1

　　某研究所工业控制设备主要包括试验及测控设备和数控生产设备，目前工业控制设备与办公管理网之间的信息交换只能通过人工方式间接进行信息交换，办公管理网中的试验任务、试验代号、数控加工任务等信息无法下发到试验网络和数控机场网络，极大降低了工作效率，严重影响了产品研发、生产进度。因此为最大限度的提高数据流转效率，为科研生产工作提供有效支撑，工控网和办公管理网的安全互联已经试在必行。
　　

　　在符合国家保密要求的前提下，依据“专网专用，安全分区、环境可控、纵深防销、综合审计、动态监控”的思想进行安全保密防护建设，建立工业控制系统与办公信息系统的单双向数据传输通道，实现工业控制系统与办公信息系统安全互联和数据单向安全传输。
　　网络基础防护方面：细分安全域、增加安全域之间边界防护和访问控制，通过对各安全域设需最小授权原则等访问控制策略，实现网络分区、分域隔离与基于工控行为的细粒度访问控制。
　　两网安全互联方面：在办公管理网和工控网部署工业控制系统多级控制传输平台，基于单向安全互联模式，采用自动采集和分发数据、严格单向传输、内容深度检查、病毒查杀等手段，为两网提供安全可靠的控制信息下发通道。
　　工控终端安全防护：在工控网网络边界部署网络接入控制系统，基于802.1x协议，实现从二层管控到每个工业以太网交换机端口的接入控制，加强对工控网络的防护。基于白环境原理，建立可灵活配置的主机应用白名单，从操作系统API层面对所有应用程序运行进行过滤检测，确保只有可信软件才能执行，以此对工控主机进行加固防护。
　　

　　在国家保密要求的前提下，实现对办公系统与工业控制系统之间的安全互联和数据单向传输。全域监测和审计，实时收集和监控网络环境中每一个组成部分的系统状态、安全事件、网络活动，对非法数据及时预警，使交换过程可追溯、可审查。保障了航天车间的安全稳定运行，提升了企业安全系数和管理水平，助力企业科研活动与发展。