工业控制网络纵深防御解决方案

工业控制网络纵深防御解决方案编制青岛海天炜业自动化控制系统经理刘安正ByresSecurityinc.Tofino亚太区经理ThomasOu目录1．工业控制网络平安概述31.1本报告编制原那么31.2工业控制网络平安概述32．西门子Stuxnet控制系统病毒的新警示43．目前工厂控制系统网络防护分析53.1工厂网络情况概述53.2目前工业控制网络平安存在的问题5操作系统平安漏洞5病毒与恶意代码6拒绝效劳攻击-网络风暴6黑客入侵与应用软件平安漏洞63.3目前的防护措施73.4保证控制网络平安必须到达的两个目标93.5ANSI/ISA-99区域防护概念解析94．Tofino工业网络平安解决方案114.1Tofino平安解决方案构成124.2Tofino平安解决方案到达的目标134.3过程控制系统DCS区域平安分析144.4针对石化企业的Tofino解决方案154.4.1工业OPC通信防护15方案架构图174.4.1.2OPCClassicEnforcer防护原理184.4.1.3TofinoOPC通讯防护配置清单〔单个OPC连接〕204.4.2操作站层面防护21方案架构图224.4.2.2操作站层防护部署及原理224.4.2.3操作站层通讯防护配置清单〔单个防护区域〕235．工程费用概算251．工业控制网络平安概述1.1本报告编制原那么本报告编制依据《中华人民共和国计算机信息系统平安保护条例》、《信息平安技术指南》以及国际《ANSI/ISA-99控制系统网络平安指引》面向石化企业信息化的特点，结合MES以及现场控制系统的实际应用，针对控制网络平安问题进行分析与阐述，并提供适合企业特点的平安方案。1.2工业控制网络平安概述过去十年间，世界范围内的过程控制系统〔DCS/PLC/PCS等〕及SCADA系统广泛采用信息技术，Windows®,Ethernet™及TCP/IP，现场总线技术，OPC等技术的应用使工业设备接口越来越开放，减弱了控制系统及SCADA系统等与外界的隔离。但是，越来越多的案例说明，来自商业网络、因特网以及其它因素导致的网络平安问题正逐渐在控制系统及SCADA系统中扩散，直接影响了工业稳定生产及人身平安。2003年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙将其截获，人们依然认为系统是平安的。2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒，虽然已安装了IT防火墙，病毒就在几秒钟之内从一个車间感染到另一个車间，从而最终导致停工2006年10月一部被感染的笔记本电脑(维修用的),让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。2023年10月，肆虐伊朗国内的“超级工厂病毒〞Stuxnet病毒已经造成伊朗布什尔核电站推迟发电，并对伊朗国内工业造成大面积影响。通过专家对大量工业网络平安案例的分析证明，网络攻击频发的原因正在于此——不完善的网络平安设计，配置不当的防火墙以及VPNtunnels、双网卡效劳器及网络共享等。2．西门子Stuxnet控制系统病毒的新警示Stuxnet是一种计算机蠕虫病毒，通过Windows操作系统此前不为人知的的漏洞感染计算机，同时该病毒针对具有西门子WINCC平台的控制系统以及Step7文件进行攻击，由于该病毒能够修改WINCC平台数据库变量，在Step7程序中插入代码以及功能块，即能够对控制系统发动攻击，故局部专家定义Stuxnet为“超级工厂病毒〞。这是目前第一个针对工控系统展开攻击的计算机病毒，目前已经对伊朗国内工业控制系统产生极大影响，Stuxnet可以说是计算机病毒界革命性创新，给我们控制系统网络平安带来新警示。◆控制系统网络是可以被攻击的越来越多的控制系统操作站平台是基于Windows平台，U盘，维修人员的笔记本接入，信息网络的病毒感染等都可以实现对控制网络的攻击；◆控制系统网络需要有病毒及黑客入侵防护；◆需要实施一个纵深防御策略来保证控制系统的稳定运行；3．目前工厂控制系统网络防护分析3.1工厂网络情况概述伴随国家工业化、信息化的两化融合，石化企业提出管控一体化规划，基于实时数据库应用的MES系统在各大企业得到大力推广。