办公网与工控网之间安全防护

办公网与工控网之间增加工业网闸，仅允许办公网的报表服务器和远程服务器以OPC协议以只读的方式访问工控网内的SCADA数据服务器，除OPC协议外所有网络报文都不允许通过，其余的任何计算机都不允许互相访问。

公网与工控网之间安全防护

公网与工控网之间增加工业网闸，仅允许规定的计算机和端口互相访问，通过工业网闸的白名单策略，可以设置仅允许规定的计算机互相访问，并且仅开放有限的端口，除此之外的主机和端口，均不允许访问，从而保护工控网的安全。

安全区内部综合防护

1.在工控网内部署入侵检测系统，对关键业务系统和网络边界的关键路径信息进行实时检测，实现安全事件的可发现、可追踪、可审计。

2.在工控网内部署运维安全审计系统（堡垒主机）全面禁止厂家通过互联网远程运维，通过运维管控平台集中运维数据网设备和服务器设备，并对运维人实名认证，对运维过程能实时监控、实时阻断、全面审计，实现控制大区IT资源（EMS服务器、网络设备、安全设备）运维过程符合等保、二次安防的要求。

3.在工控网内建立安全审计，全面收集、集中存储生产控制大区各种业务系统、网络设备、安全产品、机房设施等的运行日志、操作系统日志、数据库访问日志，并具备动态监视、故障分析、安全审计、事件预警及告警功能。

方案优势

隔离工控网与办公网，解决安全问题

在工控网与办公网之间增加工业网闸，仅允许特定的办公网主机（报表服务器和远程服务器）访问特定的工控网主机（SCADA数据服务器），且仅允许OPC协议通过，除此之外的任何主机、任何通信协议，均不允许通过。

办公网内主机仅能读取OPC数据，不能修改

办公网内的报表服务器和西安远程服务器，对工控网内的SCADA数据服务器，仅能进行OPC数据的只读访问，不能进行任何写操作，有效的防止了误操作或者网络攻击导致对工控网的访问，防止对实际生产造成巨大的经济损失。

隔离工控网与公网，解决安全安全问题

在工控网与公网之间增加工业网闸，仅允许特定的公网主机（远程数据采集服务器）与工控网主机之间的互相访问，且仅允许特定的端口通过，除此之外的任何主机、任何端口的报文，均不允许通过，防止对公网上网络攻击者对工控网进行非法攻击。

基于网络数据包级别的控制原理，对OPC进行七级深度控制

我公司的工业网闸是基于网络数据包级别的控制原理，非市面上的数据采集原理型产品，能够达到七级深度OPC控制，包括MAC与IP绑定、TCP动态连接判断、OPC服务器访问控制、是否全部测点只读、单测点是否可见、单测点是否只读/读写、测点值写范围判断。

隔离设备的安全性

OPC协议的处理属于自主开发，没有基于商业库开发所存在的漏洞问题，安全性更高，硬件采用非x86的体系，产品自身安全性更高。

相关产品：

• 安全隔离装置
• 工业入侵检测系统
• 日志审计系统
• 运维安全审计系统