度分析，信息竊取報警（通過網絡的文件或數據非法訪問及傳輸），未知設備接入報警等。

3.計算機防病毒及主動安全防御

生產控制區具備控制功能的系統應當逐步推廣應用以密碼硬件為核心的可信計算技術，用于實現計算環境和網絡環境安全可信，免疫未知惡意代碼破壞，應對高級別的惡意攻擊。由于工業控制環境的特殊性，惡意代碼庫難以獲得及時的升級，因此在工控系統中實施基于惡意代碼庫的惡意代碼防范將存在嚴重滯后性。攻擊者可輕易利用惡意代碼庫尚未收集的惡意代碼侵入主機系統，進而破壞整個工控系統。

可信計算終端防護由授權服務器和安全客戶端兩部分組成。客戶端全面度量系統所有進程，并將度量信息提交至授權服務器端，服務器對這些信息進行編輯后生成白名單，供客戶端下載，客戶端依據所下載的白名單對系統和應用進行防護，并將系統及應用中的異常信息和攔截日志進行上傳。

移動存儲介質是主機之間傳輸信息的重要途徑，因此對移動存儲介質的管控和審計也是整個工控系統安全建設的重要組成部分。基于可信計算技術構建的移動存儲介質管控系統，其主要功能包括：主機對移動存儲介質的身份認證；主機對移動存儲介質的準入控制；主機對準入信息的下載更新。

4.工控網絡安全管理平臺

平臺可以接收來自工業網絡防火墻和可信終端的報警及日志，具有工控網絡行為審計記錄的智能分析功能，具備強大的審計日志存儲查詢功能，最終自動獲得詳細的統計分析報告和事件處置方式建議，實現系統運維管理的實時性、完整性、安全性、自動化、智能化。

平臺針對工控網絡行為進行監控和智能安全分析，監控平臺以底層工業防火墻、工控可信計算安全平臺以及其他網絡設備為探針，針對內置的“工業控制網絡通訊行為模型庫”核心模塊，能及時檢測工業網絡中出現的工業攻擊、蠕蟲病毒及非法入侵、設備異常等情況，并做出智能預警分析，為管理者提供決策支持，為工業網絡信息安全故障的及時排查、分析提供可靠的依據。