航天天盾（DCS）异常监测与应急恢复解决方案（二）

网络防护手段的局限

防火墙对新出现的安全威胁往往体现滞后性；不能防止人为或自然的破坏；无法防止自身可能存在的漏洞；无法防止利用漏洞进行的攻击。IDS作为可审查性产品最大的局限性是漏报和误报严重，几乎不是一个可以依赖的安全工具，而是一个参考工具。漏报等于没有报，误报则是报错了，这两个特点几乎破坏了入侵检测的可用性。VPN作为一种加密类技术，不管哪种VPN技术，在设计之初都是为了保证传输安全问题而设计的，而没有动态、实时的检测接入的VPN主机的安全性，同时对其作“准入控制”。这样有可能因为一个VPN主机的不安全，导致其整个网络不安全。防病毒产品也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。

目前第五代安全隔离技术对网络防护的效能，相比防火墙、IDS、VPN、防病毒软件等方法而言有了大幅进步，网络安全性较高。但安全通道隔离主要针对外部隐患，并不解决误操作等问题，且成本比较高（尤其是小型DCS），还必须变更原有DCS系统部署。改变原有DCS系统部署，对许多企业来说是伤筋动骨的。

解决方案

因此一种通用性强、可针对性解决大部分问题，且部署方便、成本适中的解决方案，对工业生产有着重要意义。

多层监测

目前，航天天盾产品通过对工业以太网、现场总线、输入输出（IO）三层同时进行异常监测，可保障对全局运行情况进行完整的监视。这日益成为一些尖端产品确保工控系统安全运行的基础目标。

需求差异大，须针对设计

DCS系统种类繁多，电厂、石油、化工、供热、供水、船舶、航天军工等行业均使用具有各自特点的DCS系统。因此目前的诸多故障监测和解决方案，不少是在原有DSC系统基础之上做二次开发。监控方案和故障解决方案需顺应原有系统的架构和运行特点。一般来说这类解决方案需要频繁更新，多数都会涉及修改原有系统，复杂程度高。业内缺乏一套具有普遍适应性的解决方案。

在线快速恢复

由于工控系统的安全漏洞是多方面、多发性的，受到的影响因素很多，不确定因素、突发因素和新问题都有发生，因此很难建立起一套针对所有问题的解决体系。而航天天盾产品通过制作镜像、并在发生故障时快速恢复，不仅可以越过复杂的故障问题分拣、分析和分别处理环节，还可以达到一个解决方案针对所有问题，简单快速等目的。镜像快速恢复，未来将会成为工控故障解决方案的首选。