工控安全產(chǎn)品在煤礦應(yīng)用解決方案

1、工控安全產(chǎn)品在煤礦應(yīng)用解決方案2015年06月5日類別：A-增加M-修改D-刪除版本日期制定類別批準(zhǔn)描述（注明修改的條款或頁(yè)）1.02015-06-5A1. 項(xiàng)目背景11.1 引言11.2 煤炭自動(dòng)化系統(tǒng)簡(jiǎn)介21.3 煤炭工控系統(tǒng)信息安全現(xiàn)狀及風(fēng)險(xiǎn)22. 煤炭行業(yè)工控安全解決方案32.1 工控安全解決方案簡(jiǎn)介32.1.1 工控安全思路簡(jiǎn)介32.1.2 工控安全產(chǎn)品簡(jiǎn)介42.2 工控安全煤炭行業(yè)系統(tǒng)架構(gòu)82.2.1 總體系統(tǒng)架構(gòu)圖82.2.2 總體系統(tǒng)架構(gòu)說(shuō)明82.2.3 各子系統(tǒng)架構(gòu)說(shuō)明（以選煤廠控制子系統(tǒng)為例）91 .項(xiàng)目背景1.1 引言煤炭礦井綜合自動(dòng)化系統(tǒng)是指在工業(yè)生產(chǎn)、管理、經(jīng)營(yíng)過(guò)程中

2、，通過(guò)信息基礎(chǔ)設(shè)施，在集成平臺(tái)上，實(shí)現(xiàn)煤炭信息的采集、信息的傳輸、信息的處理以及信息的綜合利用等。將先進(jìn)和自動(dòng)控制、通訊、信息技術(shù)和現(xiàn)代化管理技術(shù)結(jié)合，將企業(yè)的生產(chǎn)過(guò)程控制、運(yùn)行與管理作為一個(gè)整體進(jìn)行控制與管理，以實(shí)現(xiàn)煤炭企業(yè)優(yōu)化運(yùn)行、控制和管理。而煤炭自動(dòng)化系統(tǒng)作為整個(gè)礦井安全生產(chǎn)監(jiān)控系統(tǒng)信息的集成，需要一個(gè)快速、安全、可靠的網(wǎng)絡(luò)平臺(tái)為大量的信息流動(dòng)提供支撐，同時(shí)要有一個(gè)安全生產(chǎn)信息應(yīng)用系統(tǒng)為礦井安全保價(jià)護(hù)航。而煤炭綜合自動(dòng)化系統(tǒng)中的工業(yè)控制系統(tǒng)（以下簡(jiǎn)稱工控系統(tǒng)）是煤炭基礎(chǔ)設(shè)施的重要組成部分，也是煤炭中基礎(chǔ)設(shè)施的核心，有著可用性和實(shí)時(shí)性要求高，系統(tǒng)生命周期長(zhǎng)的特點(diǎn)，因?yàn)槲覈?guó)關(guān)于工業(yè)安全領(lǐng)域

3、的相關(guān)研究還處于起步階段，防護(hù)能力和應(yīng)急處置能力低，大部分煤礦基本沒(méi)有任何防護(hù)理念和安全措施。且我國(guó)工控系統(tǒng)大量使用國(guó)外產(chǎn)品，關(guān)鍵系統(tǒng)的安全性受制于人，煤炭行業(yè)的安全存在一定的難度。特別是近年來(lái)工控系統(tǒng)安全事件頻發(fā)，比如“震網(wǎng)”“火焰”“毒區(qū)”等APT攻擊的出現(xiàn)，充分反映出煤炭工控系統(tǒng)信息安全所面臨，一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對(duì)煤炭企業(yè)正常的生產(chǎn)運(yùn)行和經(jīng)濟(jì)安全造成重大隱患。1.2 煤炭自動(dòng)化系統(tǒng)簡(jiǎn)介煤炭系統(tǒng)總體結(jié)構(gòu)分為管理層（信息層）、控制層、設(shè)備層三層結(jié)構(gòu)，各子系統(tǒng)主體傳輸平臺(tái)為工業(yè)以太網(wǎng)。其中管理層為礦地面局域網(wǎng)系統(tǒng)；控制稱以工業(yè)以太環(huán)網(wǎng)為數(shù)據(jù)傳輸平臺(tái)，主要由整個(gè)監(jiān)控中心設(shè)備及環(huán)