实时数据库的建立是以采集过程控制系统的数据为前提，这就需要MES的信息网络必须要实现与控制网络之间的数据交换，控制网络不再以一个独立的网络运行，而要与信息网络互通、互联，基于TCP/IP以太网通讯的OPC技术在该领域得到广泛应用。过程控制系统在近十年的开展中呈现出整体开放的趋势，计算机技术在工控领域的应用使得现代DCS操作站完全是一种PC+Windows的模式，控制系统网络也根本都向工业以太网结构开展，开放性越来越强。3.2目前工业控制网络平安存在的问题开放性为用户带来的好处毋庸置疑，但由此引发的各种平安漏洞与传统的封闭系统相比却大大增加。对于一个控制网络系统，产生平安漏洞的因素是多方面的。3.2.1操作系统平安漏洞PC+Windows的技术架构现已成为控制系统操作站(HMI)的主流，任何一个版本的Windows自发布以来都在不停的发布漏洞补丁，为保证过程控制系统相对的独立性，现场工程师通常在系统开车后不会对Windows平台打任何补丁不理解这句话，不打补丁就可以保证过程控制系统的相对独立性吗？，更为重要的是打过补丁的操作系统没有经过制造商测试，存在平安运行风险。但是与之相矛盾的是，系统不打补丁就会存在被攻击的漏洞，即使是普通常见病毒也会遭受感染，可能造成Windows平台乃至控制网络的瘫痪。不理解这句话，不打补丁就可以保证过程控制系统的相对独立性吗？3.2.2病毒与恶意代码基于Windows平台的PC广泛应用，病毒也随之而泛滥。全球范围内，每年都会发生数次大规模的病毒爆发。目前全球已发现数万种病毒，并且还在以每天数十余种的速度增长。这些恶意代码具有更强的传播能力和破坏性。例如蠕虫，从广义定义来说也是一种病毒，但和传统病毒相比最大不同在于自我复制过程。它能够通过端口扫描等操作过程自动和被攻击对象建立连接，如Telnet连接等，自动将自身通过已经建立的连接复制到被攻击的远程系统，并运行它。基于工控软件与杀毒软件的兼容性，在操作站〔HMI〕上通常不安装杀毒软件〔美国有因为安装杀毒软件导致平安系统运行故障的案例〕，即使是有防病毒产品，其基于病毒库查杀的机制在工控领域使用也有局限性，主要是对新病毒的处理总是滞后的，这导致每年都会大规模地爆发病毒，特别是新病毒。3.2.3拒绝效劳攻击-网络风暴拒绝效劳攻击是一种危害极大的平安隐患，它可以认为操纵也可以由病毒自动执行，常见的流量型攻击如PingFlooding、UDPFlooding等，以及常见的连接型攻击如SYNFlooding、ACKFlooding等，通过消耗系统的资源，如网络带宽、连接数、CPU处理能力、缓冲内存等使得正常的效劳功能无法进行。拒绝效劳攻击非常难以防范，原因是它的攻击对象非常普遍，从效劳器到各种网络设备如路由器、交换机、IT防火墙等都可以被拒绝效劳攻击。控制网络一旦遭受严重的拒绝效劳攻击就会导致严重后果，轻那么控制系统的通信完全中断，重那么可导致控制器死机等。目前这种现象已经在多家工业控制系统中已经出现，并且造成严重后果。可以想像，一套失控的控制系统可能导致的后果是非常严重的。而传统的平安技术对拒绝效劳攻击几乎不可防止，缺乏有效的手段来解决。3.2.4黑客入侵与应用软件平安漏洞最后要提到的两点目前发生概率较小，分别是黑客入侵和工控应用软件的自身漏洞，这些事情通常发生在远程SCADA控制系统的应用上，在此不做详述。3.3目前的防护措施石化企业随着信息化的不断深入，大量IT技术被引入，同时也包括各种IT网络平安技术，主要有IT商业防火墙、IDS、VPN、防病毒等，这些技术目前也根本集中在工厂MES系统企业信息层面。针对控制网络的防护，也进行了一些积极有效地措施，根本如下〔参考下面工厂MES网络示意图〕：〔1〕信息层网络与控制层网络之间采用双网卡接口机〔Buffer机〕；〔2〕安装病毒监控软件，保证病毒库随时升级〔病毒库效劳器〕；〔3〕就操作系统发现的漏洞及时打补丁〔补丁效劳器〕；〔4〕OPC数据采集客户端采取只读数据的单向策略；不明白这句话的意思不明白这句话的意思〔5〕OPC数据采集效劳器与客户端之间增加普通IT防火墙；〔6〕参与过程控制高级应用的先控站〔APCNode〕单独放置；〔7〕面向工程编程组态的工程师站〔ENGNode〕单独放置；〔8〕操作员站主机机柜上锁，或USB口屏蔽，防止操作工任意使用U盘；〔9〕加强管理，对不按照规程操作的工程师进行处分；工厂MES网络示意图由于石化生产过程的重要性和特殊性，严格要求每一生产环节都不允许产生纰漏。