當提及人機界麵接口時，安全和保安之間的區別往往可以很明確。Wonderware公司的針對基礎設施和平台產品的市場經理Steven Garbrecht說：“安全指的是嵌入PLC的控製操作和安全聯動裝置，它已經被設計到控製程序中了。”  
   
   保安是針對闖入控製係統意圖盜取信息或破壞的人。這是兩個不同的領域
，然而說到hmi
，安全和保安就有一些交集了。  
   
   適當的安全設計可以防止操作人員對產品或設備造成的損傷或破壞，並且可以使操作人員及時行動避免這種情況發生。1984年12月份

，印度Bhopal省的Union Carbidegongsideyijiagongchangfashenglezainanxingdeshigu，huaxuefanyingduishikong，zaochengchengdundeyiqingsuanjiazhixielu，chengqianderensiwang
，gengduoderenhuanbing。duiyucicishiguzhonganquanxitongshifougongzuodetaoluncunzaizhegefenqi，Union Carbide公司的立場是“造成如此大的事故隻可能是人為破壞。”而且他人卻十分不認同這種說法。

在這個製藥流程中，生產過程的啟動、控製和監控都是由操作員完成的，Wonderware Intouch 公司的HMI 軟件一步一步地知道操作員完成這個過程。 
如圖所示為工廠係統的總圖（左側），和樣品數據管理和審核流程。

   1979年美國Three Mile Island（PA）發(fa)生(sheng)的(de)核(he)工(gong)廠(chang)泄(xie)露(lu)事(shi)故(gu)中(zhong)，操(cao)作(zuo)人(ren)員(yuan)並(bing)沒(mei)有(you)意(yi)識(shi)到(dao)一(yi)個(ge)關(guan)鍵(jian)的(de)閥(fa)門(men)被(bei)打(da)開(kai)了(le)，雖(sui)然(ran)顯(xian)示(shi)時(shi)關(guan)閉(bi)的(de)。之(zhi)後(hou)他(ta)們(men)收(shou)到(dao)了(le)反(fan)應(ying)堆(dui)液(ye)位(wei)的(de)錯(cuo)誤(wu)信(xin)息(xi)。後(hou)來(lai)的(de)調(tiao)查(zha)顯(xian)示(shi)，被(bei)惡(e)意(yi)破(po)壞(huai)的(de)可(ke)能(neng)被(bei)排(pai)除(chu)，如(ru)果(guo)操(cao)作(zuo)人(ren)員(yuan)當(dang)時(shi)收(shou)到(dao)了(le)正(zheng)確(que)的(de)信(xin)息(xi)
，他(ta)們(men)就(jiu)能(neng)夠(gou)阻(zu)止(zhi)情(qing)況(kuang)失(shi)控(kong)。 
   
   確保不失控  
   
   誠然，確實有外部的惡意破壞者。Wonderware公司的信息安全（Infosec）分析師Rich Clark在一次題為“控製係統安全向導”的演講中

，列舉了17類情況，包括從不滿的員工到普通的罪犯，以致有組織的危害國家和政府安全的組織和個人。他說，這些人很難別確認，但“他們每天卻有很多目標可以攻擊。”  
   
   Garbrecht說：“從cong人ren機ji接jie口kou的de角jiao度du上shang
，有you三san種zhong主zhu要yao的de情qing況kuang，一yi是shi公gong司si以yi外wai的de某mou些xie人ren穿chuan越yue防fang火huo牆qiang，通tong過guo網wang絡luo進jin入ru公gong司si，並bing對dui人ren機ji接jie口kou做zuo了le某mou些xie改gai動dong。二er是shi公gong司si內nei部bu的de某mou些xie人ren以yi某mou種zhong原yuan因yin對dui公gong司si作zuo了le惡e意yi操cao作zuo。三san是shi公gong司si內nei部bu員yuan工gong，並bing不bu是shi有you意yi要yao做zuo惡e意yi攻gong擊ji，隻zhi是shi由you於yu誤wu操cao作zuo導dao致zhi流liu程cheng中zhong安an全quan或huo其qi他ta方fang麵mian的de問wen題ti。”  
   
   Clark說

，如果公司把控製係統的保安工作交給IT部門，那麼公司可能會有麻煩。ITrenyuantongguogelimeitaijiqilaidadaobaoan
，tamengelinaxiezhengzaishangwangdeheyoukenengxiedaibingduderen
，shitamenbuzhiyuyingxiangqiyezhongdeqitabufen。zhezhongfangfazaiIT領域確實奏效，但是它犧牲了機器之間通訊的便捷性，並且實時性能不好。  
   
