導讀：超過60%deshoufanggongchengshibiaoshigongyeanquanwentiqueshilaiziyuneibuyuanyin。zhebingfeiyiweizhegongchangguyuanhuozhechengbaoshangyouyishixitongbaoluyueyigongji，anquanwentidoulaiziyuguyuandewuyizhiwei，yinweitamenbingbuzhixiaozhengquedeanquanguicheng。要建立一個強大的網絡安全檢查機製
，可以幫助企業抵禦來自外部和內部的各種威脅。

   工(gong)業(ye)控(kong)製(zhi)從(cong)專(zhuan)用(yong)係(xi)統(tong)向(xiang)開(kai)放(fang)式(shi)係(xi)統(tong)的(de)轉(zhuan)變(bian)使(shi)跨(kua)商(shang)業(ye)係(xi)統(tong)和(he)跨(kua)網(wang)絡(luo)的(de)無(wu)縫(feng)整(zheng)合(he)得(de)以(yi)實(shi)現(xian)，這(zhe)種(zhong)整(zheng)合(he)使(shi)控(kong)製(zhi)進(jin)一(yi)步(bu)優(you)化(hua)，使(shi)商(shang)業(ye)運(yun)營(ying)更(geng)加(jia)靈(ling)活(huo)。然(ran)而(er)，也(ye)恰(qia)恰(qia)是(shi)由(you)於(yu)係(xi)統(tong)之(zhi)間(jian)存(cun)在(zai)交(jiao)互(hu)工(gong)作(zuo)

，這(zhe)些(xie)係(xi)統(tong)才(cai)更(geng)加(jia)容(rong)易(yi)受(shou)到(dao)攻(gong)擊(ji)。從(cong)病(bing)毒(du)、蠕ru蟲chong到dao木mu馬ma和he數shu據ju篡cuan改gai

，各ge種zhong各ge樣yang的de網wang絡luo威wei脅xie對dui控kong製zhi係xi統tong造zao成cheng了le影ying響xiang，甚shen至zhi擾rao亂luan了le工gong廠chang作zuo業ye。過guo程cheng控kong製zhi領ling域yu近jin期qi的de網wang絡luo安an全quan事shi件jian表biao明ming
，如ru果guo不bu具ju備bei綜zong合he安an全quan策ce略lve，那na麼me工gong業ye控kong製zhi係xi統tong是shi十shi分fen脆cui弱ruo的de。

　　然而，即使具備了所有的安全策略

，有統計顯示工廠工程師所麵臨的最主要的威脅並非來自於外部——而大部分來自於工廠內部。

　　超過60%deshoufanggongchengshibiaoshigongyeanquanwentiqueshilaiziyuneibuyuanyin。zhebingfeiyiweizhegongchangguyuanhuozhechengbaoshangyouyishixitongbaoluyueyigongji，anquanwentidoulaiziyuguyuandewuyizhiwei，yinweitamenbingbuzhixiaozhengquedeanquanguicheng。

　　從上報的惡意事件分析，很多情況都是由惡意軟件導致，包括病毒、ruchonghemuma
，tamenbingfeizhuanmenzhenduishouyingxiangdegongchang。qitadeqingkuangne？shengxiadaduoshudeanquanwentijiushichuncuideshigu
，baokuoyonghushiwuhuozhepeizhiguzhangsuodaozhi。

　　例如，2006年Browns Ferry核he電dian站zhan控kong製zhi係xi統tong網wang絡luo上shang來lai自zi於yu兩liang家jia供gong應ying商shang的de產chan品pin之zhi間jian產chan生sheng了le巨ju量liang數shu據ju流liu，導dao致zhi控kong製zhi循xun環huan水shui係xi統tong的de冗rong餘yu驅qu動dong器qi失shi效xiao，進jin而er導dao致zhi核he電dian站zhan緊jin急ji停ting機ji。又you例li如ru2008年Edwin I. Hatch核電站在對其工廠的商務網絡中一台計算機進行軟件更新之後發生了緊急停機。

　　保護過程控製係統並非難如登天，實際上它是很容易實現的。將它看做一種健康的生活規律：就(jiu)像(xiang)人(ren)體(ti)需(xu)要(yao)規(gui)律(lv)的(de)生(sheng)活(huo)，控(kong)製(zhi)係(xi)統(tong)亦(yi)需(xu)要(yao)建(jian)立(li)規(gui)律(lv)的(de)檢(jian)查(zha)和(he)評(ping)估(gu)機(ji)製(zhi)。通(tong)過(guo)對(dui)網(wang)絡(luo)健(jian)康(kang)狀(zhuang)況(kuang)進(jin)行(xing)檢(jian)查(zha)