数采系统的采集站直接与现场装置DCS相连，对于〔1〕，虽然考虑了双网卡配置，管理信息网与控制网通过采集站进行了隔离，病毒等破坏性程序不能直接攻击到控制网络，但对于能够利用Windows系统本身缺陷的网络蠕虫病毒，这种配置几乎没有作用，除非能够把采集站的Windows系统的系统漏洞消除在利用该漏洞的蠕虫病毒攻击之前，使得蠕虫病毒无法攻入采集站系统，从而无法利用采集站作为进一步共计的基地；对于〔2〕和〔3〕，病毒库及系统补丁的升级总是存在滞后效应，对于新型入侵及攻击无法抵御，因此还不能完全阻止攻击；对于〔4〕〔5〕项是用户一直非常头痛的局部，缺乏有效的解决方案来实施；对于〔6〕〔7〕〔8〕〔9〕项，根本都是管理方面的内容，其作用在于防止非计算机的人为破坏因素。常规的IT网络平安技术没有专门针对控制网络需求进行规划设计，以上所列平安措施只是对控制网络入侵的一种限制手段，但无法到达网络平安的要求，需要通过专业网络平安设备，去限定并且管控有限的连接，来满足化工装置对网络平安的要求。3.4保证控制网络平安必须到达的两个目标虽然各个工厂在针对控制网络平安都采取了在本文档3.2章中描述的防护措施〔或者其它更高级的措施〕，但我们相信，要保证控制网络中基于PC+Windows方式的操作站〔HMI〕100%免受病毒感染或者其它攻击是根本不可能的。这些感染或攻击的途径可能来自：◆来自上层信息网对控制网的攻击或病毒感染；◆工程师使用U盘、光盘导致的病毒传播；◆设备维修时笔记本电脑接入而来；总结以上列举的种种问题，我们认为要保证控制网络的平安运行必须到达两个目标：〔1〕即使在控制网单点出现问题，也能保证装置或工厂的平安稳定运行对于现代计算机网络，我们认为最可怕的是病毒的急速扩散，它会瞬间令整个网络瘫痪，该防护目标在于当控制网络的某个局部存在病毒感染或者其它不平安因素时，不会向其它设备或网络扩散，从而保证装置或工厂的平安稳定运行。〔2〕能够及时准确确实认故障点，并排解决问题怎样能够及时发现网络中存在的感染及其它问题，准确找到故障的发生点，是维护控制网络平安的前提。3.5ANSI/ISA-99区域防护概念解析目前国内针对工业控制网络的防护标准尚不成形，公安部会同有关部门也在制定计算机信息系统平安等级的划分标准和平安等级保护的具体方法，在国际上，美国在2007年公布的ChemicalFacilityAnti-TerrorismStandards(CFATS)标准〔该标准由美国国土平安部公布〕以及2023年公布的USChemicalAnti-TerrorismAct〔美国化学反恐怖主义法〕针对化工设备平安做了强制要求，目前，石油，水处理以及制造业都还没有必须按照以上立法规定作业，但是为了防止重大的风险，根本都遵守ANSI/ISA-99Standards的要求进行规划。来自国际的行业标准，如ANSI/ISA-99指出过程控制系统或SCADA控制网络的控制网络平安要点：要点名称要点描述到达目标区域划分具备相同功能和平安要求的设备在同一区域内平安等级分区管道建立实现区域间执行管道通信易于控制通信管控通过控制区域间管道中通信管理控制来实现设备保护数据通信可控想要满足这一平安要求，TofinoTofino

工业网络平安解决方案是一个分布式系统，快速、经济、高效地实现控制网络内的平安保护。是一种经济高效的方式。Tofino能够用来别离信息系统网络与过程系统网络，分隔不同供给商的控制系统，并隔离关键系统与非关键系统，保护控制系统底层边缘设备〔例如Tofino

工业网络平安解决方案是一个分布式系统，快速、经济、高效地实现控制网络内的平安保护。4．Tofino工业网络平安解决方案Tofino工业网络平安解决方案针对SCADA和过程控制系统特别设计，旨在为其提供一种分区的平安解决方案。Tofino拥有极高的性价比，它能够在工厂车间中建立深层防护架构，因此，即使有黑客或病毒通过主要的企业防火墙，他们也将面对基于控制网络特点而设计的专业平安设备，只有穿过这些设备才能进而造成损害。Tofino模块采用TofinoCentralManagementPlatform(CMP，中央管理平台)进行集中配置、组态和管理〔可远程甚至跨国使用〕，控制网或企业网均可以在适当位置安装CMP。