1　工业控制系统之间的通信

   过去，自动化系统是单独的、封闭的系统，也被称之为自动化的孤岛，随着对控制实时响应速度的不断提高，以及企业内部对数据互通等的需要，便增加了很多网络，使得控制系统中各个设备之间可以进行网络通信。通信方式的增多也就引发了黑客的攻击和病毒的入侵。
 
                        

   2　信息安全的实施

   没有任何一种方法可以阻止所有的系统攻击和病毒入侵，于是，我们需要使用纵深防御的方法增加防护等级。

     （1）  在企业网与控制网之间加防火墙
 
                         

   （2）在企业网与控制网之间加带隔离区防火墙
 
                     

   （3）在企业网与控制网之间加双防火墙
 
                   

   （4） 按用户要求定制信息安全方案
  
                  

  3　纵深防御的实施步骤

   （1）使用标准企业远程访问方案，基于客户机的形式，使用IP安保（IPsec）加密的虚拟个人网络（VPN）技术，通过因特网安全地连接企业的边界。VPN的建立需要对远程个人进行远程验证拨入用户服务（RADIUS），这通常是由IT部门组织实施和管理。

   （ 2 ） 使用隔离区（DMZ） / 防火墙中的访问控制列表（ACL），限制远程伙伴通过IPsec到工厂现场的访问。通过隔离区连接到工厂现场，只能使用一种安全浏览器（HTTPS）。

   （3）访问一个安全浏览器（HTTPS）门户应用，它运行于隔离区/防火墙上。这要求再次登录/验证。

   （4）在远程客户机和工厂的隔离区防火墙之间，使用一种安全套接字层（SSL）的虚拟个人网络（VPN）会话，并且限制通过HTTPS使用远程终端会话（比如，远程桌面协议）。

   （5）利用在防火墙上的侵入保护和检测系统（IPS/IDS），检查进出远程访问服务器的数据流，防止攻击和威胁，并适当地给予阻截。这对防止来自远程设备穿越防火墙和影响远程访问服务器的病毒和其他威胁是非常重要的。

   （6）允许远程用户执行终端会话，访问驻留在远程访问服务器中的自动化和控制应用。需要应用级的登录/验证。

  （7）执行应用安保功能，对访问远程访问服务器的用户，限制其应用功能（诸如只读，非在线功能）。

   （ 8 ） 把远程访问服务器分配到不同的虚拟局域网（VLAN），并且让所有在远程访问服务器到制造区域之间的数据流通过防火墙。对这个数据流使用侵入检测和保护服务，保护制造区域免受攻击、蠕虫和病毒的破坏。

   4　信息安全相关责任的划分
 
             

   5　结束语

   • 工业控制系统的信息安全及应用是工业安全的大事，为此国家和工信部已经发出了相关文件，责令工业企业以及关键性基础设施要对信息安全给予高度重视。

   • 希望自动化业界同仁能够一起努力，确保国民经济的平稳增长，确保我们的人身健康、企业资产、自然环境能够可持续、和谐地发展。