工业控制系统网络安全防护方案 - 安全管理类 - 赛博兴安 - 创新缔造价值，专业铸就安全
安全管理类
工业控制系统网络安全防护方案
数据采集与监控（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）等工业控制系统广泛运用于工业、能源、交通、水利及市政等领域，用于控制生产设备的运行。一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。工业控制系统最早和企业管理系统是隔离的，但近年来为了实现实时的数据采集与生产控制，满足&两化融合&的需求和管理的方便，通过逻辑隔离的方式，使工业控制系统和企业管理系统可以直接进行通信，而企业管理系统一般直接连接Internet，在这种情况下，工业控制系统接入的范围不仅扩展到了企业网，而且面临着来自Internet的威胁。&
工业网络中同时存在保障工业系统的工业控制网络和保障生产经营的办公网络，考虑到不同业务终端的安全性与故障容忍程度的不同，对其防御的策略和保障措施应该按照等级进行划分，实施分层次的纵深防御体系。一般工业企业的信息系统，可以划分为管理层、制造执行层、工业控制层。在管理层与制造执行层之间，主要进行身份鉴别、访问控制、检测审计、链路冗余、内容检测等安全防护；在制造执行系统层和工业控制系统层之间，主要避免管理层直接对工业控制层的访问，保证制造执行层对工业控制层的操作唯一性。
&XingAn SPG工业安全隔离装置是专门应用于工业控制系统的网络单向隔离产品，采用&2+1&的架构，支持工控网络常用的OPC、Modbus等协议。部署在管理层与制造执行层之间，只允许制造执行层的数据单向传送到管理层，阻挡管理层对制造执行层的非法访问，同时也防止管理层网络的木马、病毒等扩散到制造执行层。
在数采监控层和控制层之间应安装专业的XingAn SGG工业安全控制网关，解决OPC通讯采用动态端口带来的安全防护瓶颈问题，提供实时的网络安全监测，对异常报文进行分析、过滤和报警，支持MAC/IP地址绑定，防止Dos/DDos攻击。当前位置:首页&资讯&新闻详细
工业控制信息安全资源汇总（国内篇）
& & 一、概述& & 工控安全被拉进公众视野，源于“震网”病毒在伊朗核电站的肆虐，而发展于工信部“451”号文件的发布。借助发改委高技司的信息安全之工控安全专项产业化资金，大批国内厂商和团队借助自身优势，开始布局。无论是政府、还是厂商，是资本运作、还是技术突破，是公益宣传、还是媒体广告，预迎来工控安全行业的再发展，需要想方设法的提升用户的工控安全意识，需要更多的知识普及和推广。& & 笔者综合国内和国外的资源，结合个人观点和经验而整理本文，供那些对工控安全感兴趣的组织或个人参考。同时希望有更多的人才，加入工控安全领域，共同努力，培养工控行业对安全意识的提升，推动行业发展。注：所有内容，仅根据个人的了解，如有未提及，欢迎各位大侠继续补充。& & 二、政府与组织机构& & 中国电子技术标准化研究院& & 简称电子四院，成立于1963年，是国家从事电子信息技术领域标准化的基础性、公益性、综合性研究机构。标准院以电子信息技术标准化工作为核心，通过开展标准科研、检测、计量、认证、信息服务等业务，面向政府提供政策研究、行业管理和战略决策的专业支撑，面向社会提供标准化技术服务。标准院承担了54个IEC、ISO/IEC/JTC1的TC/SC国内技术归口和14个全国标准化技术委员会秘书处的工作，标准院作为TC260的归口单位，承担中国工控安全标准化的制定工作，已协调及牵头研制14项工控安全标准。