4、網(wǎng)組層；設(shè)備層多采用現(xiàn)場(chǎng)總線，保證了現(xiàn)場(chǎng)子系統(tǒng)的實(shí)時(shí)性和可靠性，主要由個(gè)自動(dòng)化子系統(tǒng)設(shè)備組層。在管理層，通過(guò)礦局域網(wǎng)系統(tǒng)，在各臺(tái)計(jì)算機(jī)上，可以在統(tǒng)一的界面下根據(jù)權(quán)限和登記查看全礦的所有信息，將本部門的信息向管理網(wǎng)公布，實(shí)現(xiàn)全礦安全生產(chǎn)的信息化管理。如視頻監(jiān)控系統(tǒng)、大屏控制系統(tǒng)等控制層是在工業(yè)以太環(huán)網(wǎng)上接入操作站、工程師站上，通過(guò)綜合自動(dòng)化軟件平臺(tái)向設(shè)備層的控制器發(fā)送控制指令，并實(shí)現(xiàn)對(duì)整個(gè)子系統(tǒng)設(shè)備的集中控制。如：井下中央變電所排水系統(tǒng)、通風(fēng)控制系統(tǒng)等，或?qū)λ性O(shè)備和環(huán)境參數(shù)的檢測(cè)。如瓦斯檢測(cè)系統(tǒng)、輔助運(yùn)輸信息等。設(shè)備層主要包括設(shè)備操作臺(tái)、PLC控制箱、開關(guān)柜、傳感器、執(zhí)行器、行程開關(guān)等現(xiàn)場(chǎng)設(shè)備

5、，是具體控制設(shè)備的執(zhí)行者。1.3 煤炭工控系統(tǒng)信息安全現(xiàn)狀及風(fēng)險(xiǎn)煤炭和其他行業(yè)的工控主站系統(tǒng)一般處于相對(duì)封閉的專用網(wǎng)絡(luò)，通過(guò)專用隔離裝置與外界交互。隨著“兩化”（信息化與工業(yè)化）的深度融合，工控系統(tǒng)正越來(lái)越多的使用通用協(xié)議、通用操作系統(tǒng)、通用硬件和軟件。由于以太網(wǎng)、無(wú)線設(shè)備無(wú)處不在，整個(gè)煤炭控制系統(tǒng)都可以和遠(yuǎn)程終端進(jìn)行互連，病毒、木馬、蠕蟲等信息網(wǎng)絡(luò)安全問(wèn)題直接延伸到工控系統(tǒng)。煤炭工控系統(tǒng)幾個(gè)重要環(huán)節(jié)面臨的信息安全風(fēng)險(xiǎn)如下。1）在數(shù)據(jù)采集環(huán)節(jié)，煤炭工控系統(tǒng)終端設(shè)備一般長(zhǎng)時(shí)間運(yùn)行在自然條件惡劣的地下，不僅容易出現(xiàn)物理安全問(wèn)題，而且受限于設(shè)備自身的計(jì)算資源終端設(shè)備難以全面應(yīng)用各種信息安全防護(hù)技術(shù)，

6、易遭受仿冒、竊聽和篡改等攻擊。2）在數(shù)據(jù)傳輸環(huán)節(jié)，絕大部分工控系統(tǒng)都采用國(guó)際標(biāo)準(zhǔn)的專有通信協(xié)議進(jìn)行傳輸，此類協(xié)議絕大部分缺乏有效的身份鑒別和訪問(wèn)控制機(jī)制，并以明文方式進(jìn)行傳輸，導(dǎo)致重要的控制命令、參數(shù)設(shè)置等信息面臨被竊聽、篡改的風(fēng)險(xiǎn)。3）在數(shù)據(jù)處理環(huán)節(jié)，工控系統(tǒng)更多采用標(biāo)準(zhǔn)化的工控機(jī)或嵌入式系統(tǒng)，以及通用的數(shù)據(jù)處理技術(shù)和協(xié)議，包括Modbus,S7、NDP3等，這些協(xié)議和技術(shù)從設(shè)計(jì)階段主要考慮實(shí)時(shí)性和可用性，基本沒(méi)有考慮安全因素，導(dǎo)致無(wú)法進(jìn)行一般意義上的安全修補(bǔ)，對(duì)工控系統(tǒng)造成日益嚴(yán)重的威脅。2,煤炭行業(yè)工控安全解決方案2.1 工控安全解決方案簡(jiǎn)介2.1.1 工控安全思路簡(jiǎn)介公司沒(méi)有簡(jiǎn)單照搬傳

