1.3.3 主流工业互联网安全产品介绍

工业互联网安全技术从大类上主要包括防护类、隔离类、监测类、检测类和运维管控类等，主流的工业互联网安全产品内容如下。

1.防护类

1）网络防护：区别于传统IT防火墙，工业防火墙对进入工业网络中的数据包进行从IP层到应用层的深度分析，以白名单的方式来限制对IP、协议功能码、操作行为等相关资源的访问。

2）主机防护：通过构建主机的白名单体系或者构建主机应用软件的可信体系来判断相关的软件或者应用是否可以在本系统中运行，阻止不在白名单范围内的软件执行与进程启动。

2.隔离类

1）网闸类：主要采用“2+1”的方式或者“3+1”的方式，在两主机之间通过隔离卡进行通信，或者通过第三主机对两主机下发策略来实现有限的通信，目前在石油石化、冶金领域中广泛应用。

2）正反向隔离装置：内网和外网之间不建立TCP/IP的连接，内网主机和外网主机之间的通信通过单字节的回应机制来实现。对于反向隔离装置仍然需要进行基于数字证书的认证，在内外网之间建立有限的通信，目前在电力行业广泛应用。

3）工业隔离网关：目前有多种形式，有采用“2+1”的隔离形式，还有采用两个防火墙对接的形式，可以有效对OPC、Modbus、S7等工业协议进行过滤和处理，尤其是可以对读取和更改OPC的点做细粒度的控制。

3.监测类

1）工控审计：通过自定义或者自学习方式来构建通信行为基线，通过对通信行为的判别来发现超出基线行为的异常，对于出现的违背基线行为的操作进行告警并提供相关的处置建议。

2）工控IDS：通过对数据包的深度解析，基于特征分析和异常检测来发现进入到或者潜藏在工业控制系统内的攻击行为，实现对攻击行为的有效感知和监测。

3）工业监测预警平台：基于对安全日志、网络日志、主机日志的管理和关联分析，同时结合工业现场运行的特点来发现和还原工业现场潜在的恶意行为。

4.检测类

1）工控漏洞扫描：可以对工业现场中常见的IT操作系统、数据库、工业现场应用软件和工业控制器（如PLC、DCS等设备）与装置进行探测，发现其中潜在的安全漏洞。

2）工控漏洞挖掘：主要通过FUZZ等技术手段实现对协议健壮性的测试，通过发送指定协议的畸形报文，观测被检测设备在处理畸形报文时的异常，如通过DoS来发现系统潜在的漏洞。

5.运维管控类

1）工业堡垒机：可以实现对运维过程的安全审计和身份管理。目前，在工业现场不能通过前置机安装工业软件的情况下，通过集成与组态和SCADA等软件的接口来实现与上位机主机的通信，并对运维过程进行监控。

2）移动工业运维审计：针对现场外部运维人员的运维操作进行监控，发现运维操作中潜在的恶意行为，对恶意行为进行记录和阻断。