，獲(huo)得(de)控(kong)製(zhi)係(xi)統(tong)性(xing)能(neng)信(xin)息(xi)，工(gong)廠(chang)操(cao)作(zuo)人(ren)員(yuan)能(neng)夠(gou)判(pan)斷(duan)采(cai)取(qu)何(he)種(zhong)措(cuo)施(shi)才(cai)能(neng)為(wei)係(xi)統(tong)建(jian)立(li)起(qi)良(liang)好(hao)的(de)安(an)全(quan)策(ce)略(lve)。

　　完整的工作規程

　　Stuxnet病(bing)毒(du)的(de)威(wei)力(li)依(yi)舊(jiu)令(ling)人(ren)膽(dan)寒(han)，很(hen)多(duo)工(gong)廠(chang)操(cao)作(zuo)人(ren)員(yuan)試(shi)圖(tu)尋(xun)找(zhao)到(dao)一(yi)種(zhong)可(ke)以(yi)免(mian)受(shou)攻(gong)擊(ji)的(de)方(fang)法(fa)。實(shi)際(ji)上(shang)包(bao)治(zhi)百(bai)病(bing)的(de)方(fang)法(fa)並(bing)不(bu)存(cun)在(zai)。醫(yi)生(sheng)無(wu)法(fa)開(kai)出(chu)能(neng)夠(gou)確(que)保(bao)健(jian)康(kang)的(de)藥(yao)方(fang)
，健(jian)康(kang)是(shi)合(he)理(li)飲(yin)食(shi)、鍛煉、睡眠和控製體重的結果。確保控製係統不易受攻擊不能僅依靠單一方法，而需要依靠多種方法從多個方麵抵禦攻擊。

　　“Stuxnet病毒的威力依舊令人膽寒，很多工廠操作人員試圖尋找到一種可以免受攻擊的方法，實際上包治百病的方法並不存在。”

　　具有安全網絡的工廠必定能夠達到各種技術
、策(ce)略(lve)和(he)程(cheng)序(xu)的(de)穩(wen)固(gu)結(jie)合(he)以(yi)有(you)效(xiao)應(ying)對(dui)潛(qian)在(zai)威(wei)脅(xie)。這(zhe)與(yu)健(jian)康(kang)計(ji)劃(hua)很(hen)類(lei)似(si)，工(gong)廠(chang)首(shou)先(xian)需(xu)要(yao)定(ding)義(yi)各(ge)種(zhong)目(mu)標(biao)，明(ming)確(que)當(dang)前(qian)狀(zhuang)態(tai)，然(ran)後(hou)努(nu)力(li)達(da)到(dao)既(ji)定(ding)目(mu)標(biao)。

　　name
，lianghaodewangluojiankangzhuangkuangyinggaishishenmeyangzide
？youxielizihaishihenmingxiande，danshibingweibeiguangfandiluoshi。liru，gongyingshangdechanpintongchangdouyoumorenmima，erlingrenjingyadeshi，daduoshuqingkuangxiamorenmimabingweibeigaidongershiyanyongxiaqu。shiyongmorendemimahemorendeanquanshezhijiurutongzaikaicheshibuguanchemenyiyang。

　　其他簡單卻又經常被忽視的步驟包括微軟 Windows操cao作zuo係xi統tong補bu丁ding管guan理li和he防fang病bing毒du更geng新xin，這zhe些xie步bu驟zhou對dui於yu確que保bao網wang絡luo的de安an全quan性xing至zhi關guan重zhong要yao。補bu丁ding可ke以yi使shi控kong製zhi係xi統tong保bao持chi最zui新xin，通tong常chang發fa現xian新xin漏lou洞dong的de同tong時shi，新xin的de補bu丁ding都dou會hui發fa布bu。如ru果guo不bu及ji時shi更geng新xin補bu丁ding，即ji使shi知zhi道dao漏lou洞dong所suo在zai
，係xi統tong仍reng舊jiu易yi受shou攻gong擊ji。