& & 网址：& & 资源：工控安全标准& & 工业控制系统信息安全产业联盟& & 联盟成立于日，目前已有成员单位近50家，据悉2016年将有新的单位和委员加入。主要从事工业控制系统信息安全的技术与市场研究、标准制定、产品研发、测试与认证、生产制造、应用与服务的企事业单位、科研机构、用户单位、厂商、大专院校，及其他相关机构自愿组成的非营利性组织。& & 网址：& & &资源：行业新闻动态& & 工业和信息化部电子科学技术情报研究所& & 简称电子一所，成立于1959年，是国防科技工业技术基础六大领域（核、航天、航空、船舶、兵器、电子）情报研究所的重要组成部分。伴随着中国电子信息产业、国防科技工业的发展，以及中国工业化和信息化的融合进程，电子一所服务于新型工业化和国防现代化建设的、战略情报研究和知识产权支撑服务能力突出的国家公益性新型情报研究机构，成为支撑战略决策的智库、服务产业创新的平台。致力于工控安全态势分析和情报收集，于2016年成立了国家工业控制系统与产品安全质量监督检验中心。& & 网址：& & 资源：工控安全事件通报，态势分析& & 中国软件评测中心（赛迪）& & 中国电子信息产业发展研究院（赛迪集团），面向政府、行业及企业，提供决策支撑、系统测评、应用推广、安全培训等工业控制系统第三方测评业务。建有多个工控相关模拟仿真试验验证平台。& & 网址：& & 资源：实验仿真、产品测试& & 国家互联网应急中心（CNCERT）& & 国家计算机网络应急技术处理协调中心（简称“国家互联网应急中心”，英文简称是CNCERT或CNCERT/CC），成立于2002年9月，为非政府非盈利的网络安全技术中心，是我国网络安全应急体系的核心协调机构。CNCERT根据对工控安全事件信息的搜集，整理并发布网络安全态势报告，减少各种漏洞、病毒、木马等威胁向工业控制系统扩散。& & 网址：& & 资源：可靠性和安全性测评& & 发改委（高技司）& & 为了加快推动我国信息安全产业发展，进一步提升我国信息安全产品技术水平，发改委高技司分别于2012年和2013年对工控安全领域进行了产业化和试点项目的资金支持。& & 网址：& & 测试信息发布网站：& & 资源：专项资金& & 三、资讯类& & 名称简介网址资源ICSWS由知名白帽子Z-0ne创办，国内搜索引擎排名最为靠前的工控安全博客，专注于工控安全攻防技术研究，经常发布一些方法、工具和经验。 工具、方法安全牛信息安全的新媒体，报道、分析与研究信息安全和IT风险管理相关热点话题，关注相关行业的安全建设，与工业控制相关的内容也被包括在内。 新闻事件，行业动态XCONXCon安全焦点信息安全技术峰会是国内较知名的信息安全会议之一，多年来，广邀国内外信息安全界的专家、信息安全工作者、信息安全爱好者欢聚一堂，努力打造一个友好和谐的交流平台。在2015年的论坛中，关于工控安全的议题《欧洲智能电网的实用安全评估》 信息安全技术KCON由知道创宇创办，致力于黑客过程、技术和文化的分享平台，在2015年举办的论坛中，涉及工控安全议题有:《工业网络渗透，直击工控安全的罩门》、《工控系统安全威胁与应对探索》、《Exploit&PLC&on&the&internet》。信息安全技术工业控制信息安全峰会依托于工业控制系统信息安全产业联盟，国内最具规模的工业控制信息安全专业论坛，演讲人员多为企事业单位的学者和高管，参会人员来自电力、石化、冶金、交通、市政等行业的用户单位、系统集成商、生产厂商、设计院、大学及科研单位。每年一届，每届定期举办不少于4站，内容侧重工业控制领域。通过多次举办的参与度，可以感受国内企业对工业控制系统信息安全问题的关注与重视在不断提高，同时也发现了国内工控信息安全产业巨大的发展潜力和广阔的发展空间。 