为实现国家所出台的相关工业安全政策以及企业对工控安全理念的落地，安全厂商深入工业企业业务，深入挖掘应用场景，在自身领域不断耕耘，将自身安全理念、安全技术与服务与工业环境完美融合，逐渐打造出了在不同行业下较为完善的工控安全解决方案，为我国工控系统安全保驾护航。

绿盟：风电场系统安全

电力行业是工控安全保障尤为重要的领域，同时，国家也有具体相关的条款规定在电力行业应确保的安全措施。绿盟科技在风电场系统防护中有着完善的安全策略，为满足相关部门规定，绿盟科技从入侵检测、主机设备与网络配置安全加固、存储器与外设管理、安全审计、数据备份、恶意代码防范、设备选型及漏洞整改等方面构建针对风电场的安全防护。

根据相关部门的相关要求来构建针对风电场的安全防护，主要讨论以下几个重要方面：

1.入侵检测

根据规定：生产控制大区可以统一部署一套网络入侵检测系统，应合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。

图4 风电场监控系统网络入侵检测系统部署图

建议在生产控制大区控制区（安全Ⅰ区）与非控制区（安全Ⅱ区）和OMS工作站汇聚交换机分别部署一套入侵监测系统，合理设置检测规则，检测发现隐藏于流经网络边界正常信息流中的入侵行为，分析潜在威胁并进行安全审计。入侵检测系统为旁路部署仅接受并分析交换机镜像过来的数据，不参与数据的转发工作，如图4。

2. 主机设备与网络配置安全加固

根据规定：发电厂厂级信息监控系统等关键应用系统的主服务器，以及网络边界处的通信网关机、Web服务器等，应使用安全加固的操作系统。

建议在风电场监控系统中进行加固时使用主机安全加固软件进行加固，需要的加固软件的版本有Windows版、Linux版。主机及网络设备安全配置也可参考电力行业信息系统安全等级保护基本要求和国调中心下发关于开展并网电厂电力监控系统涉网安全防护专项治理活动的通知所强调的安全控制措施。

3. 安全审计

根据规定：生产控制大区的监控系统应具备安全审计功能，能够对操作系统、数据库、业务应用的重要操作进行记录、分析，及时发现各种违规行为以及病毒和黑客的攻击行为。对于用户登录行为，应进行严格的安全审计。

图5 风电场监控系统安全审计系统部署结构图

建议风电场可通过在监控系统中旁路部署安全审计系统，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集分析，如图5。

天融信：基于用户行为基线的安全防护

在安全与生产之间其实存在着诸多矛盾：安全防范与生产过程的冲突；终端安全与应用软件的冲突；安全加固与生产过程的冲突；检测维度与安全监控需求的冲突；新技术应用与生产工艺的冲突等。因此，在确保生产业务连续稳定运行下进行工控系统的安全防护成为了基本前提。

在这样的矛盾下，天融信总结出“基于用户行为基线”的安全防护模型，根据用户生产网中流量、终端等其他节点，以最小化为基本原则，采用以安全防护手段为基础，态势分析为核心，应急响应为技术手段的综合解决方案。

1.安全防护。防护对象包含网络中的控制设备、管理设备、感知设备等，防护范围覆盖生产网，安全防护中心作为数据探知，将基于各个节点的数据上送至态势感知系统，用作安全环境、基线的分析，并执行分析结果。同时，将生产网网络、应用等运行状态传递至应急响应体系进行统一的运维监控。

2.态势分析。态势分析作为生产网安全防护的“大脑”，承担安全信息分析，通过收集安全防护体系中监测数据，利用大数据，基于用户的安全基线进行安全建模，通过模型间的组合进行流式分析，分析网络中安全威胁及脆弱性，后依据分析结果下发策略至安全防护设备、安全审计设备以及应急响应团队执行安全策略的落地，形成基于用户行为的纵向安全防护体系。

3.应急响应。应急响应体系包含运行监测中心及应急响应团队以及整体安全管理执行机构。

通过上述三套技术体系进行安全信息的互联互通，构成针对工业控制系统的动态防护体系，根据网络中威胁分布及类型实时更新完善安全防护策略，并辅以行业、控制、工艺专家对生产过程进行纵深监控分析，形成安全闭环生态，在不影响生产独立性的前提下，将安全手段与控制过程进行有机结合，做到工业控制系统安全的技术落地。