　　過(guo)程(cheng)控(kong)製(zhi)供(gong)應(ying)商(shang)在(zai)測(ce)評(ping)防(fang)病(bing)毒(du)軟(ruan)件(jian)上(shang)也(ye)有(you)用(yong)武(wu)之(zhi)地(di)，在(zai)評(ping)估(gu)微(wei)軟(ruan)安(an)全(quan)升(sheng)級(ji)之(zhi)類(lei)的(de)補(bu)丁(ding)中(zhong)他(ta)們(men)也(ye)應(ying)該(gai)有(you)所(suo)作(zuo)為(wei)。選(xuan)擇(ze)經(jing)過(guo)評(ping)估(gu)的(de)防(fang)病(bing)毒(du)軟(ruan)件(jian)對(dui)工(gong)廠(chang)大(da)有(you)裨(bi)益(yi)
，先(xian)進(jin)的(de)防(fang)病(bing)毒(du)軟(ruan)件(jian)必(bi)定(ding)比(bi)同(tong)類(lei)軟(ruan)件(jian)有(you)見(jian)長(chang)之(zhi)處(chu)。供(gong)應(ying)商(shang)也(ye)可(ke)以(yi)采(cai)用(yong)有(you)利(li)於(yu)係(xi)統(tong)安(an)全(quan)性(xing)的(de)鎖(suo)定(ding)模(mo)式(shi)
，為(wei)用(yong)戶(hu)提(ti)供(gong)預(yu)設(she)的(de)文(wen)件(jian)、地址和注冊碼等安全設置，抵禦來自惡意用戶和無意失誤造成的惡意軟件攻擊。

　　例如存儲卡之類的便攜式存儲設備的使用方針必須定義並嚴格執行，在USB端口上插入存儲卡能夠避開用來抵禦感染的所有網絡安全機製。例如
，Stuxnet蠕蟲的感染機製之一就是通過USB存儲卡進入毫無防備的係統。

　　理解深度防禦

　　bingfeisuoyouyonglaihuodewangluoanquandebuzhoudouxianeryijianbingqieyiyulijie，tebieshidangtaolunshendufangyushi。goujianshendufangyudeshouyaoqiantishigoujianduocengfangyutixiyonglaidiyuweixie。wangluoanquanshouduanzenyangcainengshixianfencengne？

　　依據ANSI/ISA-99或者IEC 62443標(biao)準(zhun)，網(wang)絡(luo)安(an)全(quan)最(zui)佳(jia)方(fang)式(shi)是(shi)分(fen)層(ceng)或(huo)者(zhe)分(fen)區(qu)，這(zhe)種(zhong)方(fang)法(fa)能(neng)夠(gou)幫(bang)助(zhu)抵(di)禦(yu)威(wei)脅(xie)，並(bing)能(neng)夠(gou)阻(zu)止(zhi)病(bing)毒(du)在(zai)整(zheng)個(ge)網(wang)絡(luo)中(zhong)傳(chuan)播(bo)。關(guan)鍵(jian)的(de)自(zi)動(dong)化(hua)和(he)控(kong)製(zhi)設(she)備(bei)應(ying)該(gai)分(fen)在(zai)一(yi)組(zu)
，分(fen)享(xiang)共(gong)同(tong)的(de)安(an)全(quan)層(ceng)級(ji)要(yao)求(qiu)。這(zhe)些(xie)區(qu)域(yu)之(zhi)間(jian)的(de)通(tong)訊(xun)必(bi)須(xu)經(jing)過(guo)受(shou)保(bao)護(hu)和(he)監(jian)控(kong)的(de)通(tong)路(lu)來(lai)實(shi)現(xian)，在(zai)這(zhe)些(xie)區(qu)域(yu)之(zhi)間(jian)規(gui)範(fan)數(shu)據(ju)的(de)流(liu)通(tong)以(yi)實(shi)現(xian)更(geng)安(an)全(quan)的(de)通(tong)訊(xun)。

　　ISA-99定義了高、中、低di三san層ceng的de安an全quan區qu。通tong過guo分fen析xi工gong廠chang的de風feng險xian分fen析xi，並bing考kao慮lv到dao可ke能neng出chu現xian的de威wei脅xie的de嚴yan重zhong程cheng度du和he範fan圍wei

，每mei個ge區qu域yu都dou需xu要yao定ding義yi安an全quan級ji別bie目mu標biao。每mei個ge區qu域yu內nei的de設she備bei都dou需xu要yao具ju有you相xiang應ying安an全quan級ji別bie的de能neng力li
，當dang這zhe種zhong能neng力li低di於yu該gai區qu域yu的de安an全quan級ji別bie目mu標biao時shi，必bi須xu使shi用yong安an全quan技ji術shu或huo者zhe安an全quan策ce略lve來lai平ping衡heng這zhe兩liang者zhe之zhi間jian的de關guan係xi，這zhe有you助zhu於yu降jiang低di風feng險xian。

　　shiyongzhezhongfangfa，wangluoanquangengjiarongyiguanli。tongguohuafenanquanquyu
，zhiyouzaianquanjibiemubiaoxuyaotiaozhengdeshihoucaihuitigaoanquancengji，erzheyiqiedouketongguoqianzaidefengxianlaipanduan。