解决方案& & 四、媒体与刊物名称简介网址资源自动化博览《自动化博览》是由中国科协主管、中国自动化学会主办、国内外公开发行的大型月刊，创刊于1983年10月。集大中型控制系统（DCS、FCS、SCADA）、工厂信息化（MES、SIS、ERP、CIMS）、先进控制与优化软件、组态软件、现场总线与工业以太网、工业无线通讯、OPC、PLC&PAC、RTU、HMI、工控机与嵌入式系统、工业安全等等，其中工业控制信息安全成为主要关注话题之一，每期均有专题技术论文或解决方案，用户可以登录网站申请免费订阅。技术论文，解决方案，行业最新发展趋势中国工控网ICS信息安全频道 工控安全厂商及产品展示及厂商的最新解决方案控制工程网工业安全频道 工业安全产品、厂商& & 五、工控安全漏洞名称简介网址资源ICS－CERT作为美国国家国土安全部的一部分，保证控制系统的安全性和风险可控，协调相关安全事件和信息共享&。国内的很多机构/组织/社区平台都引用该平台发布的漏洞信息报告，另外从该平台网站，还可以获取定期组织的为期5天的专题培训信息。漏洞，培训国家信息安全漏洞共享平台官方：国家信息安全漏洞共享平台（China&National&Vulnerability&Database，简称CNVD）是由国家计算机网络应急技术处理协调中心（中文简称国家互联应急中心，英文简称CNCERT）联合国内重要信息系统单位、基础电信运营商、网络安全厂商、软件厂商和互联网企业建立的信息安全漏洞信息共享知识库。最新漏洞信息发布乌云社区大名鼎鼎的信息安全漏洞及事件发布平台，WooYun是一个位于厂商和安全研究者之间的安全问题反馈平台，在对安全问题进行反馈处理跟进的同时，为互联网安全研究者提供一个公益、学习、交流和研究的平台。其名字来源于目前互联网上的“云”，在这个不做“云”不好意思和人家打招呼的时代，网络安全相关的，无论是技术还是思路都会有点黑色的感觉，所以自然出现了乌云。该平台聚集了众多白帽子，这些白帽子提交并发布了大量工控安全案例。安全事件& & 六、认证与标准& & 中国信息安全测评中心& & 中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构，主要职能包括：为信息技术安全性提供测评服务。工业控制系统产品测评是对工业控制系统中的各类产品进行功能性及安全性测试，包括控制类产品（即工业控制设备）和安全类产品（工业安全设备）。其中控制类产品包括可编程控制器（PLC）、离散控制系统（DCS）、远程终端单元（RTU）、智能电子设备（IED）、各行业控制系统等用于生产控制的产品；安全类产品包括工业防火墙、工业安全网关、工业异常监测系统、工业应用软件漏洞扫描产品等用于工业环境安全防护的产品。根据测评依据及测评内容，工业控制系统产品测评类型包含标准测试、选型测试和定制测试等。& & 网址：& & 资源：分级评估，产品测评、测试& & 公安部计算机信息系统安全产品质量监督检验中心（公安部三所）& & 国内信息安全产品的销售许可获取，均需要经过该中心检测通过。中心具有完善的测试环境，研究领域包括信息网络安全、物联网、特种通讯、禁毒、反恐防爆、图像处理和传输以及社会公共安全防范技术等。拥有先进的检测软件和仪器设备，对国内生产、销售的计算机信息系统安全产品进行质量监督检测。& & 网址：& & 资源：产品检测、销售许可& & 机械工业仪器仪表综合技术经济研究所& & 前身为国家仪器仪表工业总局情报研究室和标准化研究室合并组建成研究所，承担全国工业过程测量控制和自动化标准化技术委员（SAC/TC124），负责工业控制系统信息安全国家标准和行业标准制定，参与相关国际标准研制。同时开展对工控产品功能安全的测试服务。