ICS 网络安全防护技术是有效阻止威胁对 ICS 可用性造成破坏的技术，但对于防护技术的选择要依据 ICS 的特点。由于 ICS 的高实时性和可用性要求，防护技术不能带来高时延以及破坏ICS 的通信。本节将介绍 ICS 信息安全常用的安全防护技术，这些技术通过多年的验证证明是有效的，不会影响 ICS 的可用性。

1

网络隔离技术

网络隔离（Network Isolation）技术是网络安全技术的一个大类，是把两个或者两个以上可路由的网络（如 TCP/IP）通过不可路由的协议（如 IPX/SPX、 NetBEUI 等） 进行数据交换而达到隔离目的。其主要原理是使用不同的协议，故也叫协议隔离。 网络隔离的主要目的：将有害的网络安全威胁隔离开，以保障数据信息在可信网络内进行安全交互。一般的网络隔离技术都是以访问控制思想为策略，物理隔离为基础，并定义相关约束和规则来保障网络的安全强度，用于实现不同安全级别网络之间的安全隔离，并提供适度可控的数据交换的技术。有时也形象地称为网闸，或数据摆渡。随着近几年的飞速发展，目前的隔离技术已经比较完善，涵盖了几乎所有级别用户的网络隔离需求。网络中的“隔离”一词与现实生活中的“隔离”存在某种认识上的区别，从传统意义来理解，“隔离”使两个网络真正分开，但这样来谈网络安全是没有任何意义的。事实上，网络安全中“隔离”后的两个网络并非完全没有联系，还是需要有正常的应用层数据交换的。目前可以

采用的隔离方法主要有以下三类：■ 物理隔离。通过一定软、硬件方法使得访问内、外网的设备、线路、存储均相对独立。
■ 网络隔离。利用协议转换进行网间的数据交换。
■  安全隔离。利用专用设备实现仅在应用层进行数据交换。

2

网络隔离技术的发展历程

到目前为止，整个网络隔离技术的发展经历了以下五代：

■  第一代隔离技术—完全的隔离。
■  第二代隔离技术—硬件卡隔离。
■  第三代隔离技术—网络协议隔离。
■  第四代隔离技术—空气开关网闸隔离。
■  第五代隔离技术—安全网闸隔离