　　基於安全區域同樣會提升威脅檢測能力（假設威脅檢測能力是安全區策略的一部分）。確que定ding那na些xie必bi定ding會hui發fa生sheng的de問wen題ti的de來lai源yuan是shi較jiao為wei簡jian單dan的de，因yin為wei工gong廠chang操cao作zuo人ren員yuan能neng夠gou在zai源yuan頭tou解jie決jue問wen題ti
，並bing找zhao到dao其qi他ta直zhi接jie的de威wei脅xie。合he理li的de分fen隔ge能neng夠gou將jiang區qu域yu之zhi間jian的de通tong訊xun限xian製zhi在zai必bi要yao程cheng度du之zhi下xia，並bing且qie僅jin僅jin通tong過guo被bei定ding義yi的de和he受shou到dao保bao護hu的de通tong路lu進jin行xing通tong訊xun。這zhe會hui阻zu止zhi問wen題ti向xiang其qi他ta區qu域yu擴kuo散san，包bao括kuo關guan鍵jian的de控kong製zhi係xi統tong。這zhe種zhong強qiang大da的de防fang禦yu能neng夠gou搭da建jian一yi步bu一yi步bu深shen入ru的de安an全quan策ce略lve
，在zai區qu域yu內nei創chuang建jian更geng多duo區qu。這zhe種zhong機ji製zhi能neng夠gou阻zu止zhi在zai其qi中zhong一yi個ge小xiao區qu域yu內nei發fa生sheng的de內nei部bu操cao作zuo人ren員yuan的de失shi誤wu在zai整zheng個ge區qu域yu內nei蔓man延yan，為wei多duo個ge安an全quan層ceng次ci搭da建jian防fang禦yu係xi統tong。

　　“全麵的評估覆蓋了網絡所有部分

，工廠管理人員從而知曉工廠距離工業標準和那些優秀的案例還有哪些需要改進之處。”

　　分層的原則遵循重要性的邏輯排序。分層網絡提供了多層防禦係統，並將最關鍵的係統位於最深層。

　　層1：關鍵設備、過程控製器和I/O工作於層1。大體來說，這些關鍵的嵌入式控製器件應該使用控製防火牆與網絡隔離開來。

　　層2：過程控製操作員站點和監管控製工作於此層級中。操作員站點一般就是Windows站zhan點dian，需xu要yao使shi用yong高gao等deng級ji的de安an全quan模mo型xing來lai鎖suo定ding節jie點dian，使shi用yong基ji於yu節jie點dian的de防fang火huo牆qiang並bing采cai用yong專zhuan用yong的de網wang絡luo技ji術shu來lai限xian製zhi網wang絡luo異yi常chang
，並bing考kao慮lv到dao可ke能neng出chu現xian的de威wei脅xie的de嚴yan重zhong程cheng度du和he範fan圍wei，每mei個ge區qu域yu都dou需xu要yao定ding義yi安an全quan級ji別bie目mu標biao。每mei個ge區qu域yu內nei的de設she備bei都dou需xu要yao具ju有you相xiang應ying安an全quan級ji別bie的de能neng力li，當dang這zhe種zhong能neng力li低di於yu該gai區qu域yu的de安an全quan級ji別bie目mu標biao時shi，必bi須xu使shi用yong安an全quan技ji術shu或huo者zhe安an全quan策ce略lve來lai平ping衡heng這zhe兩liang者zhe之zhi間jian的de關guan係xi

，這zhe有you助zhu於yu降jiang低di風feng險xian。

　　shiyongzhezhongfangfa
，wangluoanquangengjiarongyiguanli。tongguohuafenanquanquyu，zhiyouzaianquanjibiemubiaoxuyaotiaozhengdeshihoucaihuitigaoanquancengji，erzheyiqiedouketongguoqianzaidefengxianlaipanduan。