& & 网址：& & 资源：标准制订，功能安全检测& & 七、工具名称简介地址ZoomEye钟馗之眼ZoomEye是知道创宇打造网络空间搜索引擎,其ICS搜索专题可以轻松对世界各地工业控制系统进行探索 & & 八、厂商名称简介产品青岛多芬诺（海天炜业）其母公司青岛海天炜业，成立于2003年，于今年2月挂牌新三板。最早通过与加拿大Byres&Security公司结盟，将Tofino工业防火墙引入国内，2012年联合中科院软件所获得发改委产业化专项的支持。后Byres被百通收购后，开始推出国产防火墙，多用于石化/炼化行业。工业防火墙力控华康由三维力控集团投资控股，2015年3月接受绿盟战略投资入股，最早从事工控安全产品研发的厂商之一。产品方面以工业网闸和工业防火墙为主，其中以OPC协议管控的工业隔离网关（架构上匹配网闸）最为受渠道商和合作伙伴欢迎。作为工控安全产品市场的先行者，其产品在石油化工、冶金、能源和环保等信息化手段发展较快的现场，被广泛应用。借助于国产组态软件市场占有率的便利条件，知名度很高。而相对于营销，政策、标准和需求存在着不确定性，对技术和人才的需求略显迫切。工业隔离网关珠海鸿瑞老牌电力行业产品供应商，其信息安全产品（如隔离）获得了原电监会有限数量的测试授权，广泛应用于电力行业的分区防护。而后由ICS-3000获得发改委信息安全专项产业化支持开始，逐渐将产品延伸到其它工控领域。工业隔离、工业防火墙百通（赫思曼）百通集团通过对Byres和赫思曼的收购，完成了在网络产品和安全上的布局，形成整体解决方案。TofinoXe包含50多种工业通信协议及25个系列工业控制器，并提供“深度防御”安全措施。由于目前工控安全市场主要以政府和最终用户为主，受自主产权的影响，其产品想实现单一推广较为困难，其优势在于渠道合作伙伴。工业防火墙西门子由于“震网”病毒的持续发酵，作为工控安全最大的“受害者”，在电力行业又被爆出旗下品牌－罗杰康工业交换机存在漏洞。而后开始在国内加大投入，2014年3月成立工业信息安全实验室，并陆续推出包括工业防火墙（SCALANCE&S&安全模块）、安全检测和服务在内的整体解决方案。西门子系列产品安全解决方案三零卫士（中国网安）上海三零卫士信息安全有限公司依托中国电子科技集团公司电子第三十研究所（其控股股份已于划转给中国电子科技网络信息安全有限公司（简称“中国网安”）），以其信息安全和通信保密工程的技术积累和经验为基础，结合现代信息安全技术，以工业数据采集、工业防火墙和风险分析为基础，强势进入工控安全领域，多次获得政府资金支持。受决策体制影响，终端市场跟进，缺乏力度。工业防火墙绿盟科技来自传统信息安全领域，创业版上市公司。作为国内领先的网络与信息安全产品和服务提供商，为协助客户尽早发现工控系统中存在的安全隐患。有专人负责工控安全业务，积极在行业活动中发表意见，参与标准制定。凭借自身十多年的漏洞挖掘与分析检测经验，研发了国内首款工控漏洞扫描系统。工控漏洞扫描启明星辰传统信息安全产品和服务提供商，中小版上市公司。推出天工工控安全系列产品，覆盖管理层、监控层、设备层，重点保障工业控制系统的业务秩序，集防护检测一体，融合信息安全风险管理和技术防护的工业控制系统信息安全产品。其产品在工业控制方面的特点较少，侧重于原有信息安全产品的整合升级。凭借强大的市场知名度和营销渠道，牵头制定了烟草行业工控安全标准，并获取了大量订单。在追求业绩为主的同时，低调地进行行业布局。天工系列产品中科网威由中科院高能物理研究所成立，赛迪投资，也属于传统信息安全厂商。较早针对电力行业推出工业防火墙的厂商，可能是受电力行业对产品入围的限制，并没有预期的市场覆盖。