隨著(zhù)我國工業(yè)信息化建設的不斷深入，信息化已經(jīng)成為企業(yè)發(fā)展的重要推動(dòng)力量，國外石化企業(yè)信息化建設和應用已經(jīng)走在我們前面。經(jīng)濟全球化的發(fā)展以及WTO的加入，更對石化企業(yè)提出了新的挑戰，就石化企業(yè)而言，信息化是生存和發(fā)展的必由之路。
        信息化是一項系統工程，信息化安全也是信息化建設的關(guān)鍵環(huán)節。特別是隨著(zhù)互聯(lián)網(wǎng)日新月異的發(fā)展和企業(yè)集團信息化整合的加強，企業(yè)網(wǎng)絡(luò )應用的范圍在不斷擴大，如通過(guò)互聯(lián)網(wǎng)獲取信息、展現企業(yè)形象、開(kāi)展電子商務(wù)等，通過(guò)廣域網(wǎng)實(shí)現集團內部資源共享、統一集團管理等，企業(yè)信息化網(wǎng)絡(luò )不再是單純意義上的Intranet，而更多的則是基于Internet的網(wǎng)絡(luò )和應用。但網(wǎng)絡(luò )開(kāi)放的同時(shí)，帶來(lái)的安全問(wèn)題就更加嚴峻了，各種安全問(wèn)題如病毒、攻擊和入侵等已經(jīng)引起了人們的高度重視。
        石化企業(yè)信息化與其它行業(yè)相比有一個(gè)突出特點(diǎn)，就是以管控一體化為重點(diǎn)。這是由石化行業(yè)自身的特點(diǎn)決定的，并具有一定的時(shí)代特點(diǎn)。
         石化企業(yè)是典型的資金和技術(shù)密集型企業(yè)，生產(chǎn)的連續性很強，裝置和重要設備的意外停產(chǎn)都會(huì )導致巨大的經(jīng)濟損失，因此生產(chǎn)過(guò)程控制大多采用DCS等先進(jìn)的控制系統，生產(chǎn)管理上也更注重安全和平穩運行。通過(guò)加強生產(chǎn)管理，可以實(shí)現管理與生產(chǎn)過(guò)程控制的融合，通過(guò)優(yōu)化調度、先進(jìn)控制和優(yōu)化控制等手段，在保證生產(chǎn)平穩的基礎上獲取更大的經(jīng)濟效益，因此，石化企業(yè)信息化的重點(diǎn)是管控一體化。當今的石化企業(yè)普遍采用基于ERP/SCM、MES和PCS三層架構的的管控一體化信息模型，MES處于企業(yè)信息系統ERP/SCM和過(guò)程控制系統的中間位置。MES系統在整個(gè)信息系統中主要擔當了兩個(gè)方面的重要作用：一是數據雙向通道的作用。即通過(guò)MES系統的實(shí)施，可以有效彌補企業(yè)PCS層及ERP/SCM層之間的數據間隙，由下至上，通過(guò)對底層PCS層數據的搜集、存儲及校正，建立過(guò)程控制數據層次上的數字化工廠(chǎng)，結合生產(chǎn)調度層次上的調度事件信息數據等，為上層ERP/SCM計劃管理層提供準確統一的生產(chǎn)數據；由上至下，通過(guò)對實(shí)時(shí)生產(chǎn)數據的總結，上層ERP/SCM層可以根據未來(lái)訂單及現階段生產(chǎn)狀況調整生產(chǎn)計劃，下發(fā)MES層進(jìn)行計劃的分解及產(chǎn)生調度指令，有效指導企業(yè)生產(chǎn)活動(dòng)。因此，MES系統在數據層面上，起到了溝通PCS層和ERP/SCM層的橋梁作用，并保證了生產(chǎn)數據、調度事件等信息的一致性及準確性。另一方面，生產(chǎn)活動(dòng)的復雜性產(chǎn)生了很多實(shí)際的用戶(hù)需求，為了滿(mǎn)足這些用戶(hù)需求，MES系統也可以視為一個(gè)功能模塊的集合?！?br />         由DCS、PLC和SCADA等控制系統構成的控制網(wǎng)絡(luò )，在過(guò)去幾十年的發(fā)展中呈現出整體開(kāi)放的趨勢。