第一章安全概况SCADA、DCS、PCS、PLC等工业控制系统广泛运用于工业、能源、交通、水利以及市政等领域，用于控制生产设备的运行。

一旦工业控制系统信息安全出现漏洞，将对工业生产运行和国家经济安全造成重大隐患。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合以及物联网的快速发展，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与互联网等公共网络连接，病毒、木马等威胁正在向工业控制系统扩散，工业控制系统信息安全问题日益突出。

2010年发生的“震网”病毒事件，充分反映出工业控制系统信息安全面临着严峻的形势。

与此同时，我国工业控制系统信息安全管理工作中仍存在不少问题，主要是对工业控制系统信息安全问题重视不够，管理制度不健全，相关标准规范缺失，技术防护措施不到位，安全防护能力和应急处置能力不高等，威胁着工业生产安全和社会正常运转。

对此，各地区、各部门、各单位务必高度重视，增强风险意识、责任意识和紧迫感，切实加强工业控制系统信息安全管理。

去年，一款名为Worm.Win32.Stuxnet的蠕虫病毒席卷全球工业界，在短时间内威胁到了众多企业的正常运行。

Stuxnet病毒被多国安全专家形容为全球首个“超级工厂病毒”，截至目前，该病毒已经感染了全球超过45000个网络，伊朗、印尼、美国等多地均不能幸免。

其中，以伊朗遭到的攻击最为严重，该病毒已经造成伊朗布什尔核电站推迟发电，60%的个人电脑感染了这种病毒。

2003年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙将其截获，人们依然认为系统是安全的。

2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒，虽然已安装了IT防火墙，病毒就在几秒钟之内从一个车间感染到另一个车间，从而最终导致停工。

•2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。

•2006年8月因反应堆在‘高功率、低流量条件’的危险情况下, 美国BrownsFerry核电厂所有人员不得不全部撤离，原因是控制网络上“通讯负荷”的缘故。

第二章安全解决方案根据网络实际情况，工业控制网可以分为三个安全区域，生产网，安全交换区，管理网接入区。

在生产网和办公网之间的部署隔离网关，用于不同安全区域的隔离。

隔离网关其特点是既要支持防火墙的策略控制、入侵防护、防病毒等安全功能，又需要能够理解工控协议的指令，并且能够针对工控协议的攻击予以防护。

隔离网关连接四个区域，管理网、安全管控服务器、安全通讯及数采服务器、生产网（安全数采网关）。

首先通过隔离网关设置防火墙策略，限定访问的方向为数采网关可以访问数据库服务器，而禁止数采网关访问其他区域，禁止办公网访问数采网关，OPC server，工控设备等。

开启隔离网关的IPS和防病毒功能，针对工控网络到管理网，和管理网到工控网，进行全方位的文件传输的病毒文件和数据包中的攻击进行过滤。

开启隔离网关的工控指令部分功能，可以对工控指令进行安全审计。

开启隔离网关的工控攻击防御功能，尤其是针对OPC协议的攻击，严格禁止攻击通过，防止办公网的入侵的蠕虫，通过工控协议攻击生产设备。

第三章隔离网关产品说明一、产品设计理念本隔离网关部署于工控网络与管理网之间或者旁路式监控工控网络，所以该隔离网关应具有双重身份，即支持传统防火墙所具备的功能，比如防火墙、防病毒、入侵检测与防护(IPS)、流量控制(QoS)、路由/NAT/透明模式等，同时也支持对工控协议的分析与攻击防护。

●防火墙系统状态检测防火墙设计成一个可信任企业网络和不可信任的公共网络之间的安全隔离设备，用以保证企业的互联网安全。

状态检测防火墙是通过跟踪会话的发起和状态来工作的。

通过检查数据包头，状态检测防火墙分析和监视网络层(L3)和协议层(L4)，基于一套用户自定义的防火墙策略来允许、拒绝或转发网络流量。

●防病毒网关计算机病毒一直是信息安全的主要威胁。

而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。

因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。

网关防病毒已经成为当前防病毒体系中的重中之重。

●入侵检测与防御（IPS）传统的状态检测/包过滤防火墙是在网络层/传输层工作，根据IP地址、端口等信息对数据包进行过滤，能够对黑客攻击起到部分防御作用。

但是黑客仍然可以从合法的IP地址通过防火墙开放的端口对内网发起攻击，目前很多攻击和应用程序可以通过防火墙开放的端口穿越防火墙，如MSN、QQ等IM(即时通信)工具均可通过80端口通信；还有一些攻击和应用可以通过任意IP、端口进行(例如BT、电驴等)；SoftEther等软件更可以将所有TCP/IP通讯封装成HTTPS数据包发送，这些高级、复杂的攻击单纯的使用状态检测/包过滤防火墙无法进行阻挡，需要使用IPS(入侵防御系统)来配合防火墙实现对复杂攻击的防御。

IPS工作在2-7层，通常使用特征匹配和异常分析的方法来识别网络攻击行为。

工控网络不仅仅是工控协议的漏洞问题，其操作系统很多都采用通用操作系统，比如Windows和Linux。

由于工控网络的特殊性使得这些系统不能频繁地升级补丁程序，甚至有的系统比较陈旧，仍旧采用的是WindowsXP这样失去厂家支持的操作系统。

这些系统一旦暴露在外，立刻陷入严重的危机中。

所以，需要通过隔离网关的IPS功能对这些漏洞予以防护，防止遭受非法的攻击。

●流量控制(QoS)通过设置流量控制来保证重要数据获得必需的带宽。

流量控制分为最大带宽、保证带宽和优先级，通过设置保证带宽和优先级保证关键业务的稳定和可靠，通过设置最大带宽约束级别低的流量。

●路由/NAT/透明路由模式是可以支持静态路由、策略路由、动态路由协议，NAT可以实现IP 地址的转换以避免内部网络IP暴露，透明模式支持以交换机模式部署，而不需要更改拓扑，以上三种模式目的是为了隔离网关适用于各种网络环境，易于部署易于实现。

