伴随两化融合和物联网的快速发展，我国关键性基础设施和能源行业广泛使用的SCADA ,DCS ,PLC等工业控制系统越来越多地采用计算机和网络技术，如Ethernet TCP/IP以及OPC等，极大地推动了工业生产，但同时也使工业控制系统接口越来越开放，控制系统面临的信息安全问题也日益严重。 

与传统的IT信息安全不同工业环境的ICS系统安全事件会导致： 

1、关键性能下降，影响系统可用性

2、关键控制数据被篡改或丧失

3、失去控制

4、环境灾难

5、人员伤亡

6、公司声誉受损

7、危机公众生活及国家安全

8、破坏基础设施

9、严重的经济损失等

工业信息安全变得日益重要，多种潜在的安全威胁也日益增长如未经授权人员的非法访问，间谍活动，非法操纵控制数据，由于恶意软件导致数据的丢失，损坏等等一系列情况，越来越多的安全事件揭示自动化工厂存在安全脆弱性。

工业控制系统信息安全（以下简称“工控安全”）是国家网络和信息安全的重要组成部分，是推动中国制造2025、制造业与互联网融合发展的基础保障。为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》（国发〔2016〕28号）文件精神，应对新时期工控安全形势，提升工业企业工控安全防护水平。2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》。2017年5月，《网络安全法》正式实施。

工业信息安全不单纯是一个技术问题，而是从一个意识培养开始，涉及到管理，流程，架构，技术，产品等各个方面的系统化的工程分为4个阶段

1、风险评估

2 、安全策略与组织审核

3 、技术措施

4、验证与改进

依据工业和信息化部印发《工业控制系统信息安全防护指南》,工业控制系统信息安全是国家网络和信息安全的重要组成部分，是推动中国制造2025制造业与互联网融合发展的基础保障。

大多数企业模型化后的系统网络结构如上图所示

1、数采网与控制网之间的病毒相互感染隐患。虽然通过Buffer数采机或OPC Server的双网卡结构对数采网与控制网进行了隔离，部分恶意程序不能直接攻击到控制网络，但对于能够利用 Windows 系统漏洞的网络蠕虫及病毒等，这种配置并不起作用，病毒仍会在数采网和控制网之间互相传播。另外OPC通讯使用动态端口，无法使用常规防火墙进行防护。

2、来自工程师站的病毒扩散隐患。工程师站通常接入设备U盘、笔记本电脑等第三方，受到病毒攻击和入侵的概率很大，存在较高的安全隐患。

3、网络攻击事件无法追踪。网络中缺乏对网络进行实时监控的工具，一旦出现问题后，无法进行原因查找、分析和故障点查询。

工业防火墙用来分离安全系统网络与过程系统网络，实现关键系统与非关键系统的物理隔离。

与普通商用防火墙相比，工业防火墙更适于工业控制系统安全防护，主要体现在主要体现在： 

（1）工业型： 

参照ANSI/ISA-99 Standards的安全要求为设计理念，产品更具针对性和高效性，专门用于工业控制系统的安全保护。内置50多种专有工业通信协议，与常规防火墙不同的是，工业防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包深度检查，属于新一代工业通讯协议防火墙，为工业通讯提供独特的、工业级的专业隔离防护解决方案。 

具备在线修改防火墙组态功能，可以实时对组态的防火墙策略进行修改，而且不影响工业实时通讯。其它防火墙需要断电、重启等。工业型设计，导轨式安装，低功耗无风扇，具备二区防爆认证。

（2）独有专利安全连接技术：

首先防火墙自身是基于非IP的独有专利安全连接技术进行管理，能够阻挡任何欺骗式攻击。能够隐藏防火墙后端所有设备的IP地址，让入侵者无法发现目标，更无从谈发动任何攻击。集防火墙与虚拟路由于一身，能够像网络交通警察一样管控通讯网络数据通讯的路径、对象以及数据流的方向，可以设定数据流入、流出的单向或双向。

（3）实时网络通讯透视镜：

能够为目前控制网络故障分析、监控、记录提供一个简单、有效的可靠工具，能够确切的观察、分析、控制网络通信电缆中所使用的通讯协议、数据速度、访问对象等。实现对非法通信的实时报警、来源确认、历史记录，保证控制网络通讯的实时诊断。

 (4) 满足 ANSI/ISA-99,IEC62443和 NERC-CIP 标准

根据 ANSI/ISA-99,IEC62443 和 NERC-CIP 标准， TSA 可以很方便的针对 PLC、 DCS、 RTU、IED 和 HMI 提供一个性价比很高的安全分区—一个配置得当的保护区域分组。

无论网络中任何位置发生攻击或者为人误操作，深度防护模型都可以有效的限制其对整个网络造成影响：

1、多层防护

2、差异化分层防护

3、针对特定威胁的分层防护