以石化主流控制系統DCS為例，在信息技術(shù)發(fā)展的影響下，DCS已經(jīng)進(jìn)入了第四代，新一代DCS呈現的一個(gè)突出特點(diǎn)就是開(kāi)放性的提高。過(guò)去的DCS廠(chǎng)商基本上是以自主開(kāi)發(fā)為主，提供的系統也是自己的系統。當今的DCS廠(chǎng)商更強調開(kāi)放系統集成性。各DCS廠(chǎng)商不再把開(kāi)發(fā)組態(tài)軟件或制造各種硬件單元視為核心技術(shù)，而是紛紛把DCS的各個(gè)組成部分采用第三方集成方式或OEM方式。例如，多數DCS廠(chǎng)商自己不再開(kāi)發(fā)組態(tài)軟件平臺，而轉入采用其它專(zhuān)業(yè)公司的通用組態(tài)軟件平臺，或其它公司提供的軟件平臺。這一思路的轉變使得現代DCS的操作站完全呈現PC化與Windows化的趨勢。在新一代DCS的操作站中，幾乎清一色采用PC+Windows的技術(shù)架構，使用戶(hù)的投資及維護成本大幅降低。
        同時(shí)，DCS網(wǎng)絡(luò )技術(shù)也呈現出開(kāi)放的特征。過(guò)去，由于通信技術(shù)相對落后，網(wǎng)絡(luò )技術(shù)開(kāi)放性是困擾用戶(hù)的一個(gè)重要問(wèn)題。而當代網(wǎng)絡(luò )技術(shù)、軟件技術(shù)的發(fā)展為開(kāi)放系統提供了可能。網(wǎng)絡(luò )技術(shù)開(kāi)放性體現在DCS可以從多個(gè)層面與第三方系統互聯(lián)，同時(shí)支持多種網(wǎng)絡(luò )協(xié)議。目前在與企業(yè)管理層信息平臺互聯(lián)時(shí)，大多采用基于TCP(UDP)/IP協(xié)議的以太網(wǎng)通信技術(shù)，使用OPC等開(kāi)放接口標準。
        開(kāi)放性為用戶(hù)帶來(lái)的好處毋庸置疑，但由此引發(fā)的各種安全漏洞與傳統的封閉系統相比卻大大增加。對于一個(gè)控制網(wǎng)絡(luò )系統，產(chǎn)生安全漏洞的因素是多方面的。
1、網(wǎng)絡(luò )通信協(xié)議安全漏洞
       隨著(zhù)TCP(UDP)/IP協(xié)議被控制網(wǎng)絡(luò )普遍采用，網(wǎng)絡(luò )通信協(xié)議漏洞問(wèn)題變得越來(lái)越突出。
TCP/IP協(xié)議簇最初設計的應用環(huán)境是美國國防系統的內部網(wǎng)絡(luò )，這一網(wǎng)絡(luò )是互相信任的，因此它原本只考慮互通互聯(lián)和資源共享的問(wèn)題，并未考慮也無(wú)法兼容解決來(lái)自網(wǎng)絡(luò )中和網(wǎng)際間的大量安全問(wèn)題。當其推廣到社會(huì )的應用環(huán)境后，安全問(wèn)題發(fā)生了。所以說(shuō)，TCP/IP在先天上就存在著(zhù)致命的安全漏洞。
1) 缺乏對用戶(hù)身份的鑒別
2) 缺乏對路由協(xié)議的鑒別認證
3) TCP/UDP自身缺陷
2、操作系統安全漏洞
       PC+Windows的技術(shù)架構現已成為控制系統上位機/操作站的主流。而在控制網(wǎng)絡(luò )中，上位機/操作站是實(shí)現與MES通信的主要網(wǎng)絡(luò )結點(diǎn)，因此其操作系統的漏洞就成為了整個(gè)控制網(wǎng)絡(luò )信息安全中的一個(gè)短板。
