辦公網與工控網之間安全防護

辦公網與工控網之間增加工業網閘，僅允許辦公網的報表服務器和遠程服務器以OPC協議以只讀的方式訪問工控網內的SCADA數據服務器，除OPC協議外所有網絡報文都不允許通過，其余的任何計算機都不允許互相訪問。

公網與工控網之間安全防護

公網與工控網之間增加工業網閘，僅允許規定的計算機和端口互相訪問，通過工業網閘的白名單策略，可以設置僅允許規定的計算機互相訪問，并且僅開放有限的端口，除此之外的主機和端口，均不允許訪問，從而保護工控網的安全。

安全區內部綜合防護

1.在工控網內部署入侵檢測系統，對關鍵業務系統和網絡邊界的關鍵路徑信息進行實時檢測，實現安全事件的可發現、可追蹤、可審計。

2.在工控網內部署運維安全審計系統（堡壘主機）全面禁止廠家通過互聯網遠程運維，通過運維管控平臺集中運維數據網設備和服務器設備，并對運維人實名認證，對運維過程能實時監控、實時阻斷、全面審計，實現控制大區IT資源（EMS服務器、網絡設備、安全設備）運維過程符合等保、二次安防的要求。

3.在工控網內建立安全審計，全面收集、集中存儲生產控制大區各種業務系統、網絡設備、安全產品、機房設施等的運行日志、操作系統日志、數據庫訪問日志，并具備動態監視、故障分析、安全審計、事件預警及告警功能。

方案優勢

隔離工控網與辦公網，解決安全問題

在工控網與辦公網之間增加工業網閘，僅允許特定的辦公網主機（報表服務器和遠程服務器）訪問特定的工控網主機（SCADA數據服務器），且僅允許OPC協議通過，除此之外的任何主機、任何通信協議，均不允許通過。

辦公網內主機僅能讀取OPC數據，不能修改

辦公網內的報表服務器和西安遠程服務器，對工控網內的SCADA數據服務器，僅能進行OPC數據的只讀訪問，不能進行任何寫操作，有效的防止了誤操作或者網絡攻擊導致對工控網的訪問，防止對實際生產造成巨大的經濟損失。

隔離工控網與公網，解決安全安全問題

在工控網與公網之間增加工業網閘，僅允許特定的公網主機（遠程數據采集服務器）與工控網主機之間的互相訪問，且僅允許特定的端口通過，除此之外的任何主機、任何端口的報文，均不允許通過，防止對公網上網絡攻擊者對工控網進行非法攻擊。

基于網絡數據包級別的控制原理，對OPC進行七級深度控制

我公司的工業網閘是基于網絡數據包級別的控制原理，非市面上的數據采集原理型產品，能夠達到七級深度OPC控制，包括MAC與IP綁定、TCP動態連接判斷、OPC服務器訪問控制、是否全部測點只讀、單測點是否可見、單測點是否只讀/讀寫、測點值寫范圍判斷。

隔離設備的安全性

OPC協議的處理屬于自主開發，沒有基于商業庫開發所存在的漏洞問題，安全性更高，硬件采用非x86的體系，產品自身安全性更高。

相關產品：

• 安全隔離裝置
• 工業入侵檢測系統
• 日志審計系統
• 運維安全審計系統