对生产网及其流量基线采用“自上而下”的设计，对各个网元节点间数据进行分析，建立“纯净”的网络环境，对于白名单外的连接、指令、进程等，则交由态势分析进一步分析，形成事前防范的能力，部分无法通过调整策略解决的安全事件则通过应急响应体系完成安全的应急处置，自动化解决。

在安全体系的建设上采用“自下而上”，即即优先保障独立控制系统安全，其后再对生产网进行监测，两者数据作为态势分析的基础，从而进行态势分析平台的建设；在拥有一定分析能力的基础上再辅以主动感知手段，最后进行整体联动，并建立应急响应体系，完成安全闭环。

安恒：“PMPE”体系智能守护电力系统安全

安恒通过研究工控系统特性，结合各不同行业的特点，经过众多项目实践检验，提出“PMPE”的安全技术架构，“PMPE”工控安全防护体系作为技术保障，构建有效抵御工控系统病毒木马传播影响及恶意网络攻击行为，有效的降低工控安全运行维护难度及成本，实现工控系统全生命周期的安全防护。

“PMPE”的安全技术架构（如图6）以预警、监控、保护、应急作为核心，结合安恒信息的安全服务及工控安全产品，构建贯穿火力发电行业工业控制系统（DCS、DEH、NCS、辅控、SIS等系统）全生命周期的安全防护体系，为火力发电企业的工控网络安全保驾护航。

图6 PMPE防护体系

预警的核心功能包括网络行为审计、整体的风险评估、无损漏洞检测等技术手段，通过周期性或实时分析网络安全状态，判断可能出现的网络安全事件，达到安全预警的作用；

安全监控是整个技术安全体系的核心，负责监控整个网络的运行情况，并集中管理安全设备、主机设备、网络交换设备等。

安全防护是安全保障的核心功能，目前包括网络防护和主机防护。

应急处置环节是技术安全体系的最后一道保障，可通过平台处置和现场处置两种技术措施规避险情的发生，即使由于种种原因发生安全事件时，也可以通过故障恢复措施将工控安全设备恢复成正常生产的安全状态。

由于电厂网络原有安全措施缺乏有效的隔离和防护、监测审计等手段，在安全Ⅰ区及管理信息大区内部缺乏合理的威胁发现防护机制，无法做到及时告警和响应，而且无有效监控平台，无法统一监控整厂安全态势。

图7 电厂安全防护技术架构

因此，根据以上不足，安恒通过在中央控制室部署工业安全威胁感知中心，利用大数据分析能力在本地完成建模，对工业企业的安全态势进行感知和展示；通过工业防火墙部署在信息管理大区和生产控制大区的互联边界，采用黑白名单技术实现协议深度解析及工业入侵防御；部署工控网络监测审计平台，发现工控环境中的恶意攻击流量等；管理信息大区部署APT预警平台、数据库审计平台、Web应用防火墙，建立网络安全防护、预警及审计体系，如图7。

立思辰：合规和零干预的全方位网络监测

工控系统的网络安全有其自身特点，但对其加固仍需按照“安全评估+防护建设”的思路进行：

对目标工控系统进行深入的安全评估，包括物理安全、资产安全、威胁分析、脆弱性分析、安全管理制度评估等，根据各个子项安全评估的结果给出工控系统安全评估报告，指出该系统目前存在的缺陷和不足，并提出合理化建议；

提供各种工控系统网络安全防护方法和设备以及工控网络安全培训，提供完整的工控网络安全管理建设方案，工业控制系统安全管理包括安全防护和监管，其中安全防护是通过技术和管理两方面，而监管分为N个层面，分别为企业层面和N个上级部门监管层面，通过对前端日志信息的收集、汇总和关联分析，可及时发现网络中的攻击行为，从而进行报警。

立思辰在电力行业曾对浙江省内大型火力发电企业进行工控安全评估并提供了完整的解决方案。在安全评估过程中发现尽管是同样的火电发电厂，但其使用的DCS系统也来自于不同的厂家，即使同品牌的DCS系统在不通的业务逻辑下其系统配置和操作逻辑也不同，具有鲜明的业务特点。与传统的信息安全建设不同，不能简单的将某个或多个安全防护设备以统一的安装思路粗暴地部署到工业现场中。立思辰通过实地深入大型火力发电企业的业务现场，抓取电厂工控DCS系统的实际业务系统数据并进行分析，在了解其实际业务逻辑之后提供切实有效的建设实施方案。在方案中，对安全加固产品也根据业务参数进行了合理配置，确保对原有工控DCS系统的零干预，同时保证安全加固产品运行的稳定和有效。