使用CMP，并装载各种必要的LoadableSecurityModules(LSMs，可装载平安软件插件)，就可以实时在线调整Tofino模块，使之满足所FWModuleBeingLoadedtoApplianceFWModuleBeingLoadedtoAppliancePLCControllersClusterofDCSControllersSCADARTUHMIStationTofino™CentralManagementPlatformTofino™MonitoringDCSNetworkStatusBeingSenttoCMPCorporateIntranetTofino™ApplianceProtectingPLCTofino™EncryptingTrafficTelcoNetworkTofino™FirewallingControlSystemDCSStationsTofino平安解决方案系统配置示意LSM能够为工厂用户量身定制的加密，入侵检测及控制协议识别等平安解决方案。例如，可以将其中一个Tofino模块作为专有PLC网络的防火墙，将另外一个Tofino模块作为网络RTU是REMOTETERMINALUNIT的简称，即远方数据终端，用于监视、控制与数据采集的应用。具有遥测、遥信、遥调、遥控功能。通讯的加密系统。当然，单个Tofino模块可以同时装载多个LSM，同时提供多重平安防护。是REMOTETERMINALUNIT的简称，即远方数据终端，用于监视、控制与数据采集的应用。具有遥测、遥信、遥调、遥控功能。TofinoSecuritySystem一方面是一个完整的分布式的平安解决方案，另一方面又可以简单、平安地进行集中管理，这些特性使得它成为一款独一无二的产品。对大型工业企业来说，TofinoSecuritySystem更意味着最正确的平安效益和技术支持，并不只是简单满足了独立的关键控制设备的平安需求。不同于传统的IT防火墙，Tofino专为工业环境控制网络通信平安要求而设计。现场技术人员只需简单为Tofino接入电源，并连接两个网络的电缆即可，无需其他任何操作。一旦安装成功，平安/技术人员即可毫不费力地管理任何系统，以总揽公司大局的方式对网络威胁作出反响。最重要的是，Tofino既可以灵活运用在单纯由PLC构成的小型工厂中，又能够满足那些拥有成千上万个设备并且分布全球各地的大型跨国公司的使用要求。4.1Tofino平安解决方案构成一个完整的Tofino平安解决方案包含以下三局部：Tofino平安模块〔TSA〕——增强型工业环境要求设计，应用于受保护的区域或控制器等关键设备之前。下列图为Tofino平安模块硬件的两种选型。Tofino可装载平安软插件(LSM)——专为TSA设计的平安软插件，提供平安效劳，如工业通信防火墙、事件与报警管理，OPC/ModbusTCP通信深度检查、平安设备资产管理、VPN加密等。LSM可以直接装载到Tofino平安模块中，并根据系统需求提供各种定制平安效劳。Tofino中央管理平台〔CMP〕——窗口化的中央管理平台系统及数据库，用于Tofino平安模块的配置、组态何为组态和管理何为组态Tofino平安模块〔TSA-100〕Tofino平安模块〔TSA-220〕Tofino中央管理平台界面截图4.2Tofino平安解决方案到达的目标区域隔离：Tofino工业防火墙插件能够过滤两个区域网络间的通信，这样意味着网络故障会被控制在最初发生的区域内，而不会影响到其它局部。通信管控：通信规那么是可以在线通过CPM进行预先组态和测试的。实时报警：任何非法的〔没有被组态允许的〕访问，都会在CMP管理平台产生实时报警信息，从而故障问题会在原始发生区域被迅速的发现和解决一劳永逸：工业级硬件设计，保证模块的稳定性；特有的专有控制通讯协议检查设计理念〔白名单理念〕，辞别了传统防火墙的病毒库升级等繁琐工作，在防护的同时也不改变控制网原有应用软件的操作模式，大大降低网络维护量。4.3过程控制系统DCS区域平安分析以在本文档3.2节中描述的MES网络结构图为例，首先将网络划分成三大层，每一层作为一个独立的大区域，分别是信息层〔Informationzone〕、操作站层〔Stationzone〕和控制器层〔Controllerzone〕，如下列图防护区域划分示意图考虑到在操作站层〔Stationzone〕中OPCServer，工程师站以及高级应用先控站这三个节点病毒感染概率较高，为防止病毒扩散，特别在大区中间增加一个二级子分区，将这三个节点与其它操作站隔离。