        Windows操作系統從推出至今，以其友好的用戶(hù)界面、簡(jiǎn)單的操作方式得到了用戶(hù)的認可，其版本也從最初的Windows 3.1發(fā)展到如今的XP、Windows Server2003、 Windows 7等。但是，微軟在設計Windows操作系統時(shí)是本著(zhù)簡(jiǎn)單易用為原則的，因而忽略了安全方面的考慮，留下了很多隱患。這些隱患在單機時(shí)代并沒(méi)有顯現出來(lái)，后來(lái)隨著(zhù)網(wǎng)絡(luò )的出現和普及，越來(lái)越多地使用Windows操作系統的PC接入網(wǎng)絡(luò )，微軟埋下的隱患逐漸浮出水面。一時(shí)間Windows操作系統漏洞頻繁出現，安全事故時(shí)有發(fā)生。雖然微軟在Windows2000以后的版本中采用了Windows NT的核心，在一定程度上提高了Windows操作系統的安全性，但仍然不能避免安全漏洞的不斷出現。另一方面，Windows作為主流的操作系統，也更容易成為眾矢之的，每次Windows的系統漏洞被發(fā)現后，針對該漏洞的惡意代碼很快就會(huì )出現在網(wǎng)上，從漏洞被發(fā)現到惡意代碼的出現，中間的時(shí)差開(kāi)始變得越來(lái)越短。以Windows2000版本為例，就曾被發(fā)現了大量漏洞，典型的如：輸入法漏洞、IPC$漏洞、RPC漏洞、Unicode漏洞、IDA&IDQ緩沖區溢出漏洞、Printer溢出漏洞、Cookie漏洞等等。這些漏洞大部分危害巨大，惡意代碼通過(guò)這些漏洞，可以獲得Windows2000操作站的完全控制權，甚至為所欲為。
3、應用軟件安全漏洞
       處于應用層的應用軟件產(chǎn)生的漏洞是最直接、最致命的。一方面這是因為應用軟件形式多樣，很難形成統一的防護規范以應對安全問(wèn)題；另一方面最嚴重的是，當應用軟件面向網(wǎng)絡(luò )應用時(shí)，就必須開(kāi)放其應用端口。例如，要想實(shí)現與操作站OPC服務(wù)器軟件的網(wǎng)絡(luò )通信，控制網(wǎng)絡(luò )就必須完全開(kāi)放135端口，這時(shí)防火墻等安全設備已經(jīng)無(wú)能為力了。而實(shí)際上，不同應用軟件的安全漏洞還不止于此。
控制網(wǎng)絡(luò )安全隱患分析
        控制網(wǎng)絡(luò )的安全漏洞暴露了整個(gè)控制系統安全的脆弱性。由于網(wǎng)絡(luò )通信協(xié)議、操作系統、應用軟件、安全策略甚至硬件上存在的安全缺陷，從而使得攻擊者能夠在未授權的情況下訪(fǎng)問(wèn)和操控控制網(wǎng)絡(luò )系統，形成了巨大的安全隱患?？刂凭W(wǎng)絡(luò )系統的安全性同樣符合“木桶原則”，其整體安全性不在于其最強處，而取決于系統最薄弱之處，即安全漏洞所決定。只要這個(gè)漏洞被發(fā)現，系統就有可能成為網(wǎng)絡(luò )攻擊的犧牲品。
         安全漏洞對控制網(wǎng)絡(luò )的隱患體現在惡意攻擊行為對系統的威脅。隨著(zhù)越來(lái)越多的控制網(wǎng)絡(luò )系統通過(guò)信息網(wǎng)絡(luò )連接到互聯(lián)上，這種威脅就越來(lái)越大。目前互聯(lián)網(wǎng)上已有幾萬(wàn)個(gè)黑客站點(diǎn)，黑客技術(shù)不斷創(chuàng )新，基本的攻擊手法已達上千種。這些攻擊技術(shù)一旦被不法之徒掌握，將產(chǎn)生不良的后果。
對于控制網(wǎng)絡(luò )系統，由于安全漏洞可能帶來(lái)的直接安全隱患有以下幾種。
1、入侵
        系統被入侵是系統常見(jiàn)的一種安全隱患。黑客侵入計算機和網(wǎng)絡(luò )可以非法使用計算機和網(wǎng)絡(luò )資源，甚至是完全掌控計算機和網(wǎng)絡(luò )。
        控制網(wǎng)絡(luò )的計算機終端和網(wǎng)絡(luò )往往可以控制諸如大型化工裝置、公用工程設備，甚至核電站安全系統等大型工程化設備。黑客一旦控制該系統，對系統造成一些參數的修改，就可能導致生產(chǎn)運行的癱瘓，就意味著(zhù)可能利用被感染的控制中心系統破壞生產(chǎn)過(guò)程、切斷整個(gè)城市的供電系統、惡意污染飲用水甚至是破壞核電站的正常運行。隨著(zhù)近些年來(lái)越來(lái)越多的控制網(wǎng)絡(luò )接入到互聯(lián)網(wǎng)當中，這種可能就越來(lái)越大。