7、統(tǒng)IT安全思維，而是以工控系統(tǒng)安全的視角，針對(duì)工控系統(tǒng)對(duì)可靠性、穩(wěn)定性、業(yè)務(wù)連續(xù)性的嚴(yán)格要求，以及工控系統(tǒng)軟件和設(shè)備更新不頻繁，通信和數(shù)據(jù)較為特定的特點(diǎn)，提出了建立工控系統(tǒng)安全生產(chǎn)與運(yùn)行的“可信網(wǎng)絡(luò)白環(huán)境”以及“軟件應(yīng)用白名單”概念，進(jìn)而構(gòu)筑工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)安全“白環(huán)境”：只有可信任的設(shè)備，才能接入控制網(wǎng)絡(luò)；只有可信任的消息，才能在網(wǎng)絡(luò)上傳輸；只有可信任的軟件，才允許被執(zhí)行；本設(shè)計(jì)思路無(wú)需大量改造現(xiàn)有工控網(wǎng)絡(luò)和頻繁升級(jí)工控系統(tǒng)，技術(shù)可靠實(shí)用，可落地性強(qiáng)。其主要優(yōu)點(diǎn)包括：杜絕終端后門隱患工控安全產(chǎn)品能夠幫助涉密單位、關(guān)系國(guó)計(jì)民生的大型工控企業(yè)對(duì)工控網(wǎng)絡(luò)工作站、服務(wù)器進(jìn)行安全防護(hù)和安全加固，杜絕

8、安全后門隱患，響應(yīng)國(guó)家信息安全國(guó)產(chǎn)化政策及號(hào)召。解決主機(jī)安全問(wèn)題，減少安全生產(chǎn)事故工控安全產(chǎn)品具備先進(jìn)白名單防護(hù)技術(shù)，能夠有效抵御病毒、木馬、惡意軟件、零日攻擊、高級(jí)持久威脅（APT）攻擊對(duì)工控網(wǎng)絡(luò)工作站、服務(wù)器的攻擊與破壞行為，真正幫助企業(yè)發(fā)現(xiàn)工控網(wǎng)絡(luò)攻擊，解決安全問(wèn)題，使企業(yè)的安全投入物有所值。提高工控系統(tǒng)穩(wěn)定性，減少系統(tǒng)停車時(shí)間工控安全產(chǎn)品能夠有效檢測(cè)到操作員針對(duì)工作站、服務(wù)器的違規(guī)、異常操作并加以阻止，進(jìn)而避免工控系統(tǒng)的意外停車事故。同時(shí)，基于白名單技術(shù)的解決方案無(wú)需對(duì)工控網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行改造，避免頻繁升級(jí)工控系統(tǒng)，減少系統(tǒng)維護(hù)停車時(shí)間。方案的拓?fù)鋱D如下：蛆態(tài)管ERP理平臺(tái)=三MES可后工

9、士OPC工慳曬砧口口口L|OPCERP觸網(wǎng)此看方可信通界同關(guān)PLC可信區(qū)域冏關(guān)PVCPK2.1.2 工控安全產(chǎn)品簡(jiǎn)介1）可信邊界網(wǎng)關(guān)簡(jiǎn)介：公司可信邊界網(wǎng)關(guān)主要為保護(hù)工業(yè)控制網(wǎng)與管理信息網(wǎng)之間的邊界而設(shè)計(jì)，支持對(duì)OPC等數(shù)采協(xié)議的深度解析，阻止來(lái)自管理信息網(wǎng)的安全威脅，保護(hù)數(shù)據(jù)采集系統(tǒng)的安全。可信邊界網(wǎng)關(guān)基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，其工控協(xié)議深度包解析技術(shù)不僅對(duì)二層三層網(wǎng)絡(luò)協(xié)議進(jìn)行解析，更進(jìn)一步解析到工控網(wǎng)絡(luò)包的應(yīng)用層，對(duì)OPC等協(xié)議進(jìn)行深度分析，防止應(yīng)用層協(xié)議被篡改或破壞。利用可信邊界網(wǎng)關(guān)可以建立可信任的數(shù)采通信的模型，采用黑白名單互補(bǔ)的安全策略，過(guò)濾一切非法訪問(wèn)，保證只有可信任的設(shè)備才可

