工业互联网安全方案火力聚焦点揭秘(12)_：工业互联网安全方案火力聚焦点揭秘不

在 IT 至 OT 网络间部署工业网闸，实现网络边界访问控制，满足等保 2.0 中控制区与非控制区边界实现单项隔离即协议剥离要求。在生产网 OT 网络区域边界部署访问控制手段，对接入访问行为进行管控。同时通过基于用户端的认证手段，实现接入目标的认证。关键节点采用工业防火墙+VPN 的应用方式，实现通信数据保密性和完整性防护。

（2）网络行为监测

基于网络行为监测考虑，在应用层面设置监测审计节点，作为流量回溯分析及网络白名单应用。网络行为监测可监测网络中非授权接入行为，实现工业流量解析，还原对控制器及上位机的访问行为，同时可针对通讯流量进行监测并统计，可将分析记录结果通报大数据分析系统等进行报警、展示。监测审计网络白名单功能通过自学习或策略设定方式，对网络监测节点协议进行白名单过滤，限定可流通协议，对于限定外协议进行报警，有效保障了控制系统内流量最小化原则，减少非必要带宽占用。

（3）工控主机卫士

工控主机卫士客户端部署于生产网全部 PC，通过对终端的管控，构成工业中国网络安全产业白皮书（2018）中国信息通信研究院 67 安全实质层面最外层的安全防线。工控主机卫士 Server 部署于 IDMZ 区域，作为对客户端管控、审计记录的统一监控及策略统一下发。工控主机卫士以最小化设定为原则，对主机中应用进行管控，对移动存储分级授权。针对目标应用必要进程及服务开放白名单，非限定进程及服务均禁止运行。该策略在保证生产持续进行条件下有效降低对工控计算资源的占用。