2、拒絕服務(wù)攻擊
        受到拒絕服務(wù)攻擊是一種危害很大的安全隱患。常見(jiàn)的流量型攻擊如Ping Flooding、UDP Flooding等，以及常見(jiàn)的連接型攻擊如SYN Flooding、ACK Flooding等，通過(guò)消耗系統的資源，如網(wǎng)絡(luò )帶寬、連接數、CPU處理能力等使得正常的服務(wù)功能無(wú)法進(jìn)行。拒絕服務(wù)攻擊難以防范的原因是它的攻擊對象非常普遍，從服務(wù)器到各種網(wǎng)絡(luò )設備如路由器、交換機、防火墻等都可以被拒絕服務(wù)攻擊。
        控制網(wǎng)絡(luò )一旦遭受?chē)乐氐木芙^服務(wù)攻擊就會(huì )導致操作站的服務(wù)癱瘓，與控制系統的通信完全中斷等?？梢韵胂?，受到拒絕服務(wù)攻擊后的控制網(wǎng)絡(luò )可能導致網(wǎng)絡(luò )中所有操作站和監控終端無(wú)法進(jìn)行實(shí)時(shí)監控，其后果是非常嚴重的。而傳統的安全技術(shù)對拒絕服務(wù)攻擊幾乎不可避免，缺乏有效的手段來(lái)解決。
3、病毒與惡意代碼
        病毒的泛濫是大家有目共睹的。全球范圍內，每年都會(huì )發(fā)生數次大規模的病毒爆發(fā)。目前全球已發(fā)現數萬(wàn)種病毒，并且還在以每天數十余種的速度增長(cháng)。除了傳統意義上的具有自我復制能力但必須寄生在其它實(shí)用程序中的病毒外，各種新型的惡意代碼也層出不窮，如陷阱門(mén)、邏輯炸彈、特洛伊木馬、蠕蟲(chóng)、Zombie等。新型的惡意代碼具有更強的傳播能力和破壞性。例如蠕蟲(chóng)，從廣義定義來(lái)說(shuō)也是一種病毒，但和傳統病毒相比最大不同在于自我復制過(guò)程。傳統病毒的自我復制過(guò)程需要人工干預，無(wú)論運行感染病毒的實(shí)用程序，或者是打開(kāi)包含宏病毒的郵件等，沒(méi)有人工干預病毒無(wú)法自我完成復制、傳播。但蠕蟲(chóng)卻可以自我獨立完成以下過(guò)程：
1. 查找遠程系統：能夠通過(guò)檢索已被攻陷的系統的網(wǎng)絡(luò )鄰居列表或其它遠程系統地址列表找出下一個(gè)攻擊對象。
2. 建立連接：能夠通過(guò)端口掃描等操作過(guò)程自動(dòng)和被攻擊對象建立連接，如Telnet連接等。
3. 實(shí)施攻擊：能夠自動(dòng)將自身通過(guò)已經(jīng)建立的連接復制到被攻擊的遠程系統，并運行它。
一旦計算機和網(wǎng)絡(luò )染上了惡意代碼，安全問(wèn)題就不可避免。
常規網(wǎng)絡(luò )安全技術(shù)
        石化企業(yè)隨著(zhù)信息系統的不斷發(fā)展，大量IT技術(shù)被引入，同時(shí)也包括各種IT網(wǎng)絡(luò )安全技術(shù)。目前以MES為代表的信息系統在實(shí)現控制網(wǎng)絡(luò )接入信息網(wǎng)絡(luò )時(shí)，也基本都考慮了對控制網(wǎng)絡(luò )的安全防護。但目前對控制網(wǎng)絡(luò )的防護，大部分采用的是常規網(wǎng)絡(luò )安全技術(shù)，主要包括防火墻、IDS、VPN、防病毒等。這些技術(shù)主要面向商用網(wǎng)絡(luò )應用。
        在企業(yè)的信息化系統中，由辦公網(wǎng)絡(luò )、管理網(wǎng)絡(luò )組成的信息網(wǎng)絡(luò )與商用網(wǎng)絡(luò )的運維特點(diǎn)比較相似，因此采用常規網(wǎng)絡(luò )安全技術(shù)是適合的。而控制網(wǎng)絡(luò )特點(diǎn)則有很大不同。