10、以接入工控網(wǎng)絡(luò)，只有可信任的流量才可以在網(wǎng)間傳輸。為控制網(wǎng)與管理信息網(wǎng)的連接提供安全保障。其主要優(yōu)勢(shì)包括：支持私有協(xié)議的開發(fā)平臺(tái)接口可信邊界網(wǎng)關(guān)提供SDK,開放的平臺(tái)接口可以方便客戶自行擴(kuò)展支持私有協(xié)議，以及做定制化的二次開發(fā)。高性能匹配算法工控系統(tǒng)對(duì)實(shí)時(shí)性要求異?？量?，可信邊界網(wǎng)關(guān)具備先進(jìn)的硬件設(shè)計(jì)，采用專用MIPS多核處理器，為低延時(shí)、高吞吐的數(shù)據(jù)處理提供了堅(jiān)實(shí)的基礎(chǔ)保障。其中深度數(shù)據(jù)包解析引擎在實(shí)現(xiàn)穩(wěn)定可靠的數(shù)據(jù)包深度解析的同時(shí)，可以做到低延遲，保證了工控系統(tǒng)的實(shí)時(shí)性要求?？尚胚吔缇W(wǎng)關(guān)結(jié)合軟硬件加速能力，即使在開啟深度報(bào)文檢測(cè)（DPI）的情況下也可實(shí)現(xiàn)30000PPS的吞吐量。高可靠的軟

11、硬件一體化架構(gòu)可信邊界網(wǎng)關(guān)集成硬件加密引擎，為數(shù)據(jù)采集系統(tǒng)的數(shù)據(jù)傳輸提供了高性能的保證。另外，通過(guò)對(duì)可信網(wǎng)關(guān)和后臺(tái)管理系統(tǒng)之間的所有數(shù)據(jù)交換進(jìn)行加密，確保了整個(gè)系統(tǒng)的安全性和可靠性。同時(shí)硬件物料精心選型，并且從電路設(shè)計(jì)、結(jié)構(gòu)設(shè)計(jì)、系統(tǒng)冗余、時(shí)延、可靠性、環(huán)境要求等方面嚴(yán)格要求，保證硬件的可靠性。自主可控的智能工控安全操作系統(tǒng)可信邊界網(wǎng)關(guān)在專用工業(yè)級(jí)、高性能網(wǎng)絡(luò)安全硬件平臺(tái)基礎(chǔ)上，構(gòu)筑了自主知識(shí)產(chǎn)權(quán)的智能工控安全操作系統(tǒng)，此操作系統(tǒng)對(duì)流經(jīng)可信網(wǎng)關(guān)的數(shù)據(jù)流做深度的協(xié)議解析和匹配，并對(duì)數(shù)據(jù)流做智能調(diào)度轉(zhuǎn)發(fā)，以及對(duì)工控網(wǎng)絡(luò)流量包的應(yīng)用層內(nèi)容做深度檢查，為安全功能的擴(kuò)展提供了堅(jiān)實(shí)的基礎(chǔ)保障。工控可信邊界

12、網(wǎng)關(guān)在傳統(tǒng)網(wǎng)關(guān)功能的基礎(chǔ)上，專門針對(duì)工控環(huán)境提供了工控協(xié)議的管控、基于白名單的訪問(wèn)控制策略、智能學(xué)習(xí)規(guī)則、規(guī)則測(cè)試模式、日志本地緩存等?；睘楹?jiǎn)的使用體驗(yàn)可信邊界網(wǎng)關(guān)以提高工業(yè)控制網(wǎng)絡(luò)的日常安全管理、信息統(tǒng)計(jì)數(shù)據(jù)的易讀性和可操作性為設(shè)計(jì)核心，降低操作復(fù)雜度，避免誤操作。系統(tǒng)充分利用人工智能技術(shù)，大幅度簡(jiǎn)化分析、管理、控制流程，并提供簡(jiǎn)單易學(xué)的用戶界面，方便管理人員日常操作管理。管理系統(tǒng)支持實(shí)時(shí)可視化呈現(xiàn)工控網(wǎng)絡(luò)鏈路的連通性和服務(wù)狀態(tài)，提供多類歷史監(jiān)控?cái)?shù)據(jù)對(duì)比分析，系統(tǒng)日志、配置日志、流量日志、攻擊日志、訪問(wèn)日志等類型日志的查詢與備份。2）可信區(qū)域網(wǎng)關(guān)簡(jiǎn)介：可信區(qū)域網(wǎng)關(guān)主要保護(hù)工業(yè)控制網(wǎng)絡(luò)不同安

