為貫徹《工業(yè)控制系統(tǒng)信息安全防護指南》、落實“十四五”規(guī)劃綱要“統(tǒng)籌發(fā)展和安全”等政策要求,，充分發(fā)揮先進典型的引領(lǐng)示范作用,，加快提升工業(yè)互聯(lián)網(wǎng)安全防護能力，強化工業(yè)互聯(lián)網(wǎng)安全綜合保障能力,，進一步推動我國工業(yè)安全產(chǎn)業(yè)高質(zhì)量發(fā)展,，工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟（ICSISIA）于2021年5月20日啟動了2021年工業(yè)安全系統(tǒng)典型應(yīng)用案例征集遴選活動。ICSISIA特推出工業(yè)安全系統(tǒng)案例專題,，發(fā)布其中遴選出的典型應(yīng)用案例以饗讀者,。

　　1　項目概況

　　1.1　項目背景

　　近年來，能源板塊層出不窮的網(wǎng)絡(luò)安全事件,，表明油氣管道SCADA系統(tǒng)已經(jīng)成為國內(nèi)外黑客的攻擊目標,，面臨愈發(fā)嚴峻的威脅。管道SCADA系統(tǒng)一旦受攻擊容易發(fā)生故障或者被控制,，可能直接影響到管道輸送的正常生產(chǎn)運營,，導(dǎo)致火災(zāi)、爆炸,、中毒事件的發(fā)生,，造成重大經(jīng)濟損失、人員傷亡和環(huán)境污染,，直接威脅到國家能源安全和社會穩(wěn)定,。因此，研究油氣管道SCADA系統(tǒng)安全風險,，同時制定針對性的配套網(wǎng)絡(luò)安全防護能力建設(shè),，對我國能源安全具有重要的意義。

　　物聯(lián)網(wǎng),、大數(shù)據(jù),、云平臺等新技術(shù)的應(yīng)用,，形成了油氣管道生產(chǎn)網(wǎng)絡(luò)的互聯(lián)互通，但這給工業(yè)控制系統(tǒng)帶來諸多網(wǎng)絡(luò)層面的安全風險,，來自辦公管理層網(wǎng)絡(luò)的入侵,、病毒等風險很容易向生產(chǎn)網(wǎng)蔓延。同時,，非法接入風險也不容忽視,，攻擊者偽造身份從外部或內(nèi)部網(wǎng)絡(luò)節(jié)點對生產(chǎn)系統(tǒng)進行滲透，獲取訪問權(quán)限,，惡意操作,，其威脅是巨大的，不僅可以拿到工藝數(shù)據(jù),，甚至可能造成重大安全事故,。

　　1.2　項目簡介

　　油氣管道連接著上游的油氣田板塊，中,、下游的煉化和銷售板塊產(chǎn)業(yè)鏈,，是油氣生產(chǎn)設(shè)施的重要組成部分。為了保證油氣管道的安全,、可靠,、平穩(wěn)、高效,、經(jīng)濟地運行,，必須提高對管道的監(jiān)視控制和管理等信息化建設(shè)。而作為國家重要的基礎(chǔ)設(shè)施和公用設(shè)施,，油氣管道承擔了所有的天然氣和近八成的油品輸送任務(wù),，具有易燃、易爆和高壓的特點,，其安全運行非常重要,。建設(shè)該系統(tǒng)安全、穩(wěn)定地運行及管網(wǎng)調(diào)控系統(tǒng)的安全接入,，是一個至關(guān)重要的問題,。