        控制網(wǎng)絡(luò )是控制系統如DCS各部件協(xié)同工作的通信網(wǎng)絡(luò )?？刂葡到y負責對生產(chǎn)裝置的連續不間斷地生產(chǎn)控制，因此控制網(wǎng)絡(luò )同樣具有連續不可間斷的高可靠性要求。另一方面，控制網(wǎng)絡(luò )也是操作人員對控制系統實(shí)時(shí)下發(fā)控制指令的重要途徑，所以控制網(wǎng)絡(luò )又具有不可延遲的高實(shí)時(shí)性要求。
        在商用網(wǎng)絡(luò )里可以存在病毒，幾乎每天都有新的補丁出現，計算機可能會(huì )死機、暫停，而這些如果發(fā)生在控制網(wǎng)絡(luò )里幾乎是不可想象的。為了保證生產(chǎn)安全，在極端情況下，即便將控制網(wǎng)絡(luò )與信息網(wǎng)絡(luò )斷開(kāi)，停止與信息網(wǎng)絡(luò )交換數據也要保證控制系統的安全。因此，過(guò)程生產(chǎn)的連續不可間斷的高可靠性要求控制網(wǎng)絡(luò )具備更高的安全性。
        另外，從數據安全角度來(lái)看，商用網(wǎng)絡(luò )往往對數據的私密性要求很高，要防止信息的泄露，而控制網(wǎng)絡(luò )強調的是數據的可靠性。另外，商用網(wǎng)絡(luò )的應用數據類(lèi)型極其復雜，傳輸的通信標準多樣化，如HTTP、SMTP、FTP、SOAP等；而控制網(wǎng)絡(luò )的應用數據類(lèi)型相對單一，以過(guò)程數據為主，傳輸的通信標準以工業(yè)通信標準為主，如OPC、Modbus等。
        通過(guò)比較商用網(wǎng)絡(luò )與控制網(wǎng)絡(luò )的差異可以發(fā)現，常規的IT網(wǎng)絡(luò )安全技術(shù)都不是專(zhuān)門(mén)針對控制網(wǎng)絡(luò )需求設計的，用在控制網(wǎng)絡(luò )上就會(huì )存在很多局限性。
        比如防火墻產(chǎn)品，目前基本是以包過(guò)濾技術(shù)為基礎的，它最大的局限性在于不能保證準許放行的數據的安全性。防火墻通過(guò)拒絕放行并丟棄數據包來(lái)實(shí)現自己的安全機制。但防火墻無(wú)法保證準許放行數據的安全性。從實(shí)際應用來(lái)看，防火墻較為明顯的局限性包括以下幾方面：
1）、防火墻不能阻止感染病毒的程序和文件的傳輸。就是防火墻只能做網(wǎng)絡(luò )四層以下的控制，對于應用層內的病毒、蠕蟲(chóng)都沒(méi)有辦法。
2）、防火墻不能防范全新的威脅，更不能防止可接觸的人為或自然的破壞。
3）、防火墻不能防止由自身安全漏洞引起的威脅。
4）、防火墻對用戶(hù)不完全透明，非專(zhuān)業(yè)用戶(hù)難于管理和配置，易造成安全漏洞。
5）、防火墻很難為用戶(hù)在防火墻內外提供一致的安全策略，不能防止利用標準網(wǎng)絡(luò )協(xié)議中的缺陷進(jìn)行的攻擊，也不能防止利用服務(wù)器系統漏洞所進(jìn)行的攻擊。
6）、由于防火墻設置在內網(wǎng)與外網(wǎng)通信的信道上，并執行規定的安全策略，所以防火墻在提供安全防護的同時(shí)，也變成了網(wǎng)絡(luò )通信的瓶頸，增加了網(wǎng)絡(luò )傳輸延時(shí)，如果防火墻出現問(wèn)題，那么內部網(wǎng)絡(luò )就會(huì )受到嚴重威脅。
7）、防火墻僅提供粗粒度的訪(fǎng)問(wèn)控制能力。它不能防止數據驅動(dòng)式的攻擊。
另一方面，防火墻由于其自身機理的原因，還存在很多先天不足，主要包括：
1）、由于防火墻本身是基于TCP/IP協(xié)議體系實(shí)現的，所以它無(wú)法解決TCP/IP協(xié)議體系中存在的漏洞。
