工控系统安全防护技术主要包含如下几种：

1.工业防火墙

工业防火墙技术是防范工控网络攻击最常用的技术手段，通过隔离工控网络和信息网络来实现网络边界防护与逻辑隔离。把握好访问控制的颗粒度决定了工控网络安全建设的成败，以往的端口级访问控制策略无法防护工业协议恶意代码攻击，这就需要在网络边界处部署具有工业协议深度包检测（DPI）功能的工业防火墙系统来提供更加有效的工业协议应用层防护。

工业防火墙一般部署在企业信息网和生产网的隔离、关键控制节点、生产网区域之间、生产网和第三方系统边界隔离防护（例如远程维护）。工业防火墙不仅提供针对端口的防护，更对基于应用层的数据包深度检查，采用了工业通讯协议白名单技术，内置PC/ Modbus/DNP3/ Profinet/ 104等多种专有工业通讯协议，为工业通讯提供独特、工业级的专业隔离防护解决方案。工业防火墙还可以实时对组态的防火墙策略进行修改，而且不影响实时通讯。

2.在线审计与异常检测

生产控制区的监控系统应当具备安全审计功能，能够对生产网络通讯做行为分析，实时监测网络中的通讯链路状态，溯源网络中病毒木马的传播路径；同时，用户可自定义异常状态判定阈值，将发生的异常通讯以告警的形式汇总展示。实现此项功能的基础是抓包分析技术，抓包分析技术可以从中了解协议的实现情况、是否存在网络攻击等，为制定安全策略及进行安全审计提供直接依据。

除具备实时工业通讯协议行为解析外，审计设备也可像飞机的黑匣子一样，能够回溯及追查网络安全问题，完成追根溯源，主要包括如下功能：网络数据流量监测，网络异常数据报警及追溯，操作记录及协议深度分析，信息窃取报警（通过网络的文件或数据非法访问及传输），未知设备接入报警等。

3.计算机防病毒及主动安全防御

生产控制区具备控制功能的系统应当逐步推广应用以密码硬件为核心的可信计算技术，用于实现计算环境和网络环境安全可信，免疫未知恶意代码破坏，应对高级别的恶意攻击。由于工业控制环境的特殊性，恶意代码库难以获得及时的升级，因此在工控系统中实施基于恶意代码库的恶意代码防范将存在严重滞后性。攻击者可轻易利用恶意代码库尚未收集的恶意代码侵入主机系统，进而破坏整个工控系统。

可信计算终端防护由授权服务器和安全客户端两部分组成。客户端全面度量系统所有进程，并将度量信息提交至授权服务器端，服务器对这些信息进行编辑后生成白名单，供客户端下载，客户端依据所下载的白名单对系统和应用进行防护，并将系统及应用中的异常信息和拦截日志进行上传。

移动存储介质是主机之间传输信息的重要途径，因此对移动存储介质的管控和审计也是整个工控系统安全建设的重要组成部分。基于可信计算技术构建的移动存储介质管控系统，其主要功能包括：主机对移动存储介质的身份认证；主机对移动存储介质的准入控制；主机对准入信息的下载更新。

4.工控网络安全管理平台

平台可以接收来自工业网络防火墙和可信终端的报警及日志，具有工控网络行为审计记录的智能分析功能，具备强大的审计日志存储查询功能，最终自动获得详细的统计分析报告和事件处置方式建议，实现系统运维管理的实时性、完整性、安全性、自动化、智能化。

平台针对工控网络行为进行监控和智能安全分析，监控平台以底层工业防火墙、工控可信计算安全平台以及其他网络设备为探针，针对内置的“工业控制网络通讯行为模型库”核心模块，能及时检测工业网络中出现的工业攻击、蠕虫病毒及非法入侵、设备异常等情况，并做出智能预警分析，为管理者提供决策支持，为工业网络信息安全故障的及时排查、分析提供可靠的依据。