产品概述

天融信工控防火墙系统采用国产工业级硬件平台设计、基于自主安全操作系统TOS开发、支持Modbus TCP、OPC、IEC 60870-5-104、IEC 61850 MMS、Siemens S7等多种工业协议的深度报文解析，适用于工业控制系统网络的边界防护、区域防护、重要工控系统防护、关键设备防护等应用场景，有效解决工控网络安全组网、信息孤岛以及控制数据安全可信等问题

产品特点

工业协议指令级深度防护

天融信凭借在工控领域的技术积累，设计研发了基于白名单的工业指令级“四维一体”深度防护技术，可对工控协议的“完整性”、“功能码”、“地址范围”和“工艺参数范围”进行深度解析和过滤，及时发现可疑指令和恶意数据，在工控参数、指令级保证工控网络和设备安全。“四维一体”深度防护技术在传统防火墙五元组安全检测的基础上，对应用层工控协议及数据进行四重深度安全检测，通过对工控协议、数据的四重安全检测，可有效保证工控协议与数据的安全性，从而保障工控网络、工控设备的安全稳定运行。

客户价值

增强网络抵御安全风险能力

部署工控防火墙可在网络边界处实现用户行为的访问控制，仅允许合法的访问用户接入网络，避免各种有可能出现的由网络安全引起的突发问题，全面提升企业网络抵御黑客入侵及各类网络攻击的能力

满足网络政策合规性要求

针对工控行业的特殊要求，在客户网络中部署工控防火墙符合国家相关政策的要求，例如《工业控制系统信息安全防护指南》（工信软函〔2016〕338号）、《关于加强工业控制系统信息安全管理的通知》（工信部〔2011〕451号）等。

提升企业安全生产水平

部署工控防火墙，规范企业生产控制网络中的访问行为，可以事前防御由黑客入侵、异常接入、误操作等导致的安全生产事故，杜绝重大灾难性事件，为企业安全生产做贡献，产生良好的经济效益。

典型应用

业务连续性保障

常规包过滤、状态监测防火墙一般都依据过滤规则实施安全策略，对于不合规的报文进行告警、阻断或丢弃，这可能对工控系统的业务连续性带来极大影响。天融信深入理解工控业务特点，独创工控系统业务连续性保障技术，可在不影响工控业务连续性的基础上阻断异常指令、告警可疑操作、隔离威胁数据，实现安全防护。

灵活精细化控制策略

工控防火墙可实现对工控协议灵活精细化控制，可对工控协议完整性、功能码、地址范围、值范围等进行单独控制或组合控制，满足不同安全场景需求。同时支持基于协议的功能码灵活精细化控制，可单独设置各协议所支持的功能码类型。

丰富的协议支持

天融信工控防火墙可满足不同行业多种系统的安全防护需求，支持Modbus TCP、OPC、IEC 60870-5-104、IEC 61850 MMS、Siemens S7等多种工控协议，对于特殊协议、私有协议，天融信可以根据用户现场需要进行协议的快速开发，从而满足特殊工业控制系统的安全防护需求。

工业网络中的应用

火电厂辅控系统集控室与SIS系统之间通过工控防火墙实现逻辑隔离。安全大区之间通过工业防火墙进行数据指令的安全检测、访问控制以及逻辑隔离。对集控室操作站、工程师站下发的工业指令进行深度解析和安全审计，防止非授权以及误操作行为。

示意图如下：