2）、防火墻只是一個(gè)策略執行機構，它并不區分所執行政策的對錯，更無(wú)法判別出一條合法政策是否真是管理員的本意。從這點(diǎn)上看，防火墻一旦被攻擊者控制，由它保護的整個(gè)網(wǎng)絡(luò )就無(wú)安全可言了。
3）、防火墻無(wú)法從流量上判別哪些是正常的，哪些是異常的，因此容易受到流量攻擊。
4）、防火墻的安全性與其速度和多功能成反比。防火墻的安全性要求越高，需要對數據包檢查的項目（即防火墻的功能）就越多越細，對CPU和內存的消耗也就越大，從而導致防火墻的性能下降，處理速度減慢。
5）、防火墻準許某項服務(wù)，卻不能保證該服務(wù)的安全性，它需要由應用安全來(lái)解決。
防火墻正是由于這些缺陷與不足，導致目前被攻破的幾率已經(jīng)接近50%。雖然目前最流行的安全架構是以防火墻為核心的安全體系架構。通過(guò)防火墻來(lái)實(shí)現網(wǎng)絡(luò )的安全保障體系。然而，以防火墻為核心的安全防御體系未能有效地防止目前頻頻發(fā)生網(wǎng)絡(luò )攻擊。僅有防火墻的安全架構是遠遠不夠的。
        其它安全技術(shù)如IDS、VPN、防病毒產(chǎn)品等與產(chǎn)品與防火墻一樣，也都有很強的針對性，只能管轄屬于自己管轄的事情，出了這個(gè)邊界就不再能發(fā)揮作用。IDS作為可審查性產(chǎn)品最大的局限性是漏報和誤報嚴重，幾乎不是一個(gè)可以依賴(lài)的安全工具，而是一個(gè)參考工具。漏報等于沒(méi)有報，誤報則是報錯了，這兩個(gè)特點(diǎn)幾乎破壞了入侵檢測的可用性。VPN作為一種加密類(lèi)技術(shù)，不管哪種VPN技術(shù)，在設計之初都是為了保證傳輸安全問(wèn)題而設計的，而沒(méi)有動(dòng)態(tài)、實(shí)時(shí)的檢測接入的VPN主機的安全性，同時(shí)對其作“準入控制”。這樣有可能因為一個(gè)VPN主機的不安全，導致其整個(gè)網(wǎng)絡(luò )不安全。防病毒產(chǎn)品也有局限性，主要是對新病毒的處理總是滯后的，這導致每年都會(huì )大規模地爆發(fā)病毒，特別是新病毒。
網(wǎng)絡(luò )隔離技術(shù)及防護產(chǎn)品
1、網(wǎng)絡(luò )隔離技術(shù)
       在防火墻的發(fā)展過(guò)程中，人們最終意識到防火墻在安全方面的局限性。高性能、高安全性、易用性方面的矛盾沒(méi)有很好地解決。防火墻體系架構在高安全性方面的缺陷，驅使人們追求更高安全性的解決方案，人們期望更安全的技術(shù)手段，網(wǎng)絡(luò )隔離技術(shù)應運而生。
        網(wǎng)絡(luò )隔離技術(shù)是安全市場(chǎng)上的一個(gè)分支。在經(jīng)過(guò)漫長(cháng)的市場(chǎng)概念澄清和技術(shù)演變進(jìn)步之后，市場(chǎng)最終接受了網(wǎng)絡(luò )隔離具有最高的安全性。目前存在的安全問(wèn)題，對網(wǎng)絡(luò )隔離技術(shù)而言在理論上都不存在。這就是各國政府和軍方都大力推行網(wǎng)絡(luò )隔離技術(shù)的主要原因。
        網(wǎng)絡(luò )隔離技術(shù)經(jīng)過(guò)了長(cháng)時(shí)間的發(fā)展，目前已經(jīng)發(fā)展到了第五代技術(shù)。第一代隔離技術(shù)采用完全的隔離技術(shù)，實(shí)際上是將網(wǎng)絡(luò )物理上的分開(kāi)，形成信息孤島；第二代隔離技術(shù)采用硬件卡隔離技術(shù)；第三代隔離技術(shù)采用數據轉發(fā)隔離技術(shù)；第四代隔離技術(shù)采用空氣開(kāi)關(guān)隔離技術(shù)；第五代隔離技術(shù)采用安全通道隔離技術(shù)。