　　基於安全區域同樣會提升威脅檢測能力（假設威脅檢測能力是安全區策略的一部分）。確que定ding那na些xie必bi定ding會hui發fa生sheng的de問wen題ti的de來lai源yuan是shi較jiao為wei簡jian單dan的de
，因yin為wei工gong廠chang操cao作zuo人ren員yuan能neng夠gou在zai源yuan頭tou解jie決jue問wen題ti，並bing找zhao到dao其qi他ta直zhi接jie的de威wei脅xie。合he理li的de分fen隔ge能neng夠gou將jiang區qu域yu之zhi間jian的de通tong訊xun限xian製zhi在zai必bi要yao程cheng度du之zhi下xia，並bing且qie僅jin僅jin通tong過guo被bei定ding義yi的de和he受shou到dao保bao護hu的de通tong路lu進jin行xing通tong訊xun。這zhe會hui阻zu止zhi問wen題ti向xiang其qi他ta區qu域yu擴kuo散san
，包bao括kuo關guan鍵jian的de控kong製zhi係xi統tong。這zhe種zhong強qiang大da的de防fang禦yu能neng夠gou搭da建jian一yi步bu一yi步bu深shen入ru的de安an全quan策ce略lve，在zai區qu域yu內nei創chuang建jian更geng多duo區qu。這zhe種zhong機ji製zhi能neng夠gou阻zu止zhi在zai其qi中zhong一yi個ge小xiao區qu域yu內nei發fa生sheng的de內nei部bu操cao作zuo人ren員yuan的de失shi誤wu在zai整zheng個ge區qu域yu內nei蔓man延yan

，為wei多duo個ge安an全quan層ceng次ci搭da建jian防fang禦yu係xi統tong。

　　分層的原則遵循重要性的邏輯排序。分層網絡提供了多層防禦係統，並將最關鍵的係統位於最深層。

　　層1：關鍵設備、過程控製器和I/O工作於層1。大體來說
，這些關鍵的嵌入式控製器件應該使用控製防火牆與網絡隔離開來。

　　層2：過程控製操作員站點和監管控製工作於此層級中。操作員站點一般就是Windows站點
，需要使用高等級的安全模型來鎖定節點，使用基於節點的防火牆並采用專用的網絡技術來限製網絡異常
，例如廣播風暴。

　　層3：此層級包括現場或者工廠範圍的控製應用，例如先進控製和優化作業。在層3和層2的過程控製係統之間必須使用安全網關
，僅允許控製所需的通訊。具有準入控製和通訊過濾規則的防火牆能夠幫助實現這種隔離。

　　層4：商業係統通常位於這一層並與工廠網絡連接。層3和層4zhijiandelianjieshianquanwentiyifadehuanjie。duiyuguochengkongzhiwangluoheshangyexitongwangluozhijiandelianjiebixuewailiuyibingcaiqugelicuoshi，shixianfangfazhiyijiushigoujiangeliqu（DMZ），謹慎管理過程和商業係統之間的通訊。

　　DMZ：過程控製DMZ也是安置企業曆史數據

、係統管理服務器和固定管理/防病毒服務器的好地方。

　　采用多層安全防護之後，就可以降低安全風險


，並依舊保留網絡和係統的交互性。

　　網絡健康體檢

　　一(yi)旦(dan)明(ming)確(que)了(le)工(gong)業(ye)工(gong)廠(chang)健(jian)康(kang)的(de)網(wang)絡(luo)安(an)全(quan)體(ti)係(xi)結(jie)構(gou)的(de)要(yao)件(jian)，工(gong)廠(chang)管(guan)理(li)層(ceng)就(jiu)可(ke)以(yi)對(dui)工(gong)廠(chang)的(de)現(xian)狀(zhuang)進(jin)行(xing)評(ping)估(gu)

，識(shi)別(bie)易(yi)受(shou)攻(gong)擊(ji)點(dian)，如(ru)果(guo)必(bi)要(yao)的(de)話(hua)，采(cai)取(qu)措(cuo)施(shi)提(ti)升(sheng)網(wang)絡(luo)安(an)全(quan)狀(zhuang)況(kuang)。

　　要想理解深度防禦需要從分析係統和係統間的交互作用開始。通過分析工廠的風險，

　　並考慮到可能出現的威脅的嚴重程度和範圍
，每個區域都需要定義安全級別目標。

　　通過徹查工廠網絡、zhengceheliucheng
，fengxianpinggukeyifaxianxitongzhongcunzaideyishougongjidian。liru，chezhawangluokeyifaxianhechudeshejituzhiyijingxuyaogengxinle
，yijinagequyushifengxianchengduzuigaodequyu。ranhou，jiukeyishibiechuquanbudeweixian
，erbuhuijinjinjiangmuguangjuxianzaiyixieteshugongjishang，liruStuxnet類型的攻擊。一旦發現並評估了所有的威脅，工廠管理人員就能夠將這些威脅排序
，先從具有最高發生可能性和影響最大的威脅入手。

