工控系統(tǒng)安全防護技術(shù)主要包含如下幾種：

1.工業(yè)防火墻

工業(yè)防火墻技術(shù)是防范工控網(wǎng)絡攻擊最常用的技術(shù)手段，通過隔離工控網(wǎng)絡和信息網(wǎng)絡來實現(xiàn)網(wǎng)絡邊界防護與邏輯隔離。把握好訪問控制的顆粒度決定了工控網(wǎng)絡安全建設的成敗，以往的端口級訪問控制策略無法防護工業(yè)協(xié)議惡意代碼攻擊，這就需要在網(wǎng)絡邊界處部署具有工業(yè)協(xié)議深度包檢測（DPI）功能的工業(yè)防火墻系統(tǒng)來提供更加有效的工業(yè)協(xié)議應用層防護。

工業(yè)防火墻一般部署在企業(yè)信息網(wǎng)和生產(chǎn)網(wǎng)的隔離、關(guān)鍵控制節(jié)點、生產(chǎn)網(wǎng)區(qū)域之間、生產(chǎn)網(wǎng)和第三方系統(tǒng)邊界隔離防護（例如遠程維護）。工業(yè)防火墻不僅提供針對端口的防護，更對基于應用層的數(shù)據(jù)包深度檢查，采用了工業(yè)通訊協(xié)議白名單技術(shù)，內(nèi)置PC/ Modbus/DNP3/ Profinet/ 104等多種專有工業(yè)通訊協(xié)議，為工業(yè)通訊提供獨特、工業(yè)級的專業(yè)隔離防護解決方案。工業(yè)防火墻還可以實時對組態(tài)的防火墻策略進行修改，而且不影響實時通訊。

2.在線審計與異常檢測

生產(chǎn)控制區(qū)的監(jiān)控系統(tǒng)應當具備安全審計功能，能夠?qū)ιa(chǎn)網(wǎng)絡通訊做行為分析，實時監(jiān)測網(wǎng)絡中的通訊鏈路狀態(tài)，溯源網(wǎng)絡中病毒木馬的傳播路徑；同時，用戶可自定義異常狀態(tài)判定閾值，將發(fā)生的異常通訊以告警的形式匯總展示。實現(xiàn)此項功能的基礎是抓包分析技術(shù)，抓包分析技術(shù)可以從中了解協(xié)議的實現(xiàn)情況、是否存在網(wǎng)絡攻擊等，為制定安全策略及進行安全審計提供直接依據(jù)。

除具備實時工業(yè)通訊協(xié)議行為解析外，審計設備也可像飛機的黑匣子一樣，能夠回溯及追查網(wǎng)絡安全問題，完成追根溯源，主要包括如下功能：網(wǎng)絡數(shù)據(jù)流量監(jiān)測，網(wǎng)絡異常數(shù)據(jù)報警及追溯，操作記錄及協(xié)議深度分析，信息竊取報警（通過網(wǎng)絡的文件或數(shù)據(jù)非法訪問及傳輸），未知設備接入報警等。

3.計算機防病毒及主動安全防御

生產(chǎn)控制區(qū)具備控制功能的系統(tǒng)應當逐步推廣應用以密碼硬件為核心的可信計算技術(shù)，用于實現(xiàn)計算環(huán)境和網(wǎng)絡環(huán)境安全可信，免疫未知惡意代碼破壞，應對高級別的惡意攻擊。由于工業(yè)控制環(huán)境的特殊性，惡意代碼庫難以獲得及時的升級，因此在工控系統(tǒng)中實施基于惡意代碼庫的惡意代碼防范將存在嚴重滯后性。攻擊者可輕易利用惡意代碼庫尚未收集的惡意代碼侵入主機系統(tǒng)，進而破壞整個工控系統(tǒng)。

可信計算終端防護由授權(quán)服務器和安全客戶端兩部分組成?？蛻舳巳娑攘肯到y(tǒng)所有進程，并將度量信息提交至授權(quán)服務器端，服務器對這些信息進行編輯后生成白名單，供客戶端下載，客戶端依據(jù)所下載的白名單對系統(tǒng)和應用進行防護，并將系統(tǒng)及應用中的異常信息和攔截日志進行上傳。

移動存儲介質(zhì)是主機之間傳輸信息的重要途徑，因此對移動存儲介質(zhì)的管控和審計也是整個工控系統(tǒng)安全建設的重要組成部分?；诳尚庞嬎慵夹g(shù)構(gòu)建的移動存儲介質(zhì)管控系統(tǒng)，其主要功能包括：主機對移動存儲介質(zhì)的身份認證；主機對移動存儲介質(zhì)的準入控制；主機對準入信息的下載更新。

4.工控網(wǎng)絡安全管理平臺

平臺可以接收來自工業(yè)網(wǎng)絡防火墻和可信終端的報警及日志，具有工控網(wǎng)絡行為審計記錄的智能分析功能，具備強大的審計日志存儲查詢功能，最終自動獲得詳細的統(tǒng)計分析報告和事件處置方式建議，實現(xiàn)系統(tǒng)運維管理的實時性、完整性、安全性、自動化、智能化。

平臺針對工控網(wǎng)絡行為進行監(jiān)控和智能安全分析，監(jiān)控平臺以底層工業(yè)防火墻、工控可信計算安全平臺以及其他網(wǎng)絡設備為探針，針對內(nèi)置的“工業(yè)控制網(wǎng)絡通訊行為模型庫”核心模塊，能及時檢測工業(yè)網(wǎng)絡中出現(xiàn)的工業(yè)攻擊、蠕蟲病毒及非法入侵、設備異常等情況，并做出智能預警分析，為管理者提供決策支持，為工業(yè)網(wǎng)絡信息安全故障的及時排查、分析提供可靠的依據(jù)。