团队在市场方面非常努力，在各论坛和展会活动中非常活跃，但后续跟进乏力，与三零卫士类似，受制于决策流程，产品在其它行业的营销投入有待加强。工控防火墙匡恩网络以工控安全为题材的投资型厂商，致力教育市场和投资人，公司成立至今已进行频繁的资本整合，令人瞠目。公司在政府层面知名度非常高，以行业解决方案为题材的模拟仿真沙盘颇受欢迎，这符合当下目前国内工控安全投资形势。其产品在用户现场应用数量是目前该公司的重点工作之一，产品附加值高，口碑复杂。行业演示与仿真沙盘威努特由具有华为和匡恩工作经历的核心团队创建，技术研发继承了华为的精益素养和战斗能力，参考了匡恩的产品规划，现由奇虎360和神州数码投资，并独立运营。团队规模扩大很快，以较低的投入获得了极大的宣传影响。在解决方案和行业应用方面的需求分析能力有待深入，产品附加值高。工业防火墙MOXA台湾404科技，主流的串口联网和以太网产品供应商，5年的产品保修承诺引领行业。最早推出工业防火墙的厂商之一，产品是集防火墙/NAT、VPN于一体的安全型路由器。作为一款市场扩充产品，后期市场推广力度较小。工业防火墙（路由器）新汉新汉发布全新工业防火墙产品线,系列产品有助于加强工业应用的在线安全。为优化运营效率，工业应用包括自动化控制器，医疗设备，和电动汽车充电站使用的独立在线网络。预防在线的网络威胁，新汉系列工业防火墙集成VPN连接的工业多端口防火墙路由器。部分产品支持IEC&61850-3和IEEE&1613标准。工业防火墙东土以工业交换机为主的创业版上市公司（2012年由新三版转入），针对工控安全方面，有“工业安全服务器”产品。根据其网站介资料绍分析，该产品的推出主要是应对发改委信息安全专项。通过协议和数据的白名单，基于交换技术为基础的过滤产品。东土科技始终致力于推进工业以及网的普及和应用，理论上对工控设备联网而引发的安全问题反应会更加灵敏，因此可以预测，未来东土将通过资本和技术方式，加大对工控安全的布局和投入。边界安全网关霍尼韦尔霍尼韦尔（中国）的工业网络安全解决方案帮助工厂和重要基础设施部门维护自己的工业控制系统（&ICS）和工厂运营&的可用性、可靠性&和安全性。从评估和审核到响应和恢复，终端到终端的解决方案系列产品在过程控制和网络安全中利用了霍尼韦尔（中国）行业领先的专业技术和经验。&其管理服务和完整的解决方案满足了过程控制环境的特定需求，包括石油和天然气、化工、炼油和石油化工、能源和电力、矿产、采矿和金属、以及纸浆和造纸等行业。针对霍尼韦尔的综合解决方案横河电机横河电机根据工业网络安全网络安全标准建立安全生命周期途径。横河电机按照客户的要求和操作条件，提供有效的安全服务。其CENTUM&VP现场控制单元获得了ISA安全合规性协会(ISCI)的ISASecure?嵌入式设备安全保障(EDSA)认证。获得认证必须通过CSSC(控制系统安全中心)认证实验室的审查。可以确保CENTUM具备石油、石化、电力等行业应用所需的网络安全特性。针对横河系统的网络安全解决方案& & 九、书籍类序号名称作者出版信息内容简介阅读参考1《工业SCADA系统信息安全技术》饶志宏&(作者),&兰昆&(作者),&蒲石&(作者)出版社:&国防工业出版社;&第1版&(日)《工业SCADA系统信息安全技术》讲述了工业监视控制与数据采集（SCADA）系统基本概念，系统地分析工业SCADA系统存在的脆弱点和面临的信息安全威胁，阐述了工业SCADA系统信息安全体系，论述其相应的关键技术；介绍了典型电力SCADA系统信息安全实际工程应用案例，并对国内外工业控制系统信息安全的发展趋势进行了分析。读者对象：政府、军队、高校、科研机构等从事工业控制系统信息安全研究的科研人员，以及相关企业进行工业控制系统信息安全开发、建设和应用的技术人员。