　　zhengruxuyaoduixianyoujishushouduanjinxingquanbupingguyiyang
，duixianyourenshizhengceheliuchengdeyouxiaoxingjinxingpingguyeshishifenguanjiande。liru，laifangrenyuanhegongyingshangzaicanguangongchangzhiqianbixujingguoyidingdebuzhoucainenggouzhunru
，zhexiebuzhoudaduoshudouhuibaokuoyixieanquanpeixun，bingqiehuicaiquyixiecuoshilaipingbigongchangneizaideanquanfengxian，liruyingzhimaozi
、防護服和鐵頭靴之類。

　　kaolvwangluoanquantongyangzhongyao，duilaifangrenyuanhegongyingshangjinxingpeixunbingzhidingyidingdegongchangxingweiguifan，keyijiangwangluoweixiedefengxianjiangdi。duiyuwaiburenyuanbixumingquegaozhitamenzaihechukeyishiyongzijidediannao，ruhejiankongzhexiejisuanjiyijiduiyuUSB磁盤采取什麼限製措施。例如，在進入工廠之前來訪人員必須將USB驅動器放置在門衛處保管。嚴格且麵麵俱到的政策能夠幫助外來人員明確工廠網絡安全文化的嚴肅性。

　　當(dang)然(ran)，對(dui)於(yu)雇(gu)員(yuan)也(ye)需(xu)要(yao)建(jian)立(li)起(qi)類(lei)似(si)的(de)文(wen)化(hua)。一(yi)旦(dan)有(you)了(le)各(ge)項(xiang)政(zheng)策(ce)，首(shou)要(yao)任(ren)務(wu)就(jiu)是(shi)明(ming)確(que)哪(na)些(xie)雇(gu)員(yuan)具(ju)有(you)準(zhun)入(ru)資(zi)格(ge)。必(bi)須(xu)根(gen)據(ju)員(yuan)工(gong)職(zhi)責(ze)所(suo)在(zai)的(de)層(ceng)級(ji)明(ming)確(que)限(xian)製(zhi)準(zhun)入(ru)條(tiao)件(jian)。可(ke)以(yi)考(kao)慮(lv)引(yin)入(ru)工(gong)程(cheng)角(jiao)色(se)策(ce)略(lve)，也(ye)就(jiu)是(shi)根(gen)據(ju)預(yu)先(xian)設(she)置(zhi)的(de)小(xiao)組(zu)和(he)小(xiao)組(zu)政(zheng)策(ce)所(suo)允(yun)許(xu)的(de)計(ji)算(suan)機(ji)行(xing)為(wei)來(lai)搭(da)建(jian)模(mo)型(xing)。例(li)如(ru)
，如(ru)果(guo)工(gong)程(cheng)角(jiao)色(se)定(ding)義(yi)對(dui)於(yu)操(cao)作(zuo)人(ren)員(yuan)的(de)政(zheng)策(ce)是(shi)鎖(suo)定(ding)
，那(na)麼(me)這(zhe)些(xie)操(cao)作(zuo)人(ren)員(yuan)就(jiu)嚴(yan)禁(jin)操(cao)作(zuo)過(guo)程(cheng)應(ying)用(yong)。工(gong)廠(chang)也(ye)應(ying)該(gai)考(kao)慮(lv)在(zai)操(cao)作(zuo)人(ren)員(yuan)計(ji)算(suan)機(ji)上(shang)采(cai)用(yong)這(zhe)些(xie)程(cheng)序(xu)。監(jian)督(du)人(ren)員(yuan)具(ju)有(you)受(shou)保(bao)護(hu)訪(fang)問(wen)權(quan)限(xian)
，而(er)工(gong)程(cheng)師(shi)雖(sui)然(ran)具(ju)有(you)更(geng)多(duo)的(de)準(zhun)入(ru)權(quan)限(xian)，但(dan)是(shi)仍(reng)舊(jiu)限(xian)製(zhi)其(qi)觸(chu)及(ji)很(hen)多(duo)相(xiang)關(guan)的(de)工(gong)程(cheng)功(gong)能(neng)。管(guan)理(li)員(yuan)具(ju)有(you)不(bu)受(shou)限(xian)製(zhi)的(de)準(zhun)入(ru)權(quan)限(xian)，但(dan)是(shi)要(yao)求(qiu)采(cai)用(yong)更(geng)高(gao)等(deng)級(ji)的(de)安(an)全(quan)設(she)置(zhi)並(bing)對(dui)於(yu)準(zhun)入(ru)密(mi)碼(ma)做(zuo)更(geng)頻(pin)繁(fan)地(di)更(geng)改(gai)。需(xu)要(yao)指(zhi)出(chu)的(de)是(shi)，隻(zhi)有(you)更(geng)可(ke)靠(kao)的(de)用(yong)戶(hu)才(cai)能(neng)擁(yong)有(you)更(geng)高(gao)的(de)權(quan)限(xian)。