   Clark繼續說道：“當(dang)控(kong)製(zhi)係(xi)統(tong)被(bei)設(she)計(ji)時(shi)，每(mei)台(tai)機(ji)器(qi)都(dou)設(she)計(ji)成(cheng)可(ke)以(yi)不(bu)受(shou)阻(zu)礙(ai)地(di)與(yu)另(ling)一(yi)台(tai)機(ji)器(qi)通(tong)訊(xun)。在(zai)控(kong)製(zhi)係(xi)統(tong)的(de)環(huan)境(jing)中(zhong)，更(geng)多(duo)的(de)機(ji)器(qi)既(ji)是(shi)服(fu)務(wu)器(qi)又(you)是(shi)客(ke)戶(hu)機(ji)，這(zhe)並(bing)不(bu)符(fu)合(he)IT領域中的客戶端服務器模型。”Clark指出
，控製係統的安全方案是將控製係統放在一麵保護牆後麵
，然後密切控製受保護區域的所有進出。  
   
   在控製係統和整個係統之間的所有通訊必須經過防火牆。California的一家生物製藥公司最近安裝了符合21 CFR 11 biaozhundeyongyuchulilishishujudexinxingxitong。suoyouyouguanguochengcuowuheshijiandexinxidoubeicunchuzaifuwuqizhongxuyaoderenkeyitiaoyong。danshigongchangdezhongyaoshujuhekongzhixinxidoushicunfangzaiyuzhenggexitonggelidewangluozhongde。  
   
   Clark引用了“having limited threat vectors。”他說，一個理想的安全控製係統應該滿足以下幾條： 
   
   ■與全部的威脅隔離，包括商業合作企業。 
   ■用強力抗侵蝕設備分層 
   ■隻有一個輸入輸出點 
   ■所有的係統自動化都在一個安全集合內 
   ■並且企業內的每一個置信機器可以無阻礙地訪問另一個置信機器  
   
   微軟公司稱這種安全模型為“網域隔離”。GE公司通過使用“Application Validator Utility”工具
，為它的iFIX軟件3.5版本添加了這種安全特性。這種軟件工具可以自動整理對係統文件和功能的修改

，減少安裝被無意和有意地危機的可能性。  
   
   Systek Automated Controls公司的工程副總裁（前International Automation 公司控製工程經理）Joe Quigg警告說：“有(you)意(yi)圖(tu)的(de)人(ren)可(ke)以(yi)製(zhi)造(zao)危(wei)險(xian)。對(dui)於(yu)以(yi)前(qian)的(de)係(xi)統(tong)，很(hen)多(duo)情(qing)況(kuang)下(xia)


，人(ren)們(men)可(ke)以(yi)不(bu)受(shou)阻(zu)礙(ai)和(he)無(wu)人(ren)監(jian)管(guan)地(di)對(dui)係(xi)統(tong)作(zuo)修(xiu)改(gai)和(he)改(gai)動(dong)。而(er)且(qie)這(zhe)種(zhong)修(xiu)改(gai)缺(que)乏(fa)文(wen)檔(dang)備(bei)案(an)機(ji)製(zhi)
，如(ru)果(guo)人(ren)們(men)改(gai)動(dong)了(le)係(xi)統(tong)，而(er)且(qie)沒(mei)有(you)備(bei)案(an)，那(na)就(jiu)根(gen)本(ben)無(wu)據(ju)可(ke)查(zha)。”他繼續說道：“很多邏輯係統都帶有硬件繼電器邏輯，如果某人可以打開控製麵板，那麼隻要他願意他就可以設置某些旁路。”  
   
   他繼續說道：“一(yi)個(ge)設(she)計(ji)精(jing)良(liang)的(de)現(xian)代(dai)係(xi)統(tong)被(bei)劃(hua)分(fen)為(wei)兩(liang)個(ge)部(bu)分(fen)，標(biao)準(zhun)部(bu)分(fen)，即(ji)日(ri)常(chang)的(de)控(kong)製(zhi)程(cheng)序(xu)
，它(ta)是(shi)開(kai)放(fang)式(shi)結(jie)構(gou)的(de)
，另(ling)一(yi)個(ge)是(shi)安(an)全(quan)不(bu)分(fen)，如(ru)果(guo)改(gai)動(dong)的(de)話(hua)就(jiu)會(hui)產(chan)生(sheng)危(wei)險(xian)，這(zhe)部(bu)分(fen)是(shi)被(bei)鎖(suo)定(ding)的(de)。隻(zhi)有(you)特(te)定(ding)的(de)人(ren)，使(shi)用(yong)正(zheng)確(que)的(de)密(mi)碼(ma)，經(jing)過(guo)培(pei)訓(xun)和(he)指(zhi)導(dao)才(cai)能(neng)夠(gou)對(dui)其(qi)進(jin)行(xing)修(xiu)改(gai)。”