随着两化的融合以及中国制造2025战略的推进，工业系统的信息化水平不断提升，工业控制网络与外部网络之间交换数据的数量和频率将大幅上升，工业控制系统作为国家安全的重要组成部分，针对工业控制系统严峻的安全形势，国家对工业控制系统网络安全高度重视。

据国家保密局颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定：“涉及国家秘密的计算机信息系统，不得直接或间接地与国际互联网或其他公共信息网络相连接，必须实行物理隔离。”针对工业信息系统不同安全等级的网络之间在数据共享和交换上的安全需求，如何实现工业信息数据之间的安全“摆渡”，成为工业企业使用场景亟需解决的一大“痛点”。

名词解释

“摆渡”，现实中是指用船载人渡河。当摆渡系统与内网联通时，与外网是断开状态；当摆渡系统与外网联通时，与内网是断开状态，这个过程就叫做摆渡，摆渡的目的是在确保网络安全隔离的前提下，实现适度的信息数据交换。

网闸的提出正是基于摆渡这个概念，并根据摆渡“下车改乘轮船”与“上岸换回汽车”的现象启发了网闸对现有网络协议的剥离和重建技术。而融安网络的工业隔离网闸也是基于此原理，对不同安全级别的网络提供安全隔离防护和信息数据交换，成为满足物理隔离需求和信息数据交换的安全防护产品。

产品概述

工业隔离网闸是一款采用“2+1”系统架构（即内端机+外端机+专用隔离卡）、适用于多种工业场景应用、满足物理隔离需求的安全防护产品。产品部署于网络边界，连接两个或多个不同安全级别的网络，提供高级别的安全隔离防护。该产品广泛适用于电力、轨道交通、石化、冶金、燃气、水务和智能制造等工业应用场景。

那么融安网络工业隔离网闸是如何在文件摆渡过程中实现安全高效传输的？其主要技术原理有：

第一、“2+1”架构设计。系统采用三个模块单元的架构。其中一个处理外网数据的外网主机单元和一个处理内网数据的内网主机单元，这两个单元均为独立的主机系统。另一个则是由独立的控制逻辑电路的物理隔离单元，进行数据的“摆渡”。

在文件摆渡过程中，通过将网闸系统的TCP/IP连接断开为两个连接，且断开后的两个连接不能共享一个主机。（即内网某主机与网闸内网处理单元之间是一个TCP/IP连接，而外网处理单元和外网服务器之间则由另一个TCP/IP连接）。

第二、网闸数据交换设计。网闸的外网处理单元与外部网络通信，内部处理单元与内部网络通信，而外网处理单元与内网处理单元之间则通过专门设计的隔离传输硬件来进行数据交换。并且在不同的应用中，进行完整性和安全性检查，如防病毒和恶意代码检测等。

融安网络工业隔离网闸只允许原始应用数据进入的技术手段保证内外部网络的安全隔离，解决不同安全等级网络间的数据交换问题，防止内网的资源被隔离对象以外人员访问，并保证交换数据的完整性、实时性和安全性。

其中，根据网闸的实现原理，在硬件上采用FPGA控制逻辑单位来控制数据在内外网处理单元之间的交换，保证两者在同一时间不同时连通并进行数据交换。而根据TCP/IP连接断开原理，在软件架构上，将一个网络连接断开为两个网络连接，这两个独立的连接共同完成整个网闸系统的应用代理功能。同时设计专门的设备驱动程序为上层提供访问隔离传输硬件的接口。系统总体框架如下图所示：

产品特点

内置专业工控漏洞库技术

内置工业控制漏洞库，包括工控设备漏洞、工控协议漏洞、工业以太网漏洞、工控系统漏洞等3000条漏洞特征，通过进行特征匹配引擎快速发现漏洞攻击行为。

高可靠性设计

采用工业级加固设计，适用于严苛的工业环境，支持电源冗余设计(支持热插拔)、双机热备、端口冗余、链路聚合等功能；

丰富的协议支持

支持OPC、Modbus、IEC104、OvationEDS、DNP3、IEC61850、MMS、CIP等通用工业控制协议，以及TDCS、CTC等专有工业协议，同时支持TCP、UDP、HTTP、FTP、SMTP、POP3、IMAP4、SIP等各类通用应用协议以及MYSQL、SQLSERVER、ORACLE、DB2、SYBASE、PostgreSQL、达梦数据库和人大金仓数据库等主流数据库协议；

高安全性隔离

采用“双主机+专用隔离卡”系统架构，使用私有协议摆渡，确保内外网在任何断开和连接状态，从物理上进行了网络隔离，消除了数据链路的通信协议，剥离TCP/IP协议，实现高安全性隔离；

强大的病毒扫描功能

支持对协议代理、文件同步等方式传输的文件进行病毒检测，阻止病毒感染文件的传播。多种诊断工具：ping、tcpdump、arp、telnet、traceroute、route网络诊断等工具；

产品部署