●工控协议识别与控制可以针对各种工控协议，比如OPC、Modbus、DNP3等工控协议正常解码，对其中指令进行分析和理解，并且给出指令的安全级别，限制危险度大的指令，同时限制非工控网络设备发送工控指令等。

●工控协议漏洞攻击防护各种工控协议均有漏洞，但是由于工控网络的重要性，升级系统安装补丁不能保持非常频繁的程度。

也就是说，除了补丁程序以外，我们仍需要各种手段进行防护，防止漏洞攻击导致系统瘫痪。

隔离网关需要通过专业的防御模块来对工控协议漏洞予以阻挡。

二、产品架构设计2.1 硬件架构设计要求IEC-61850标准描述在电力子工作站的通讯系统设计的要求。

IEC-61850-3 给出了部署于所要求环境的硬件标准。

●EMI标准中对在电磁环境中设备给出了明确的要求，需要硬件设备能够在高强度的电磁环境中可以正常工作，也就说设备在设计时需要考虑强电磁(EMC)的影响。

本隔离网关充分地考虑了强磁的环境设计。

●温度由于通讯设备可能工作在室外或者密闭高温空间等恶劣环境，所以需要通讯设备能够具有强大的散热散热能力，工作温度支持-20 to +75C。

本隔离网关采用免风扇的高散热能力，并且在选择零配件上充分考虑了低温环境，所以可以适应以上温度要求。

●抗震性本隔离网关按照标准设计，可以在机架上掉落后仍能正常使用，支持50G的抗震性，和5-500 Mhz震荡环境。

●电源本隔离网关采用工业电源输入，可以支持直流和交流两种输入方式。

2.2 软件架构设计要求隔离网关采用高容错的模块化软件设计，其内有防病毒模块、IPS模块、防火墙模块、工控协议模块。

这些模块采用完全内容检测(CCI)技术能够扫描和检测整个OSI堆栈模型中最新的安全威胁，重组文件和会话信息，以提供强大的扫描和检测能力。

只有通过重组，一些最复杂的混合型威胁才能被发现。

为了补偿先进检测技术带来的性能延迟，隔离网关使用专用的芯片来为特征扫描、加密/解密和SSL 等功能提供硬件加速。

专用芯片可以有效地提高数据包扫描的深度和广度，提高对工控协议的支持，提供比基于PC工控机的安全设备高出数倍的性能。

隔离网关采用自有的病毒库、入侵防御库和工控协议识别库，并且将它们与防火墙、IPS/IDS结合起来，从而构成动态威胁防御系统。

为了针对未知的威胁和有害流量的检测与防护，隔离网关将多个前沿的检测技术组合在一起，提供了启发式扫描和异常检测。

启发式扫描技术用来增强防病毒、攻击和其它相关的扫描活动。

当异常检测被IDS和IPS检测引擎使用时，通过高级技术和基于特征的技术相结合，对于使用IP碎片和协议受控方法攻击的检测能力就大大增强了。

其采用了先进的入侵检测/防御技术：●状态检测●内容重组●通信协议检测●应用协议检测●内容检测可以有效防御涵盖了工控协议的各种攻击：基于网络的蠕虫和木马野蛮攻击碎片不良数据包Cross-site脚本Directory Traversal拒绝服务信息查询会话劫持欺骗缓冲区溢出无端注入三、产品部署方式隔离网关支持多种部署方式，路由(NAT)、透明和旁路模式，可以适应不同的复杂的网络环境3.1 路由(NAT)模式路由(NAT)模式用于连接不同IP地址段的网络环境，拓扑如下：办公网如上图，内网使用的是192.168.1.0/24网段，而外网使用的是172.16.1.0网段来连接办公网。

此时由于内外网络不在同一IP地址段，因此需将隔离网关设置为路由(NAT)模式。

此时隔离网关工作在第三层，相当于一台路由器，连接不同的IP地址段。

使192.168.1.X和172.16.1.X之间可以互访。

隔离网关支持如下路由协议：✧静态路由✧ECMP(等值路由)✧策略路由✧RIP/OSPF/BGP✧组播路由基于以上各种静态及动态路由方式，隔离网关可以完美地支持各种网络环境，也可以支持VLAN和链路聚合等。

3.2 透明模式如果隔离网关内、外网使用相同网段的IP地址，便无需隔离网关担负路由的工作。

此时可以将隔离网关置于透明模式，工作在第二层，在网络拓扑结构上相当于一个交换机或者网桥。

如下图所示：办公网3.3 旁路模式隔离网关的灵活部署结构可以以传统的旁路方式部署，监听网络旁路或者核心交换机镜像的接口。

工作在监听模式下的隔离网关可以对数据流进行分析和生成日志。

当其引擎发现攻击后，记录日志，也可以发送报警邮件给管理员。

也可以对工控协议使用状况进行监听，记录日志，出现危险操作时予以报警。

该种带外部署的好处在于不会产生任何影响，当隔离网关出现故障后，也不会造成网络故障。

如下图所示，工控防火墙可以监控任意节点，只需要设置镜像接口即可。

办公网四、产品功能阐述4.1 强大的防火墙功能隔离网关的防火墙功能基于状态检测包过滤技术，可以针对IP地址、服务、端口等参数决定是否允许数据包通过，在第三层(网络层)和第四层(传输层)进行数据过滤。