基于安全通道的最新隔離技術(shù)通過(guò)專(zhuān)用通信硬件和專(zhuān)有安全協(xié)議等安全機制，來(lái)實(shí)現內外部網(wǎng)絡(luò )的隔離和數據交換，不僅解決了以前隔離技術(shù)存在的問(wèn)題，并有效地把內外部網(wǎng)絡(luò )隔離開(kāi)來(lái)，而且高效地實(shí)現了內外網(wǎng)數據的安全交換，透明支持多種網(wǎng)絡(luò )應用，成為當前隔離技術(shù)的發(fā)展方向。
        網(wǎng)絡(luò )隔離的指導思想與防火墻也有很大的不同，體現在防火墻的思路是在保障互聯(lián)互通的前提下，盡可能安全；而網(wǎng)絡(luò )隔離的思路是在必須保證安全的前提下，盡可能支持數據交換，如果不安全則斷開(kāi)。
網(wǎng)絡(luò )隔離技術(shù)主要目標是解決目前信息安全中的各種漏洞：操作系統漏洞、TCP/IP漏洞、應用協(xié)議漏洞、鏈路連接漏洞、安全策略漏洞等，網(wǎng)絡(luò )隔離是目前唯一能解決上述問(wèn)題的安全技術(shù)。
2、網(wǎng)絡(luò )隔離防護產(chǎn)品
         基于網(wǎng)絡(luò )隔離技術(shù)的網(wǎng)絡(luò )隔離產(chǎn)品是互聯(lián)網(wǎng)時(shí)代的產(chǎn)物。最早出現在美國、以色列等國家的軍方，用以解決涉密網(wǎng)絡(luò )與公共網(wǎng)絡(luò )連接時(shí)的安全。在我國，最初的應用也主要集中在政府、軍隊等領(lǐng)域，由于核心部門(mén)的信息安全關(guān)系著(zhù)國家安全、社會(huì )穩定，因此迫切需要比傳統產(chǎn)品更為可靠的技術(shù)防護措施。國內的網(wǎng)絡(luò )隔離產(chǎn)品也由此應運而生。
        由于是應用在可能涉及國家安全的關(guān)鍵場(chǎng)合，為了統一規范網(wǎng)絡(luò )隔離類(lèi)的技術(shù)標準，國家質(zhì)量監督檢驗總局及國家標準化管理委員及早制定了相應的國家標準，目前最新國標為GB/T 20279-2006和GB/T 20277-2006。
隨著(zhù)以電力為首的工業(yè)行業(yè)對網(wǎng)絡(luò )安全提出了更高要求后，網(wǎng)絡(luò )隔離產(chǎn)品也開(kāi)始在工業(yè)領(lǐng)域逐漸得到應用。目前，已經(jīng)在工業(yè)領(lǐng)域用于控制網(wǎng)絡(luò )安全防護的網(wǎng)絡(luò )隔離產(chǎn)品主要有網(wǎng)閘、工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)等產(chǎn)品。這些產(chǎn)品大部分都是基于最新的第五代隔離技術(shù)開(kāi)發(fā)出來(lái)了，其主要的技術(shù)原理是從OSI模型的七層上全面斷開(kāi)網(wǎng)絡(luò )連接，同時(shí)采用“2+1”的三模塊架構，即內置有兩個(gè)主機系統，和一個(gè)用于建立安全通道可交換數據的隔離單元。這種架構可以實(shí)現連接到外網(wǎng)和內網(wǎng)的兩主機之間是完全網(wǎng)絡(luò )斷開(kāi)的，從物理上進(jìn)行了網(wǎng)絡(luò )隔離，消除了數據鏈路的通信協(xié)議，剝離了TCP/IP協(xié)議，剝離了應用協(xié)議，在安全交換后進(jìn)行了協(xié)議的恢復和重建。通過(guò)TCP/IP協(xié)議剝離和重建技術(shù)消除了TCP/IP協(xié)議的漏洞。在應用層對應用協(xié)議進(jìn)行剝離和重建，消除了應用協(xié)議漏洞，并可針對應用協(xié)議實(shí)現一些細粒度的訪(fǎng)問(wèn)控制。從TCP/IP的OSI數據模型的所有七層斷開(kāi)后，就可以消除目前TCP/IP存在的所有攻擊。


（1）、網(wǎng)閘