　　本項目中采用了全面評估當前的生產(chǎn)網(wǎng)、網(wǎng)內(nèi)業(yè)務(wù)系統(tǒng),、控制系統(tǒng)及自動化設(shè)備可能存在的網(wǎng)絡(luò)安全風險，圍繞當前企業(yè)技改與未來“一張網(wǎng)”發(fā)展規(guī)劃,，按照國家網(wǎng)絡(luò)安全法提出的“同步規(guī)劃,、同步建設(shè)、同步使用”的三同步原則,，利用當前先進的網(wǎng)絡(luò)安全防護理念,、技術(shù)與產(chǎn)品,，有序開展SCADA系統(tǒng)中安全防護體系的頂層設(shè)計與建設(shè)工作，構(gòu)建網(wǎng)絡(luò)安全立體的防護體系,，滿足標準合規(guī)性要求,。同時，按照企業(yè)多級管理職能,，設(shè)計構(gòu)建全網(wǎng)工控安全管控與運營體系,，形成多級聯(lián)動機制，實現(xiàn)全網(wǎng)動態(tài)安全監(jiān)測,、風險可視,、通報預(yù)警與聯(lián)動處置，提高網(wǎng)絡(luò)安全綜合管控與防護能力,。

　　1.3　項目目標

　?。?）安全通信網(wǎng)絡(luò)安全需求

　　針對油氣管道的特點，側(cè)重對調(diào)度中心SCADA系統(tǒng)通訊網(wǎng)絡(luò)進行全面的網(wǎng)絡(luò)安全防護,，包括優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu),，劃分安全域，在通信過程中采用密碼技術(shù)保證數(shù)據(jù)的保密性,，采用校驗技術(shù)保證數(shù)據(jù)的完整性,，通過應(yīng)用工控防火墻搭載可信模塊的形式，實現(xiàn)可信驗證,。

　?。?）安全區(qū)域邊界安全需求

　　按照安全域劃分與業(yè)務(wù)訪問邏輯，在安全域邊界部署入侵檢測和工控審計,，建立安全訪問規(guī)則,，重點對安全權(quán)重高的安全域進行重點安全防護。利用先進的技術(shù)與產(chǎn)品,，設(shè)計部署相應(yīng)的安全監(jiān)測與審計措施,，監(jiān)控網(wǎng)絡(luò)中存在的各類入侵風險、網(wǎng)絡(luò)病毒,、非法訪問等行為并進行審計與阻斷,，保障生產(chǎn)網(wǎng)絡(luò)的可用性與安全性，實現(xiàn)安全區(qū)域邊界的建設(shè)要求,。

　?。?）安全計算環(huán)境安全需求

　　依靠掃描工具與人工方式對應(yīng)用系統(tǒng)進行安全檢查，對發(fā)現(xiàn)的漏洞,、開放的服務(wù)與端口以及存在的權(quán)限與弱口令,、非安全的遠程鏈接等脆弱性問題進行研判，對于可修復(fù)的漏洞,、默認開放的服務(wù)與端口,，以及默認的權(quán)限及用戶弱口令問題進行集中式加固處理,，提升應(yīng)用系統(tǒng)的抗攻擊能力。側(cè)重對生產(chǎn)控制大區(qū)內(nèi)各系統(tǒng)工程師站,、操作員站,、歷史站、接口站,、服務(wù)器等實施定期巡檢式的安全掃描,，發(fā)現(xiàn)主機系統(tǒng)存的各種漏洞與脆弱性，并進行針對性的安全加固研究,，同時,，對主機系統(tǒng)安裝必要的工控主機專用安全管控與防護產(chǎn)品，實現(xiàn)主機系統(tǒng)的防病毒,、防第三方軟件非授權(quán)安裝與使用,，以及主機外部接口的安全管控，尤其對USB口的安全管控與操作行為審計,，綜合提升主機系統(tǒng)的抗攻擊能力,，保護分布廣泛的站控系統(tǒng)主機不被作為跳板入侵上級系統(tǒng)，確保安全計算環(huán)境防線穩(wěn)定,。