非工控行业专业级，推荐阅读指读：★★★★☆2《工业控制系统信息安全》肖建荣&(作者)出版社:&电子工业出版社;&第1版&(日)本书简洁、全面地介绍了工业控制系统信息安全概念和标准体系，系统地介绍了工业控制系统架构和漏洞分析，系统地阐述了工业控制系统信息安全技术与方案部署、风险评估、生命周期、管理体系、项目工程、产品认证、工业控制系统入侵检测与入侵防护、工业控制系统补丁管理。入门级，推荐阅读指读：★★★☆☆3《工业控制系统安全等级保护方案与应用》蔡皖东&(作者)出版社:&国防工业出版社;&第1版&(日)《工业控制系统安全等级保护方案与应用》分为7章，分别介绍了工业控制系统信息安全概论、工业控制系统安全等级保护定级、工业控制系统安全等级保护要求、工业控制系统等级保护安全设计、工业控制系统安全等级保护实施、工业控制系统安全等级保护测评和工业控制系统安全等级保护方案应用。入门级，推荐阅读指读：★★☆☆☆4《工业网络安全---智能电网，SCADA和其他工业控制系统等关键基础设施的网络安全》[美]&Eric&D.Knapp著；周秦，郭冰逸，贺惠民等译出版社：国防工业出版社出版时间：近年来，经常听闻同一件事：我们国家的关键基础设施是脆弱的，需要得到应有的安全防护。纳普所著的《工业网络安全》一书向您解释了作为工业控制系统基础的特定协议和应用，并且为您提供了对它们进行保护的一些非常容易理解的指南。除了阐述合规指南、攻击与攻击面，甚至是一些不断改进的安全工具外，本书还为您提供了关于SCADA、控制系统协议及其如何运作的一个清晰理解。信息安全领域专业级，推荐阅读指读：★★★☆☆5《智能电网安全:下一代电网安全》托尼?弗里克&(Tony&Flick)&(作者),&贾斯汀?莫尔豪斯&(Justin&Morehouse)&(作者),&徐震&(译者),&于爱民&(译者),&刘韧&(译者)出版社:&国防工业出版社;&第1版&(日)《智能电网安全:下一代电网安全》着眼于当前智能电网的安全以及它是如何被开发和部署到全球千万家庭中的。《智能电网安全:下一代电网安全》详细讨论了针对智能仪表和智能设备的直接攻击以及针对配套网络和应用程序的攻击，并给出如何防御这些攻击的建议。《智能电网安全:下一代电网安全》给出了一个针对成长中的系统如何实现安全性的框架，用来指导安全顾问与系统和网络架构师如何防范大大小小的攻击者，从而保证智能电网的稳健运行。《智能电网安全:下一代电网安全》详细介绍了如何使用新旧黑客技术来攻击智能电网以及如何防御它们。讨论当前的安全举措。以及它们达不成所需目标的原因。找出黑客是如何利用新的基础设施攻击基础设施。专业级，推荐阅读指读：★★★★☆6《智能电网信息安全指南(第1卷):智能电网信息安全战略架构和高层要求》美国国家标准和技术研究院&(编者),&中国电力科学研究院&(译者)出版社:&中国电力出版社;&第1版&(日)《智能电网信息安全指南(第1卷):智能电网信息安全战略架构和高层要求》由美国国家标准和技术研究院所著，提出了美国针对智能电网信息安全的分析框架，供相关组织根据智能电网业务特性、安全风险和漏洞制定有效的信息安全战略参考使用。主要内容包括信息安全战略、智能电网的逻辑架构和接口、高层安全要求、密码和密钥管理等，可供相关读者阅读学习。专业级，推荐阅读指读：★★★★★7《智能电网信息安全指南:美国国家标准和技术研究院7628号报告(第二、第三卷)》美国国家标准和技术研究院&(作者),&中国电力科学研究院&(译者)出版社:&中国电力出版社;&第1版&(日)本书为《智能电网信息安全指南美国国家标准和技术研究院7628号报告》第二、第三卷，内容包括隐私和智能电网、脆弱性类别、智能电网的自下而上安全分析、智能电网信息安全的研究与开发主题、标准审阅综述、关键电力系统安全要求用例。该报告提出了美国针对智能电网信息安全的分析框架，供相关组织根据智能电网业务特性、安全风险和漏洞制定有效的信息安全战略参考使用。专业级，推荐阅读指读：★★★★★&& & 结语：相信负责任的知识传承和分享，能够降低科技成果的利用成本，提高使用率。& & 来源：灯塔实验室Solutions &&&& 解决方案