4.4针对石化企业的Tofino解决方案针对石化企业流程工业的特点，同时结合控制系统的网络结构，Tofino产品可以应用在以下两个方面：Tofino区域防护解决方案示意图工业OPC通信防护针对信息层〔Informationzone〕与操作站层〔Stationzone〕之间，是过程控制网络与企业信息网络的接口部位，是企业目前信息部与仪控部的交叉点，由于来自企业信息层病毒感染及入侵的概率较大，所以该部位是目前防护的重点，该部位通讯一般采用OPC接口。一个完整的TofinoOPC平安解决方案包含以下六局部：Tofino平安模块〔TSA〕：硬件设计遵循增强型工业环境要求，应用于受保护的区域或控制器等关键设备之前，设计使用寿命27年，能够提供平安系统的工业平台，适宜温度-40°Cto+70°C，防护等级IP20。Tofino可装载平安软插件(LSM-Firewall)：工业网络交通警察，提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议，预先定义超过25个控制器类型〔例如：西门子S7-300/S7-400，HoneywellPKSC200/C300/〕，通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规那么〞。符合ANSI/ISA-99.00.02的网络分段要求，到达区域隔离目标。Tofino可装载平安软插件(LSM-OPCClassicEnforcer)：管控OPC效劳器及授权客户端之间的数据通信，并且应用专有技术动态跟踪OPC通信所需端口，同时Tofino的‘SanityCheck’检查功能能够阻挡任何不符合OPC标准格式的DCE/RPC访问。同样也对OPC授权客户端发往OPC效劳器的OPC对象请求进行检查，以提高OPC效劳的平安性。资产管理插件〔LSM-SecureAssetManagement〕像雷达一样，Tofino的平安设备资产管理〔SAM〕可装载模块可以追踪每一个通过Tofino平安设备进行通讯的设备。不过，为了防止引起进程干扰，它实现这一功能使用的并不是传统的扫描技术事件报警插件〔LSM-TofinoArgonEventLogger〕：Tofino事件记录可装载模块对您的平安事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的日志记录系统。Tofino中央管理平台〔CMP〕——窗口化的中央管理平台系统及数据库，用于Tofino平安模块的配置、组态和管理，界面参照下面截图：Tofino中央管理平台界面截图.1方案架构图TofinoOPC通讯防护解决方案架构图.2OPCClassicEnforcer防护原理OPCClassicEnforcer一个可加载的软插件，具备OPC防火墙的功能，利用协议深层检测技术来幕后管理OPC的交连通讯〔1〕OPCEnforcer接受从客户端发连接的请求，并检查：它是否发给经批准的效劳器；它是否来自认可的客户端；它是否一个OPC正确的请求讯息格式；〔2〕OPCEnforcer随后审查从效劳器返回的讯息，并检查：它是否一个OPC正确的返回信息格式；它是否返回给发出请求的客户端；效劳器告诉客户端去使用哪个TCP端口；〔3〕OPCEnforcer仅针对正确的OPC连接开放TCP端口,并设定以下限制:只容许该客户端和这效劳器之间的通信；只容许该客户端使用此指定的端口通信；只容许正确的TCP通讯发生在特定连接的时间内；〔4〕OPCEnforcer阻挡一切非OPC标准的通讯请求：阻止一切没有OPC标准格式的DCE/RPC访问请求；阻止尝试使用其它TCP端口号的通讯连接；试图“借用〞其它客户端或效劳器的端口号；阻止其它一切黑客、蠕虫、病毒等非法的访问；〔4〕TofinoOPCEnforcer优势：在OPC工业协议上最先应用“连接跟踪技术〞；Tofino的‘SanityCheck’检查功能，可拦阻任何不符合OPC标准格式的DCE/RPC访问；OPC通讯权限管理，OPC协议深度检查，管控通讯平安；只在所跟踪的TCP端口有需要时，防火墙才短暂地翻开；可支持多个OPC客户端和效劳器同时使用；简单易用，在OPC效劳器或客户端上并不需要做任何变化和改动只是在通讯网线中间参加即可；可支持OPCDA,HDA和A&E标准；实现区域防护和病毒隔离，阻挡恶意攻击；得到OPC基金会的大力推荐。.3TofinoOPC通讯防护配置清单〔单个OPC连接〕〔1〕TofinoTSA硬件及插件方案所需软、硬件功能数量Tofino平安模块FA-TSA-220-TX/TX能够提供平安系统的工业平台，适宜温度-40°Cto+70°C，防护等级IP20。