1.?一種工業控制網絡安全防護方法，其特征在于，采用3主機結構和三層防護策略，包括以下步驟：

針對外部網絡攻擊，前方主機對外部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，后方主機對數據進行深層過濾和訪問控制，合法數據進入到內部網絡；

針對內部網絡攻擊，后方主機對內部網絡通訊數據進行第一層數據過濾和訪問控制，過濾非法身份的訪問，安全控制主機通過共用存儲區來緩存數據，對數據進行入侵檢測，對非法數據進行及時報警并通知兩側主機，前方主機對數據進行深層過濾和訪問控制，合法數據進入到外部網絡。

2.?根據權利要求1所述的工業控制網絡安全防護方法，其特征在于：所述主機都采用基于安全芯片TPM的動態可信度量策略，建立基于TPM的可信根及可信鏈，將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。

3.?根據權利要求1所述的工業控制網絡安全防護方法，其特征在于：前方主機、后方主機與安全控制主機之間采用自定義協議進行數據傳輸，通過標準協議與自定義協議的轉換實現網絡協議阻斷和純數據交換，在應用層對傳遞的數據內容進行深度檢測。

4.?根據權利要求1所述的工業控制網絡安全防護方法，其特征在于：安全控制主機采用基于場景的混合入侵檢測算法對數據在應用層進行數據深層過濾，如果檢測到異常，就生成報警信息，上傳到配置管理中心，并通知前方主機、后方主機采取相應的策略進行處理。

5.?根據權利要求1所述的工業控制網絡安全防護方法，其特征在于：所述主機都采用安全訪問控制策略防御外部攻擊，安全訪問控制策略包括用戶權限控制、端口控制和源IP/目的IP過濾。

6.?實現權利要求1～5所述方法的一種工業控制網絡安全防護系統，其特征在于：采用3主機結構，分別為前方主機、安全控制主機和后方主機；前方主機和后方主機的結構相同，都通過LAN硬件分別與外部網絡、內部網絡相連；安全控制主機通過一個共用存儲區緩存來自前方主機、后方主機的數據。

7.?根據權利要求6所述的工業控制網絡安全防護系統，其特征在于，前方主機和后方主機都包括：動態可信度量模塊、響應處理模塊、數據轉換及通信模塊、數據更新模塊和報警信息處理模塊。

8.?根據權利要求6所述的工業控制網絡安全防護系統，其特征在于：安全控制主機包括動態可信度量模塊、響應處理模塊、通信處理模塊、入侵檢測模塊和數據更新模塊。

9.?根據權利要求7或8所述的工業控制網絡安全防護系統，其特征在于：動態可信度量模塊采用基于安全芯片TPM，建立基于TPM的可信根及可信鏈，通過TPM安全芯片與傳統硬件重新設計可信BIOS，將可信度量從靜態度量擴展到進程及模塊的動態度量，利用TPM進行硬件級別的保護，即將敏感數據存放在TPM芯片內部和其他組件隔離的存儲器內，在內部完成密鑰生成、數據加密和身份認證。

10.?根據權利要求?8所述的工業控制網絡安全防護系統，其特征在于：所述系統還包括與安全控制主機的數據更新模塊進行通信的配置管理中心，用于系統配置、數據更新與維護、界面顯示與數據查詢及日志管理。