        網(wǎng)閘類(lèi)產(chǎn)品誕生較早。產(chǎn)品最初是用來(lái)解決涉密網(wǎng)絡(luò )與非涉密網(wǎng)絡(luò )之間的安全數據交換問(wèn)題。后來(lái)，網(wǎng)閘由于其高安全性，開(kāi)始被廣泛應用于政府、軍隊、電力、鐵道、金融、銀行、證券、保險、稅務(wù)、海關(guān)、民航、社保等多個(gè)行業(yè)部門(mén)。
        由于網(wǎng)閘產(chǎn)品的主要定位是各行業(yè)中對安全性要求較高的涉密業(yè)務(wù)的辦公系統，因此它提供的應用也以通用的互聯(lián)網(wǎng)功能為主。例如，目前大多數網(wǎng)閘都支持：文件數據交換、HTTP訪(fǎng)問(wèn)、WWW服務(wù)、FTP訪(fǎng)問(wèn)、收發(fā)電子郵件、關(guān)系數據庫同步以及TCP/UDP定制等。
        在工業(yè)領(lǐng)域，網(wǎng)閘也開(kāi)始得到應用和推廣。但除了用于辦公系統外，當用于隔離控制網(wǎng)絡(luò )時(shí)，由于網(wǎng)閘一般都不支持工業(yè)通信標準如OPC、Modbus，用戶(hù)只能使用其TCP/UDP定制功能。這種方式需要在連接網(wǎng)閘的上、下游增加接口計算機或代理服務(wù)器，并定制通信協(xié)議轉換接口軟件才能實(shí)現通信。
（2）、工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)
        工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)是近幾年新興的一種專(zhuān)門(mén)應用于工業(yè)領(lǐng)域的網(wǎng)絡(luò )隔離產(chǎn)品，它同樣采用“2+1”的三模塊架構，內置雙主機系統，隔離單元通過(guò)總線(xiàn)技術(shù)建立安全通道以安全地實(shí)現快速數據交換。與網(wǎng)閘不同的是，工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)提供的應用專(zhuān)門(mén)針對控制網(wǎng)絡(luò )的安全防護，因此它只提供控制網(wǎng)絡(luò )常用通信功能如OPC、Modbus等，而不提供通用互聯(lián)網(wǎng)功能。因此工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)更適合于控制網(wǎng)絡(luò )的隔離，但不適合辦公系統。
           工業(yè)網(wǎng)絡(luò )安全防護網(wǎng)關(guān)是網(wǎng)絡(luò )隔離技術(shù)應用于工業(yè)網(wǎng)絡(luò )安全防護的一種專(zhuān)業(yè)化安全產(chǎn)品。
結束語(yǔ)
        近幾年，因網(wǎng)絡(luò )病毒引起的工業(yè)事件層出不窮，工業(yè)網(wǎng)絡(luò )安全問(wèn)題已經(jīng)日益嚴峻，針對目前我國工業(yè)控制系統信息安全面臨的嚴峻形勢，2011年10月27日，工信部下發(fā)《關(guān)于加強工業(yè)控制系統信息安全管理的通知》，強調了加強工業(yè)控制系統信息安全管理的重要性和緊迫性，并明確了重點(diǎn)領(lǐng)域如：石油石化、電力、鋼鐵、化工等行業(yè)工業(yè)控制系統信息安全管理要求。石化工業(yè)是國家的基礎性能源支柱產(chǎn)業(yè)，信息安全在任何時(shí)期、任何國家地區都備受關(guān)注。能源系統的信息安全問(wèn)題直接威脅到其它行業(yè)系統的安全、穩定、經(jīng)濟、優(yōu)質(zhì)的運行，影響著(zhù)系統信息化的實(shí)現進(jìn)程。維護網(wǎng)絡(luò )安全，確保生產(chǎn)系統的穩定可靠、防止來(lái)自?xún)炔炕蛲獠抗?，采取高安全性的防護措施都是石化信息系統安全不可忽視的組成部分。