1Firewall插件LSM-FW-100提供防火墙及网络交通控制功能的软插件，符合ANSI/ISA-99.00.02的网络分段要求，到达区域隔离目标。1OPCEnforcer插件LSM-OPC-100管控OPC效劳器及授权客户端之间的数据通信，并且应用专有技术动态跟踪OPC通信所需端口，同时Tofino的‘SanityCheck’检查功能能够阻挡任何不符合OPC标准格式的DCE/RPC访问。同样也对OPC授权客户端发往OPC效劳器的OPC对象请求进行检查，以提高OPC效劳的平安性。1PowerAdapterDC-24PA-TSA-01电源适配器DC-24VDC-24电源适配器，2台构成冗余结构。2TofinoArgonEventLoggerLSM事件报警插件LSM-LOG-100Tofino事件记录可装载模块对您的平安事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的日志记录系统。1TofinoArgonSecureAssetManagementLSM资产管理插件LSM-SAM-100像雷达一样，Tofino的平安设备资产管理〔SAM〕可装载模块可以追踪每一个通过Tofino平安设备进行通讯的设备。不过，为了防止引起进程干扰，它实现这一功能使用的并不是传统的扫描技术1〔2〕Tofino中央管理平台软件CMP〔CentralManagementPlatform〕：是一个基于Windows平台的软件，具备在线组态、在线监控、资产管理等多种功能，可以将全厂所有设备硬件都集中管理，对全厂控制网络状态一目了然。CMP中央管理平台工程描述订货号单位数量1TofinoArgonCentralManagementPlatform(SoftwareLicense,CD,Quickstart)-unlimitedSA'S中央管理平台软件-无限点FA-CMP-100套12TofinoCMPUser'sGuideCMP用户手册DOC-UG-CMP-100册13TofinoCMPSoftwareInstallationGuideCMP安装指导手册DOC-IG-CMP-100册14TofinoCMPQuickStartGuideCMP速配手册DOC-QS-CMP-100册1操作站层面防护针对操作站层面〔Stationzone〕各个节点之间的相互影响，杜绝由于局部操作站的病毒传染整个网络，我们将工程师站，OPCServer以及高级应用先控站或局部操作站进行分组，通过Tofino模块进行隔离一个完整的TofinoOPC平安解决方案包含以下五局部：Tofino平安模块〔TSA〕：硬件设计遵循增强型工业环境要求，应用于受保护的区域或控制器等关键设备之前，设计使用寿命27年，能够提供平安系统的工业平台，适宜温度-40°Cto+70°C，防护等级IP20。Tofino可装载平安软插件(LSM-Firewall)：工业网络交通警察，提供防火墙及网络交通控制功能的软插件内置50多个工业专用及商业IT通信协议，预先定义超过25个控制器类型〔例如：西门子S7-300/S7-400，HoneywellPKSC200/C300/〕，通过通讯协议指令级别的管控，预先组态用于高级过滤和攻击保护的“特殊规那么〞。符合ANSI/ISA-99.00.02的网络分段要求，到达区域隔离目标。资产管理插件〔LSM-SecureAssetManagement〕像雷达一样，Tofino的平安设备资产管理〔SAM〕可装载模块可以追踪每一个通过Tofino平安设备进行通讯的设备。不过，为了防止引起进程干扰，它实现这一功能使用的并不是传统的扫描技术事件报警插件〔LSM-TofinoArgonEventLogger〕：Tofino事件记录可装载模块对您的平安事件提供了可靠的监控功能和记录功能，它是一个专为工业控制网络设计的日志记录系统。Tofino中央管理平台〔CMP〕——窗口化的中央管理平台系统及数据库，用于Tofino平安模块的配置、组态和管理。4.4.2.1方案架构图操作站层防