工业控制系统通常用于诸如电力、水利、石油和天然气、化工、交通运输、制药、煤碳、钢铁以及离散制造等行业，具有行业覆盖范围广泛，业务场景多样等特点。工业控制系统一旦发生安全问题，往往会对国计民生产生重大影响。为保障工业控制系统稳定运行，需要依据等保2.0等网络安全标准要求，以确保工业生产业务连续性为基本原则，对工业控制系统划分不同安全保护等级，分等级进行安全防护。

作为国内领先的网络安全厂商，天融信积极探索适用于工业控制系统应用场景下的安全防护技术和安全管理措施，推出了面向电力、轨道交通、化工、石油和天然气、煤炭、钢铁、烟草等众多行业的网络安全等级保护解决方案，满足等保2.0标准要求的同时，为客户网络安全保驾护航。

       天融信面向工业控制系统的网络安全等级保护解决方案以等保2.0标准“一个中心、三重防护”为核心指导思想，全面融合天融信自有的工控安全防护技术及工业信息安全服务能力，落实安全管理措施，从安全技术、安全管理两个维度构建集防护、检测、响应、恢复于一体的全面的安全保障体系，切实提升工业控制系统信息安全总体防护水平。

由于工业控制网络中多为自动化领域的设备及应用，其在技术执行过程中与传统信息领域有着较大的差异。故在工业控制系统安全体系设计过程中，需要基于等级保护“一个中心，三重防护”的核心理念，采用面向工业领域的专业安全技术手段，按区域、分层级进行安全防护。

安全通信网络设计要点

l在工业控制系统与其它系统之间部署工控网闸，实现单向技术隔离；

l在不同安全域边界部署工控防火墙，实现对通信链路的风险管控；

l应用工控防火墙的VPN模块或采用独立VPN设备对无线传输过程进行加密，保证通信过程中数据的完整性、保密性。

安全区域边界设计要点

l在工业控制系统与其它系统之间部署工控网闸，实现网络边界隔离和访问控制；

l在生产区域内部各安全域间部署工控防火墙，对各安全域之间的访问行为进行细粒度控制；

l部署工控审计、日志审计，对用户行为和安全事件进行审计和分析；

l部署工控入侵检测与审计系统，对外部或内部发起的网络攻击行为进行检测、分析和预警防范。

安全计算环境设计要点

l在工业主机上安装工控主机卫士软件，对主机应用和进程、外设接口、移动存储设备等进行管控，对用户操作行为进行审计；

l部署运维审计系统，采用口令、生物技术等结合密码技术对用户进行身份鉴别，对用户登录和退出进行管理；

l部署工控漏扫，对已知漏洞进行扫描和安全评估，对上线前的控制设备进行安全性检测；

l应用工控防火墙的VPN模块或采用独立VPN设备保证重要数据在传输过程中的完整性、保密性。

安全管理中心设计要点

l部署工控安全集中管理平台，对网络中的安全设备或安全组件的运行状况进行监测、对设备日志进行关联分析，对安全策略进行统一下发；

l部署工控态势感知系统，对工控网络进行安全监测、分析、预警，或驱动安全应急响应流程，支撑应急响应、处置、追溯等安全管理和运维工作。

天融信基于等保2.0的工业信息安全解决方案针对客户工业控制系统网络存在的安全风险，从安全防护、安全检测、安全管理、安全运维等不同维度构建纵深防御体系，保障生产网络安全的同时也为客户带来以下具体收益：

l天融信工业控制系统等级保护安全解决方案基于业务行为基线的安全技术手段，构建生产网络“白环境”，可制定访问控制、外设管理、基线模型等多种细粒度安全策略，最大程度实现生产业务零影响，保障生产业务可靠运行；

l借助天融信工控安全防护产品、工业信息安全服务等手段，建立符合等级保护标准要求的控制领域全方位安全防控体系，从而全面提升客户信息化安全防护水平；

l为客户生产运营提供过程的可用性、完整性和保密性保护，并在此基础上实现综合集中安全管理，构建纵深的安全防御体系，提升工业控制系统整体安全能力。