　?。?）安全管理中心安全需求

　　在調(diào)度中心SCADA系統(tǒng)中建立安全管理域，部署工控信息安全監(jiān)管與分析平臺,，并且在現(xiàn)有的網(wǎng)絡(luò)安全管理制度基礎(chǔ)上不斷完善,，明確網(wǎng)絡(luò)安全管理機構(gòu)、崗位,、人員,，完善安全建設(shè)管理及運維管理流程，建立安全教育與培訓(xùn),、安全保密,、應(yīng)急響應(yīng)機制，使安全管理成體系,，安全管理常態(tài)化,，管理與技防相結(jié)合，構(gòu)建企業(yè)的綜合網(wǎng)絡(luò)安全防護體系,，為企業(yè)安全生產(chǎn)保駕護航,。

　　本方案以油氣管道工控系統(tǒng)應(yīng)用為場景，構(gòu)建了安全可控為目標,，監(jiān)控審計,、威脅分析、入侵檢測、主機防護為特征的油氣管道企業(yè)工業(yè)控制系統(tǒng)新一代主動防御體系,，提高了工控系統(tǒng)整體安全性。將為企業(yè)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全防護體系建設(shè)開創(chuàng)行之有效的安全建設(shè)模式,，提高管控一體化安全防護的能力,。解決油氣管道企業(yè)工控系統(tǒng)在聯(lián)網(wǎng)運行中所面臨的網(wǎng)絡(luò)安全建設(shè)與運營過程的困擾，系統(tǒng)為企業(yè)提供包括安全服務(wù),、安全建設(shè),、安全運營在內(nèi)的網(wǎng)絡(luò)安全全生命周期的解決方案。

　　2　項目實施

　　本方案針對油氣管道SCADA系統(tǒng)實際需求,，通過設(shè)計建設(shè)一套穩(wěn)定,、先進、高效,、可靠的工控安全監(jiān)測防護體系,，集中展現(xiàn)油氣管道SCADA系統(tǒng)的整體工控安全態(tài)勢，提升整體工控安全監(jiān)管水平和防御能力,，針對SCADA系統(tǒng)的特點,、專業(yè)性、穩(wěn)定性進行設(shè)計,，結(jié)合天地和興多年工業(yè)控制系統(tǒng)與工控安全研究和經(jīng)驗總結(jié),，以國家等級保護的“一個中心、三重防護”為整體防護思想,，構(gòu)建油氣管道SCADA系統(tǒng)網(wǎng)絡(luò)安全防護的技術(shù)體系,，并完善安全管理體系，形成技術(shù)+管理的綜合安全防護體系,，滿足實際安全防護需求,，達到等保三級建設(shè)標準。網(wǎng)絡(luò)安全防護體系框架示意圖如圖1所示,。

　　圖1 網(wǎng)絡(luò)安全防護體系框架示意圖

　　方案從實際出發(fā),，以油氣管道SCADA系統(tǒng)為等級保護對象，以控制中心系統(tǒng)為主體,，結(jié)合站控系統(tǒng),、現(xiàn)場設(shè)備等邊緣應(yīng)用分布廣泛的特點，從安全通信網(wǎng)絡(luò),、安全區(qū)域邊界,、安全計算環(huán)境、安全管理中心和安全管理要求等幾個維度來構(gòu)建綜合安全防護體系,。

　　工控安全防護系統(tǒng)部署拓撲示意圖如圖2所示,。

　　圖2 工控安全防護系統(tǒng)部署拓撲示意圖

　　（1）安全通信網(wǎng)絡(luò)建設(shè)

　　對油氣管道工控網(wǎng)絡(luò)進行優(yōu)化,，劃分安全域,，并對油氣管道工控網(wǎng)絡(luò)與辦公網(wǎng)互聯(lián)的網(wǎng)絡(luò)邊界部署工控防火墻進行邊界隔離與安全防護,，保障油氣管道工控網(wǎng)絡(luò)免受來自上層辦公網(wǎng)及互聯(lián)網(wǎng)的入侵攻擊風險。

