第二道防線：抵御多種威脅的安全網關CONTROL ENGINEERING China版權所有，安全網關的防護嚴格程度較第一道防線的防火墻的規則更加嚴格，并且夠提供從協議級過濾到應用級過濾。入侵者如果成功穿越防火墻后，想進入更加核心的區域，那么就必須花費更多的時間及精力來進行攻擊。

        第三層防線：防病毒軟件，普通辦公用電腦的攻擊價值非常低，一般的入侵者不會對其進行攻擊，但是普通辦公電腦確實一個攻擊的平臺，通過木馬程序進行控制，非法訪問一些服務器，將普通辦公電腦當做一個跳板的作用。對于辦公電腦來說，經常的使用U盤等移動設備會造成無法通過網絡傳播的病毒進行擴散。防毒軟件能夠監察計算機內的惡意程式，包括流行的各種病毒、木馬、蠕蟲和特洛伊木馬，保護企業和用戶計算機。

         第四層：控制系統防火墻與IDS(IPS)系統，控制系統防火墻是專門針對工廠生產車間系統及網絡部署的一道防火墻。此道防火墻會制定更加嚴格的規則，開放更加少的端口，避免入侵者從外部對工廠生產車間的網絡及系統進行攻擊。

        同時，在此層級上由于工廠生產車間的敏感性，為了有效的對網絡環境進行監控，在靠近終端設備處同時部署IDS或IPS系統的探測器。IDS是Intrusion Detection System的縮寫，即入侵檢測系統，主要用于檢測病毒和網絡異常通信，以便網絡管理員采取相應措施。IDS入侵檢測系統能夠察覺黑客的入侵行為并且進行記錄和處理。由于當病毒爆發時，會占用大量的工業以太網絡帶寬，使任務實時性執行出現闖題，IDS入侵檢測系統能夠及時檢測出這種非法的占用，記錄下病毒發出的連接，向上層管理計算機發出警告，同時它不影響整體網絡的運行性能，非常適合工業以太網的網絡特點。

                                                                                   圖2IDS部署示意圖

         IPS(入侵防御系統)設備串接于路由器與防火墻，利用IPS能夠快速終結DDOS、未知的蠕蟲、異常應用程序流量攻擊所造成的網絡阻塞，實現對工業以太網的防護，同時它能保護防火墻和核心交換機等網絡設備免遭入侵和攻擊。IPS會在此類網絡攻擊擴散到網絡的其它地方之前阻止這個惡意的通信，在網絡中起到防御的作用。IPS將檢查入網的數據包，確定這種數據包的真正用途，然后決定是否允許這種數據包進入你的網絡。這種技術從源頭控制了對工業以太網的惡意攻擊。具體部署參考圖4。

                                                                               圖3 IPS入侵防御系統

        通過部署入侵檢測系統及入侵防御系統后，工廠信息安全的防護體系基本趨于完善。能夠對絕大多數病毒及攻擊進行有效的防護。

        第五層：安全可靠的現場設備

        上面的四層都是從外部因素進行防御，做為工廠信息安全的基礎部件，現場設備應該進行內部的防御。現場設備在選型時需要進行慎重的選擇，避免選擇一些功能系統不成熟的產品進行使用。如果已經選擇了一些比較老款的產品，企業需注意嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證。只有這樣，現場設備才能保障自身系統安全。

                                                                          圖4 工廠信息安全網絡架構

         四區域的劃分是按照業務職能和安全需求的不同www.cechina.cn，對網絡進行劃分，起到隔離、避免病毒任意擴散的作用。制造業企業的工業網絡可以按照以下幾個區域進行劃分：

         區域一：辦公網DMZ區域

        DMZ是英文“demilitarized zone”的縮寫，中文名稱為“隔離區”，也稱“非軍事化區”。它是為了解決安裝防火墻后外部網絡不能訪問內部網絡服務器的問題，而設立的一個非安全系統與安全系統之間的緩沖區，這個緩沖區位于企業內部網絡和外部網絡之間的小網絡區域內，在這個小網絡區域內可以放置一些必須公開的服務器設施，如企業Web服務器、FTP服務器和論壇等。另一方面，通過這樣一個DMZ區域，更加有效地保護了內部網絡，因為這種網絡部署，比起一般的防火墻方案，對攻擊者來說就多了一道關卡。

         區域二：辦公網絡區域在此區域中主要是為普通的辦公PC以及不對外開放的企業信息系統，如ERP、PDM等系統服務器的區域。對于攻擊者來說，從Internet網是無法直接訪問到此區域的電腦及服務器的。

         區域三：工業網絡的DMZ區域在此區域中主要存放包括MES系統、工業以太網IDS系統服務器。此區域主要是滿足ICS管理與監控需要的需要，還能將實時采集到的終端數據提供給辦公網絡區域的人員進行訪問。

         區域四：滿足自動化作業需要的控制區域此區域中主要滿足自動化設備，如可編程邏輯控制器(PLC)、遠程終端(RTU)、智能電子設備(IED)在內的各種采集器與上層系統(如MES系統)之間的數據傳遞。

         四、工廠信息安全防護體系的實施

        每種類型的企業對于工廠信息安全的防護要求也有所不同，根據不同類型企業， 采用的防護級別也有所不同。對于包括核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進制造、水利樞紐、環境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關的領域應該重點防護。重點防護領域的企業在防護時應該主動進行防護措施，包括完善網絡架構，采取工業網絡獨立運行，并且有備份網絡鏈路的措施。另外，慎重選擇工業控制系統設備;嚴格軟件升級、補丁安裝管理，嚴防病毒、木馬等惡意代碼侵入。關鍵工業控制系統軟件升級、補丁安裝前要請專業技術機構進行安全評估和驗證;采用雙網絡架構，有備份鏈路;有專業人員進行維護;有針對工業以太網安全防護的系統及安全措施。

        對于非重點行業的企業來說，也盡量將辦公網與工業以太網分開進行部署。因為目前在工廠內使用自動化程度較高的數控機床的企業越來越多CONTROL ENGINEERING China版權所有，而DNC系統的普及也對網絡要求也越來越高，一旦網絡出現故障就會導致程序無法傳輸而影響生產，而且由于數控機床也會采用基于WINDOWS平臺的數控系統，因此會受到網絡病毒的攻擊。因此獨立開辦公網與工業以太網是非常有必要的。如果能在網絡中部署IDS入侵檢測系統，是有利于避免因為網絡病毒而導致的工廠停工的事件發生。

         小結

        工廠信息安全問題是項系統工程，不能單純依靠和過分依賴某一種防護技術，任何安全措施都會有不足，各種安全措施能夠提高系統安全性，不可能保證系統絕對安全。信息安全問題是伴隨人類社會信息化的進程產生和發展的，必將會長期存在下去。這就要求我們時刻不能放松思想，爭取在第一時間發現問題，并能夠完善地解決問題，盡可能將損失降到最小。