13、全區(qū)域間的安全，支持多種工控協(xié)議，阻止來(lái)自安全區(qū)域外的威脅，抑制安全域中的病毒、木馬向其它區(qū)域傳播擴(kuò)散。基于業(yè)界領(lǐng)先的軟、硬件體系架構(gòu)，其工控協(xié)議深度包解析技術(shù)不僅對(duì)二層三層網(wǎng)絡(luò)協(xié)議進(jìn)行解析，更進(jìn)一步解析到工控網(wǎng)絡(luò)包的應(yīng)用層，對(duì)Modbus、DNP3、IEC104、Pro巾net等進(jìn)行深度分析，防止應(yīng)用層協(xié)議被篡改或破壞。利用可信區(qū)域網(wǎng)關(guān)可以建立可信任的工控網(wǎng)絡(luò)區(qū)域間通信模型，采用黑白名單互補(bǔ)的安全策略，過(guò)濾一切非法訪問(wèn)，保證只有可信任的設(shè)備才可以接入工控網(wǎng)絡(luò)，只有可信任的流量才可以在網(wǎng)間傳輸。為控制網(wǎng)、生產(chǎn)網(wǎng)內(nèi)部各區(qū)域的連接提供安全保障?？尚艆^(qū)域網(wǎng)關(guān)為控制網(wǎng)內(nèi)部各區(qū)域間數(shù)據(jù)訪問(wèn)提供工控協(xié)議深

14、度解析、工控指令訪問(wèn)控制、日志審計(jì)等綜合安全功能。可信網(wǎng)關(guān)采用了高性能、高穩(wěn)定性的多核硬件架構(gòu)，為用戶提供高效、穩(wěn)定的安全保障。其主要優(yōu)勢(shì)包括：實(shí)時(shí)精準(zhǔn)的工控協(xié)議指令級(jí)控制可信邊界網(wǎng)關(guān)搭載了深度數(shù)據(jù)包解析引擎，可對(duì)工控協(xié)議做到實(shí)時(shí)和精準(zhǔn)的識(shí)別，為解決針對(duì)工控網(wǎng)絡(luò)的安全問(wèn)題提供了技術(shù)基礎(chǔ)保障，支持對(duì)OPC等數(shù)采協(xié)議進(jìn)行快速有針對(duì)性的捕獲與深度解析?？梢詫?duì)OPC等工控協(xié)議做到指令級(jí)控制，如：OPC協(xié)議只讀。支持私有協(xié)議的開發(fā)平臺(tái)接口可信邊界網(wǎng)關(guān)提供SDK,開放的平臺(tái)接口可以方便客戶自行擴(kuò)展支持私有協(xié)議，以及做定制化的二次開發(fā)。高性能匹配算法工控系統(tǒng)對(duì)實(shí)時(shí)性要求異?？量?，可信區(qū)域網(wǎng)關(guān)具備先進(jìn)的硬件設(shè)

15、計(jì)，采用專用MIPS多核處理器，為低延時(shí)、高吞吐的數(shù)據(jù)處理提供了堅(jiān)實(shí)的基礎(chǔ)保障。其中深度數(shù)據(jù)包解析引擎在實(shí)現(xiàn)穩(wěn)定可靠的數(shù)據(jù)包深度解析的同時(shí)，可以做到低延遲，保證了工控系統(tǒng)的實(shí)時(shí)性要求?？尚艆^(qū)域網(wǎng)關(guān)結(jié)合軟硬件加速能力，設(shè)備滿配策略條件下時(shí)延小于50us。3）可信安全衛(wèi)士簡(jiǎn)介：隨著工業(yè)4.0及兩化融合的趨勢(shì)到來(lái)，傳統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題已成為企業(yè)及國(guó)家安全面臨的嚴(yán)峻挑戰(zhàn)。鑒于工業(yè)應(yīng)用的特殊性，作為工控系統(tǒng)重要組成部分的工作站、服務(wù)器等主機(jī)終端難以采用傳統(tǒng)的殺毒軟件等“黑名單”防護(hù)方式應(yīng)對(duì)層出不窮的操作系統(tǒng)漏洞、計(jì)算機(jī)后門程序、病毒、木馬、數(shù)據(jù)掃描、密鑰數(shù)據(jù)塊攻擊、黑客攻擊等多元化的風(fēng)險(xiǎn)及威脅