　　工控防火墻系統(tǒng)屬于工業(yè)級安全防護設(shè)備,，可支持30多種工控協(xié)議識別與深度解析,，包括：Modbus TCP、OPC,、DNP3.0,、PROFINET、S7,、IEC 61850和IEC 60870-5-104等,，具有基于工控行為構(gòu)建白名單訪問控制策略，實現(xiàn)細粒度的安全防護,。

　?。?）安全區(qū)域邊界建設(shè)

　　在油氣管道工控網(wǎng)絡(luò)中劃分不同的安全域，按照安全域的安全權(quán)重,，有針對地進行安全域的隔離與訪問控制,、安全審計、入侵檢測等必要的安全防護措施,，保護各安全域的運行安全,，本方案中主要是在調(diào)控中心SCADA系統(tǒng)網(wǎng)絡(luò)中部署工控安全審計系統(tǒng)、入侵檢測系統(tǒng),，以及在各個站控系統(tǒng)的生產(chǎn)數(shù)據(jù)匯聚到調(diào)度中心的網(wǎng)絡(luò)入口處部署工控防火墻,。

　　· 工控防火墻

　　在油氣管道工控網(wǎng)絡(luò)中的本地站控出口處、調(diào)控中心入口處等邊界串行部署工控防火墻系統(tǒng),，實現(xiàn)各安全域邊界隔離與訪問控制,。不僅可支持基于網(wǎng)絡(luò)五元組的訪問控制，還支持基于工控行為的安全控制與防護,，保護各安全域系統(tǒng)的安全運行,。

　　· 工控安全審計系統(tǒng)

　　在調(diào)控中心的核心交換機上旁路部署工控安全審計系統(tǒng)，對整個調(diào)度中心SCADA系統(tǒng)的應(yīng)用服務(wù)器,、主機管理系統(tǒng)等進行全面檢測,，對通信數(shù)據(jù)進行合規(guī)性檢查，對異常行為,、違規(guī)操作行為進行識別,、審計告警，告警日志上傳給日志服務(wù)器,、安全管理平臺系統(tǒng)進行集中存儲,、分析與風險關(guān)聯(lián)展示，輔助安全運維人員進行處置。

　　工控安全審計系統(tǒng)支持對OPC,、Ethernet/IP,、Modbus/TCP、IEC 61850,、IEC 60870-5-104,、DNP3、PROFINET,、S7、GOOSE和SV等30多種工控協(xié)議進行深度解析,，通過還原操作行為,，對有異常操作行為進行審計告警，輔助網(wǎng)關(guān)防護系統(tǒng)策略調(diào)整,，實現(xiàn)油氣管道工控網(wǎng)絡(luò)的運行安全,。

　　· 入侵檢測系統(tǒng)

　　在調(diào)控中心的核心交換機上旁路部署入侵檢測系統(tǒng)，通過交換機鏡像功能,，把網(wǎng)絡(luò)出入口,、重要安全域的通信數(shù)據(jù)送給入侵檢測系統(tǒng)進行實時檢測，用于識別監(jiān)控網(wǎng)絡(luò)中可能存在的各種已知攻擊行為,，并進行審計告警,，告警日志上傳給日志服務(wù)器、安全管理平臺進行風險分析與可視化,。

　　入侵檢測系統(tǒng)內(nèi)置檢測引擎與全面的攻擊特征庫,，能夠?qū)崟r對網(wǎng)絡(luò)中存在的設(shè)備攻擊、安全掃描,、網(wǎng)絡(luò)病毒,、欺騙劫持、窮舉探測,、間諜軟件等入侵事件進行識別與審計告警,，入侵檢測系統(tǒng)側(cè)重對已知威脅的檢測能力，實時發(fā)現(xiàn)網(wǎng)絡(luò)中存在威脅事件并及時產(chǎn)生告警,，同時入侵檢測系統(tǒng)可階段性進行威脅統(tǒng)計,，并可形成安全報告，支持報告輸出,。

　?。?）安全計算環(huán)境的建設(shè)