　　全quan麵mian的de評ping估gu將jiang覆fu蓋gai網wang絡luo所suo有you部bu分fen
，工gong廠chang管guan理li人ren員yuan從cong而er知zhi曉xiao工gong廠chang距ju離li工gong業ye標biao準zhun和he那na些xie優you秀xiu的de案an例li還hai有you哪na些xie需xu要yao改gai進jin之zhi處chu。通tong過guo這zhe種zhong評ping估gu，工gong廠chang管guan理li人ren員yuan就jiu能neng識shi別bie並bing將jiang易yi受shou攻gong擊ji點dian排pai序xu，以yi確que定ding需xu要yao采cai取qu何he種zhong策ce略lve來lai提ti供gong網wang絡luo安an全quan性xing。

　　下一步就是使用根據自身需求定製的安全管理程序來糾正網絡、策ce略lve和he程cheng序xu。正zheng如ru每mei個ge不bu同tong的de個ge人ren，每mei個ge網wang絡luo也ye是shi獨du一yi無wu二er的de。每mei個ge工gong業ye工gong廠chang的de安an全quan管guan理li程cheng序xu應ying該gai根gen據ju自zi身shen需xu求qiu定ding製zhi
，以yi保bao護hu工gong廠chang最zui有you價jia值zhi的de功gong能neng
，抵di禦yu最zui大da的de威wei脅xie。

　　新的文化

　　維wei護hu網wang絡luo安an全quan性xing很hen容rong易yi被bei忽hu視shi

，曾zeng經jing更geng換huan過guo鍛duan煉lian計ji劃hua或huo者zhe更geng換huan過guo食shi譜pu的de人ren都dou熟shu知zhi采cai納na並bing保bao持chi新xin規gui律lv是shi一yi項xiang挑tiao戰zhan。然ran而er

，如ru果guo不bu能neng自zi律lv，後hou果guo很hen嚴yan重zhong
，沒mei有you嚴yan格ge的de規gui章zhang製zhi度du可ke循xun，工gong業ye工gong廠chang安an全quan性xing就jiu會hui降jiang低di
，更geng容rong易yi受shou到dao內nei部bu威wei脅xie的de攻gong擊ji。

　　yanshouwangluojiankangjianzhaguichengdezhongyaoxingbuyayujianlizhegeguicheng。zhishishiquebaowangluoanquandeguanjian，zaidiyuwangluogongjishang，renyuanshigongyegongchangzuiqiangdadeziyuan。mingquewangluoyishougongjidianbingzhidaoheweianquanwangluodeyuangongjiangshigongzuocelvedezuihaozhengming，zheyenengjianshaochangjianshigufashengdekenengxing。

　　liru，jianliyigekuazhinengbumendeyuangongzuchengdeanquanxiangyingtuandui
，keyijianshiwangluodemeiyigebufen。zhenengjiangdiyouyibaoluyueyiruanjiandekenengxing。tongguojuxingdingqijuxinghuiyitantaozuixindeweixiehejishu，anquantuanduikeyiquebaolingxianyuqianzaiweixie，jishifaxianhejiejueanquanyinhuan。

　　健(jian)康(kang)不(bu)是(shi)簡(jian)單(dan)的(de)沒(mei)有(you)疼(teng)痛(tong)或(huo)者(zhe)疾(ji)病(bing)
，健(jian)康(kang)是(shi)肉(rou)體(ti)和(he)精(jing)神(shen)同(tong)時(shi)達(da)到(dao)優(you)良(liang)狀(zhuang)態(tai)。因(yin)此(ci)，網(wang)絡(luo)安(an)全(quan)也(ye)不(bu)僅(jin)僅(jin)是(shi)摒(bing)除(chu)網(wang)絡(luo)威(wei)脅(xie)，而(er)是(shi)具(ju)有(you)強(qiang)健(jian)的(de)預(yu)先(xian)抵(di)禦(yu)機(ji)製(zhi)
，克(ke)服(fu)任(ren)何(he)問(wen)題(ti)，確(que)保(bao)作(zuo)業(ye)不(bu)間(jian)斷(duan)。堅(jian)守(shou)這(zhe)些(xie)優(you)秀(xiu)的(de)應(ying)用(yong)案(an)例(li)和(he)程(cheng)序(xu)能(neng)夠(gou)幫(bang)助(zhu)工(gong)廠(chang)管(guan)理(li)人(ren)員(yuan)保(bao)護(hu)網(wang)絡(luo)遠(yuan)離(li)內(nei)部(bu)危(wei)險(xian)。