Security Training&&&& 安全培训
Security Training&&&& 安全培训
Service & Support &服务与支持
About Us&&& 关于天融信
ICS 工业控制系统解决方案
时间： 作者： 来源：
1.安全背景及挑战
某石油化工企业, 随着两化融合和物联网的发展使得TCP/IP协议和OPC技术应用等通用协议越来越广泛地应用在工业控制系统网络中, 某石油化工企业目前的网络应用主要集中在两部分，一部分生产网主要由由OPC应用和MES应用组成，主要的业务包括 化工数据实时采集、监测的过程控制，确保工业基础设施自动化运行、减少人为的干预，使数据的处理和采集工作标准化和智能化；其核心组件包括数据采集与监控系统（SCADA）、分布式控制系统（DCS）来确保各应用正常运转，另一部分办公网主要由OA、ERP、档案系统、自动化调度系统组成，主要提供日常的办公和数据处理等工作；随着业务的发展及需要，生产网和办公网有时候会有一些数据的交互,同时因为石油化工企业的特殊性，存在着易燃易爆、有毒、腐蚀性强等危害；网络安全的设计及防范来说由为重要。
工业控制系统自2010年Stuxnet震网病毒出现以来，Stuxne是第一个以SCADA系统为特定目标并加以感染的恶意软件，它成功侵袭了伊朗纳坦兹核设施,令不少离心机瘫痪。可以说来自网络安全的威胁给工业控制系统带来了，前所未所的挑战，因此确保两化融合的工业控制系统的安全稳定可以说是某石油化工企业工作中的重中之重。
2.方案思想
天融信根据其行业的特点及独特性，并参考了行业内的标准《工业过程测量、控制和自动化网络与系统信息安全》(IEC62443)系列标准 从工业控制系统容易面临的几个安全风险方面如 1 系统的脆弱性& 2 网络的脆弱性& 3潜在威胁性 等方面综合进行考虑；提出了以下的设计理念：实现&三层架构，六层防护&的体系架构；
第一道防线：通过工业防火墙，对工业协议进行深度检测，同时对网络进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性控制，确保对工控系统数据访问操作的唯一性。
第二道防线：通过防火墙和入侵防御系统实现对ICS数据中心的关键接入区域，实现分层级的纵深安全防御策略，抵御各种已知的攻击威胁。
第三道防线：通过终端准入系统对办公网和生产网终端的U盘和外设使用进行有效的管理，避免外设的无序使用，同时通过准入机制对没有达到安全基线的电脑终端进行未知阻断，确保接入工业控制系统的安全；
第四道防线：通过安全管理平台，采用成熟的私有云安全技术,并可基于云计算与虚拟化技术对安全管理平台进行建设，通过本身的安全关联机制可为 ICS 系统提供良性的技术支撑，确保网络的有效全面管理；
第五道防线：生产网和办公网通过网闸系统，利用安全的私有协议进行安全数据摆渡，有效的降低了数据间交互的威胁性；
第六道防线：网络的安全没有绝对化，通过备份一体机，在数据中心建立安全可靠的容灾备份机制，数据是工业系统的重中之重，命脉所在,通过备份系统可确保数据的万无一失；
方案总结：天融信建立的三层架构、六道安全防线，可以为您的网络进行保驾护航!
&技术类解决方案
&行业类解决方案
&天融信为您服务