　　在油氣管道工控網(wǎng)絡(luò)中的安全計算環(huán)境是指人機交互界面上的各主機系統(tǒng)，包括各種相關(guān)的應(yīng)用服務(wù)器（如SCADA歷史服務(wù)器,、OPC服務(wù)器等）,、操作員站、工程師站和歷史站等，主機系統(tǒng)要通過檢查工具對其安全漏洞與脆弱性進行發(fā)現(xiàn)和管理,，對可修復(fù)的漏洞進行可行性驗證與修復(fù),，關(guān)閉不需要的默認賬號、服務(wù),，進行主機系統(tǒng)必要的安全加固,，提升主機系統(tǒng)抗攻擊能力。本次設(shè)計將考慮部署主機安全防護系統(tǒng)來對主機系統(tǒng)進行必要的安全防護,。

　　白名單的主動防御機制可占用更小的系統(tǒng)計算資源,，實現(xiàn)最大的防護效能?？捎行У貙崿F(xiàn)主機防病毒,、防第三方軟件的非授權(quán)安裝與使用，主機系統(tǒng)外接口的管控,，USB外接存儲設(shè)備的認證管控,、防病毒與操作行為審計，為主機系統(tǒng)安全運行提供必要的安全保障,。

　　本方案使用的主機安全防護系統(tǒng),，是工控主機系統(tǒng)專用的安全防護系統(tǒng)，系統(tǒng)運用白名單為主,，灰名單,、黑名單為輔的創(chuàng)新技術(shù)方式，監(jiān)控主機的進程狀態(tài),、網(wǎng)絡(luò)端口狀態(tài),、USB端口狀態(tài)，嚴格對主機進行應(yīng)用進程管控,、外接端口管控,、USB設(shè)備認證與使用管理，以及操作行為管理,，強化工控主機的安全管理,，提升主機系統(tǒng)抗攻擊能力。

　?。?）安全管理中心建設(shè)

　　在油氣管道工控系統(tǒng)網(wǎng)絡(luò)中組建安全管理域,，在此區(qū)域內(nèi)建設(shè)安全管理中心，部署油氣管道工控系統(tǒng)網(wǎng)絡(luò)的安全集中管控的技術(shù)措施,，包括賬號管理及運維審計系統(tǒng)和工控信息安全監(jiān)管與分析平臺系統(tǒng)等集中安全管理平臺系統(tǒng),，實現(xiàn)安全風險管理、關(guān)聯(lián)分析,、安全可視化與聯(lián)動處置的能力建設(shè),?；谄髽I(yè)集團總部的全網(wǎng)安全管理需求，面對一定生產(chǎn)規(guī)模的企業(yè)以及對生產(chǎn)網(wǎng)安全管理要求高的企業(yè),，把相關(guān)的日志等信息上傳給工控網(wǎng)絡(luò)安全態(tài)勢感知平臺系統(tǒng),，實現(xiàn)全網(wǎng)安全風險的級聯(lián)式、風險動態(tài)可視化與預(yù)警聯(lián)動處置,。

　　· 賬號管理及運維審計系統(tǒng)

　　賬號管理及運維審計系統(tǒng)（堡壘機）部署在安全管理域內(nèi),，通過代理模式部署，作為系統(tǒng)運維的統(tǒng)一入口,，實現(xiàn)系統(tǒng)運維權(quán)限統(tǒng)一認證管理以及操作行為審計,。

　　賬號管理及運維審計系統(tǒng)是針對系統(tǒng)運維人員賬戶混亂、運維訪問目標系統(tǒng)資源的權(quán)限不可管,、運維行為不可控,、無安全審計措施等實際問題而開發(fā)的安全專用系統(tǒng)，通過運維人員賬戶集中管理,、登錄集中認證授權(quán)、操作全程審計等技手段,，實現(xiàn)目標系統(tǒng)運維可管,、可控、可審計,，對運維行為進行監(jiān)管,，做到事中告警與事后行為追溯。賬號管理及運維審計系統(tǒng)可提供便攜式產(chǎn)品形態(tài),，方便在不同場景下使用,，規(guī)范企業(yè)運維人員對油氣管道工控網(wǎng)絡(luò)中各系統(tǒng)的運維操作。

