伴隨兩化融合和物聯網的快速發展，我國關鍵性基礎設施和能源行業廣泛使用的SCADA ,DCS ,PLC等工業控制系統越來越多地采用計算機和網絡技術，如Ethernet TCP/IP以及OPC等，極大地推動了工業生產，但同時也使工業控制系統接口越來越開放，控制系統面臨的信息安全問題也日益嚴重。 

   與傳統的IT信息安全不同工業環境的ICS系統安全事件會導致： 

1、關鍵性能下降，影響系統可用性

2、關鍵控制數據被篡改或喪失

3、失去控制

4、環境災難

5、人員傷亡

6、公司聲譽受損

7、危機公眾生活及國家安全

8、破壞基礎設施

9、嚴重的經濟損失等

工業信息安全變得日益重要，各種潛在的安全威脅也日益增長如未經授權人員的非法訪問，間諜活動，非法操縱控制數據，由于惡意軟件導致數據的丟失，損壞等等一系列情況，越來越多的安全事件揭示自動化工廠存在安全脆弱性。

工業控制系統信息安全（以下簡稱“工控安全”）是國家網絡和信息安全的重要組成部分，是推動中國制造2025、制造業與互聯網融合發展的基礎保障。為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》（國發〔2016〕28號）文件精神，應對新時期工控安全形勢，提升工業企業工控安全防護水平。2016年10月，工業和信息化部印發《工業控制系統信息安全防護指南》。2017年5月，《網絡安全法》正式實施。

工業信息安全不單純是一個技術問題，而是從一個意識培養開始，涉及到管理，流程，架構，技術，產品等各個方面的系統化的工程分為4個階段

1、風險評估

2 、安全策略與組織審核

3 、技術措施

4、驗證與改進

依據工業和信息化部印發《工業控制系統信息安全防護指南》,工業控制系統信息安全是國家網絡和信息安全的重要組成部分，是推動中國制造2025制造業與互聯網融合發展的基礎保障。

  大多數企業模型化后的系統網絡結構如上圖所示

  1、數采網與控制網之間的病毒相互感染隱患。雖然通過Buffer數采機或OPC Server的雙網卡結構對數采網與控制網進行了隔離，部分惡意程序不能直接攻擊到控制網絡，但對于能夠利用 Windows 系統漏洞的網絡蠕蟲及病毒等，這種配置并不起作用，病毒仍會在數采網和控制網之間互相傳播。另外OPC通訊使用動態端口，無法使用常規防火墻進行防護。

  2、來自工程師站的病毒擴散隱患。工程師站通常接入設備U盤、筆記本電腦等第三方，受到病毒攻擊和入侵的概率很大，存在較高的安全隱患。

  3、網絡攻擊事件無法追蹤。網絡中缺乏對網絡進行實時監控的工具，一旦出現問題后，無法進行原因查找、分析和故障點查詢。

工業防火墻用來分離安全系統網絡與過程系統網絡，實現關鍵系統與非關鍵系統的物理隔離。

與普通商用防火墻相比，工業防火墻更適于工業控制系統安全防護，主要體現在主要體現在： 

（1）工業型： 

參照ANSI/ISA-99 Standards的安全要求為設計理念，產品更具針對性和高效性，專門用于工業控制系統的安全保護。內置50多種專有工業通信協議，與常規防火墻不同的是，工業防火墻不僅是在端口上的防護，更重要的是基于應用層上數據包深度檢查，屬于新一代工業通訊協議防火墻，為工業通訊提供獨特的、工業級的專業隔離防護解決方案。 

具備在線修改防火墻組態功能，可以實時對組態的防火墻策略進行修改，而且不影響工業實時通訊。其它防火墻需要斷電、重啟等。工業型設計，導軌式安裝，低功耗無風扇，具備二區防爆認證。

（2）獨有專利安全連接技術：

首先防火墻自身是基于非IP的獨有專利安全連接技術進行管理，能夠阻擋任何欺騙式攻擊。能夠隱藏防火墻后端所有設備的IP地址，讓入侵者無法發現目標，更無從談發動任何攻擊。集防火墻與虛擬路由于一身，能夠像網絡交通警察一樣管控通訊網絡數據通訊的路徑、對象以及數據流的方向，可以設定數據流入、流出的單向或雙向。

（3）實時網絡通訊透視鏡：

能夠為目前控制網絡故障分析、監控、記錄提供一個簡單、有效的可靠工具，能夠確切的觀察、分析、控制網絡通信電纜中所使用的通訊協議、數據速度、訪問對象等。實現對非法通信的實時報警、來源確認、歷史記錄，保證控制網絡通訊的實時診斷。

 (4) 滿足 ANSI/ISA-99,IEC62443和 NERC-CIP 標準

根據 ANSI/ISA-99,IEC62443 和 NERC-CIP 標準， TSA 可以很方便的針對 PLC、 DCS、 RTU、IED 和 HMI 提供一個性價比很高的安全分區—一個配置得當的保護區域分組。

無論網絡中任何位置發生攻擊或者為人誤操作，深度防護模型都可以有效的限制其對整個網絡造成影響：

1、多層防護

2、差異化分層防護

3、針對特定威脅的分層防護