　　國內知名的學術專家和企業代表就上述內容結合中國實際發表了各自的觀點：

　　王誌良主任
、教授

　　北京科技大學物聯網係

　　物聯網已經成為一種信息技術大趨勢，隨之而來的物聯網安全問題也開始凸現出來。尤其是在工業控製領域，設備安全、控製安全、信息安全
、網絡安全

，將會成為控製工程師的技術課題研究內容，這些都會改變未來工業領域的技術與產品格局。

　　肖維榮 總經理

　　貝加萊工業自動化（上海）有限公司

　　功能安全
、設備（人身）anquanyijixinxianquanshigongyeanquandejibenneihan。gongnenganquanheshebeihuorenshenanquanshuyugongyeanquanbiaozhundefanchoukongzhigongchengwangbanquansuoyou，erxinxianquanzeshuyuqiyexinxiguanlidegainian。qianzheshiyoubiaozhun（如SIL）來保證的，後者則需要安全方案來保證。

　　華鎔全球標準及貿易部中國區經理

　　羅克韋爾自動化（中國）有限公司

　　伊朗的核設施遭受“震網”的(de)攻(gong)擊(ji)，引(yin)起(qi)了(le)世(shi)界(jie)工(gong)業(ye)界(jie)的(de)震(zhen)驚(jing)和(he)警(jing)惕(ti)
，各(ge)自(zi)動(dong)化(hua)廠(chang)商(shang)也(ye)采(cai)取(qu)了(le)應(ying)對(dui)措(cuo)施(shi)，幫(bang)助(zhu)企(qi)業(ye)用(yong)戶(hu)解(jie)決(jue)類(lei)似(si)危(wei)機(ji)。中(zhong)國(guo)的(de)企(qi)業(ye)特(te)別(bie)是(shi)在(zai)關(guan)鍵(jian)性(xing)行(xing)業(ye)，如(ru)能(neng)源(yuan)、交通、通信等，應利用這個契機，對企業內的網絡進行一次清查，排除隱患。

　　郝培 產品及市場經理

　　百通赫思曼亞太區工業以太網

　　經由企業的內部網絡
，來自控製室/中心的遠程訪問鏈路、USB閃存、移動筆記本電腦，病毒和駭客攻擊可以很輕易的到訪任何一個不設防的關鍵部件。更何況你也許還不知道
，改變一個基於Modbus這一廣泛使用的通訊協議的控製器內的功能代碼或寄存器數據使其誤動作或離線
、死機，居然不需要任何認證和加密！

　　陳建銘 產品經理

　　Moxa公司工業以太網事業部

　　網絡安全已成為中國工業自動化發展中必需考慮項目，除了作者提及的”深度防禦”的方式外，工業網絡的安全性還可以注意2點: (1) 使用VPN技術(Virtual Private Network)

，以提高遠程連入、監控(Remote Access)的安全性。(2)選用工業規格如無風扇

、-40~75度下操作的產品，以提高係統穩定度。

　　劉豔強 博士

　　EtherCAT技術協會 北京航空航天大學

　　堡(bao)壘(lei)往(wang)往(wang)都(dou)是(shi)從(cong)內(nei)部(bu)被(bei)攻(gong)破(po)的(de)，在(zai)建(jian)立(li)了(le)完(wan)善(shan)的(de)軟(ruan)硬(ying)件(jian)防(fang)護(hu)體(ti)係(xi)之(zhi)後(hou)，重(zhong)要(yao)的(de)是(shi)提(ti)高(gao)工(gong)廠(chang)內(nei)部(bu)的(de)管(guan)理(li)人(ren)員(yuan)和(he)操(cao)作(zuo)人(ren)員(yuan)的(de)安(an)全(quan)意(yi)識(shi)
，並(bing)建(jian)立(li)嚴(yan)格(ge)的(de)規(gui)章(zhang)製(zhi)度(du)，實(shi)施(shi)規(gui)範(fan)化(hua)的(de)工(gong)廠(chang)網(wang)絡(luo)訪(fang)問(wen)和(he)操(cao)作(zuo)流(liu)程(cheng)，從(cong)而(er)避(bi)免(mian)各(ge)種(zhong)有(you)意(yi)無(wu)意(yi)的(de)網(wang)絡(luo)安(an)全(quan)問(wen)題(ti)。