　　· 工控信息安全監(jiān)管與分析平臺系統(tǒng)

　　在油氣管道工控系統(tǒng)網(wǎng)絡(luò)中的安全管理域內(nèi)部署工控信息安全監(jiān)管與分析平臺系統(tǒng)（工控安全管理平臺）,，實現(xiàn)全網(wǎng)安全系統(tǒng)的狀態(tài)監(jiān)控,，安全風險的集中收集、存儲,、關(guān)聯(lián)分析與可視化,、安全風險集中處置等集中安全管理功能。

　　此平臺系統(tǒng)不僅可監(jiān)控安全系統(tǒng)的運行狀態(tài),，還可以對安全系統(tǒng)進行安全策略配置與調(diào)整,，總體實現(xiàn)網(wǎng)絡(luò)安全防護體系的防護效能。

　　工控信息安全監(jiān)管與分析平臺系統(tǒng)是整個油氣管道工控系統(tǒng)網(wǎng)絡(luò)安全防護體系的大腦,，是安全管理中心建設(shè)的核心平臺系統(tǒng),，是安全運維人員日常查看操作最多的系統(tǒng)平臺。

　　平臺系統(tǒng)具有強大安全管理功能,，支持級聯(lián)部署,，解決企業(yè)生產(chǎn)廠區(qū)分散的網(wǎng)絡(luò)安全集中管理的需求,，實現(xiàn)安全風險統(tǒng)一管理、分析展示與聯(lián)動處置的管理能力,。同時,，本級平臺系統(tǒng)可以作為上級安全運營中心平臺系統(tǒng)的管理節(jié)點，形成覆蓋全網(wǎng)的安全運營能力,。

　?。?）安全管理體系建設(shè)

　　· 安全管理制度

　　主要包括管理制度的制定和發(fā)布、評審和修訂,。要求形成網(wǎng)絡(luò)安全管理制度體系,，對管理制度的制定要求和發(fā)布過程進一步嚴格和規(guī)范，對安全制度的評審和修訂要求領(lǐng)導(dǎo)小組負責,。

　　· 安全管理機構(gòu)

　　主要包括崗位設(shè)置,、人員配備、授權(quán)和審批,、溝通和合作以及審核和檢查等,。對于崗位設(shè)置，不僅要求設(shè)置網(wǎng)絡(luò)安全的職能部門,，而且機構(gòu)上層應(yīng)有一定的領(lǐng)導(dǎo)小組全面負責機構(gòu)的網(wǎng)絡(luò)安全全局工作,。授權(quán)審批方面加強了授權(quán)流程控制以及階段性審查。溝通與合作方面加強了與外部組織的溝通和合作,，并聘用安全顧問,。同時對審核和檢查工作進一步規(guī)范。

　　· 安全管理人員

　　對人員安全的管理,，主要涉及兩方面：對內(nèi)部人員的安全管理和對外部人員的安全管理,。具體包括人員錄用、人員離崗,、人員考核,、安全意識教育和培訓(xùn)、外部人員訪問管理等,。增強對關(guān)鍵崗位人員的錄用,、離崗和考核要求，對人員的培訓(xùn)教育更具有針對性,，外部人員訪問要求更具體,。

　　· 安全建設(shè)管理

　　系統(tǒng)建設(shè)管理分別從工程實施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮,，具體包括系統(tǒng)定級,、安全方案設(shè)計、產(chǎn)品采購和使用,、自行軟件開發(fā),、外包軟件開發(fā),、工程實施、測試驗收,、系統(tǒng)交付,、系統(tǒng)備案、等級測評和安全服務(wù)商選擇等,。對建設(shè)過程的各項活動都要求進行制度化規(guī)范,，按照制度要求開展活動。對建設(shè)前的安全方案提出體系化要求,，并加強了對其的論證工作,。