16、，采用更加安全、可靠、方便的技術(shù)對(duì)其進(jìn)行安全加固已經(jīng)迫在眉睫?？尚判l(wèi)士基于“白名單”主動(dòng)防御技術(shù)的主機(jī)安全防護(hù)軟件，解決了工控系統(tǒng)主機(jī)病毒感染、惡意腳本執(zhí)行、操作系統(tǒng)內(nèi)核漏洞隱患、應(yīng)用程序緩沖區(qū)溢出攻擊等問(wèn)題，能夠與威努特可信區(qū)域網(wǎng)關(guān)、可信邊界網(wǎng)關(guān)等共同構(gòu)建可控、可靠、可管理的工控網(wǎng)絡(luò)“白環(huán)境”縱深安全防御體系。其主要優(yōu)勢(shì)包括：有效防止零日攻擊、APT攻擊基于“軟可信”技術(shù)，與“白名單”技術(shù)相結(jié)合，不依賴于攻擊樣本采集及攻擊特征的提取，能夠有效的防御零日攻擊、APT攻擊等傳統(tǒng)殺毒軟件無(wú)能為力的攻擊方式，保護(hù)主機(jī)終端的持續(xù)安全。極致簡(jiǎn)單，易管理維護(hù)，適合工控環(huán)境操作極致簡(jiǎn)單，不需頻繁更新威脅特征

17、庫(kù)來(lái)保持對(duì)新威脅的防護(hù)能力，避免了升級(jí)可能造成的系統(tǒng)兼容性風(fēng)險(xiǎn)，易于現(xiàn)場(chǎng)管理維護(hù)，尤其適合在工業(yè)控制系統(tǒng)中使用。系統(tǒng)資源需求量小，亦適合老舊設(shè)備不像傳統(tǒng)反病毒軟件或IDS/IPS設(shè)備依賴于一個(gè)急劇增長(zhǎng)的特征庫(kù)，可信衛(wèi)士根據(jù)每個(gè)客戶的具體生產(chǎn)環(huán)境建立一個(gè)小規(guī)模的白名單，對(duì)系統(tǒng)資源占用量小，亦適用于工控環(huán)境中老舊設(shè)備。2.2 工控安全煤炭行業(yè)系統(tǒng)架構(gòu)2.2.1總體系統(tǒng)架構(gòu)圖電林史-EiEZ|:-拒字-，目I"：i：i”打2.2.1 總體系統(tǒng)架構(gòu)說(shuō)明可信邊界網(wǎng)關(guān)：方案在信息層和控制層，控制層和設(shè)備層之間架設(shè)可信邊界網(wǎng)關(guān)。并在每一個(gè)控制系統(tǒng)中部署可信邊界網(wǎng)關(guān)，包括大卷皮帶控制系統(tǒng)、通風(fēng)機(jī)控制

18、系統(tǒng)等。主要用于監(jiān)視和控制在信息層與控制層、控制層與設(shè)備層之間，以及各個(gè)系統(tǒng)之間的通信數(shù)據(jù)報(bào)文，通過(guò)“白名單”放行正常的報(bào)文，可有效防止信息層和控制層向設(shè)備層傳送“不可信”的指令。檢測(cè)并防止來(lái)自與局域網(wǎng)和互聯(lián)網(wǎng)的攻擊防范，包括Land、Ping、Teardrop等異常報(bào)文和異常流量的攻擊?？尚啪钟蚓W(wǎng)關(guān)：在設(shè)備層的每一個(gè)區(qū)域需要配置可信局域網(wǎng)關(guān)，使其形成邏輯區(qū)域。主要用于根據(jù)端口和協(xié)議特征，深度解析傳輸?shù)木唧w內(nèi)容，以防止異常的流量、異常的指令、異常的操作、異常的報(bào)文等傳送至區(qū)域網(wǎng)絡(luò)內(nèi)，雙重保障正確識(shí)別工業(yè)協(xié)議報(bào)文?？尚殴ぷ髡荆嚎尚殴ぷ髡静渴鹪诿恳徊抗こ處熣尽⒉僮髡旧希ㄟ^(guò)靈活配置白名單，增強(qiáng)安全的同時(shí)降低維護(hù)成本，保證有效抵御零日攻擊及高級(jí)持久性威脅（APT）;通過(guò)授予權(quán)限自動(dòng)追加安裝程序，保證不被授權(quán)的軟件在系統(tǒng)中運(yùn)行。2.2