　　· 安全運維管理

　　隨著工控行業(yè)信息化建設(shè)的不斷推進及信息技術(shù)的廣泛應(yīng)用，隨之而來的網(wǎng)絡(luò)安全問題也愈發(fā)突出,，以風險管控為主線,，安全效益為導(dǎo)向，風險相關(guān)法律,、法規(guī)和理論方法為依據(jù),，安全信息化、自動化技術(shù)為手段,，建立起工控安全運維體系,，前期安全建設(shè)工作將更行之有效。

　　3　案例亮點

　?。?）采用先進安全防護技術(shù)提升企業(yè)工控安全防護能力

　　本方案采用工業(yè)協(xié)議深度解析技術(shù)、智能學(xué)習技術(shù),、白名單主動防御技術(shù)和威脅管理無損技術(shù),，并結(jié)合公司自有的工業(yè)漏洞庫、設(shè)備指紋庫,，通過制定有效的安全策略和安全集中分析管控手段,，在保證穩(wěn)定運行的前提下，對工控系統(tǒng)運行提供必要的網(wǎng)絡(luò)安全保障,，為企業(yè)工控網(wǎng)絡(luò)安全保駕護航,。

　　（2）完善組織OT內(nèi)控體系,，滿足合規(guī)需求

　　本方案在設(shè)計時,，參照了國家等級保護相關(guān)規(guī)范要求，并按照企業(yè)當前的工控系統(tǒng)信息化建設(shè)程度來提出符合實際需求的解決方案,，從OT應(yīng)用控制,、OT一般控制、OT審計等三個維度來打造合規(guī)的OT控制體系,。

　?。?）工控安全產(chǎn)品性能達到國內(nèi)領(lǐng)先水平

　　獨有的專利技術(shù)的全機柜一體化解決方案,；松耦合的安全框架設(shè)計具有極好的設(shè)備兼容性；一體化安全產(chǎn)品管理機制,。網(wǎng)絡(luò)接入支持IPv6,、IPsecVPN、可視化監(jiān)控,、協(xié)議規(guī)定的自定義,、接口聯(lián)動、熱備機制,、Bypass,、低延時等高可用性設(shè)計，真正做到了對工業(yè)網(wǎng)絡(luò)零影響,。

　?。?）自主可控的安全產(chǎn)品

　　與同類別方案相比增加的相關(guān)設(shè)備所采集的信息更加全面，也更具合規(guī)性,，能完全適應(yīng)工控系統(tǒng)安全防護對穩(wěn)定性與機密性的共同需求,。方案中所有信息安全產(chǎn)品均為國產(chǎn)自主產(chǎn)品，可控性強,，安全產(chǎn)品聯(lián)動安全性更高,，并可提供定制化的功能開發(fā)，方便支撐不斷迭代升級,。

　?。?）可信計算的融合技術(shù)

　　設(shè)備上加裝PCI可信控制卡，實現(xiàn)可信功能,。主要包括基于可信根對設(shè)備的BootLoader,、操作系統(tǒng)和應(yīng)用程序等進行可信驗證；基于SM3對設(shè)備的BootLoader,、操作系統(tǒng)和應(yīng)用程序等進行可信驗證,；對系統(tǒng)中斷、關(guān)鍵內(nèi)存區(qū)域等執(zhí)行資源進行可信驗證,；對設(shè)備的網(wǎng)絡(luò)通信進行可信動態(tài)度量,，監(jiān)測異常通信行為；將可信驗證結(jié)果形成審計記錄并發(fā)送至安管平臺,；安管平臺處理所有安全設(shè)備上報的可信狀態(tài)值,，并呈現(xiàn)整個安全防護系統(tǒng)的可信狀況。

　　更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<