一、基本的網絡信息安全考慮

網絡信息安全的觀念是關(guan) 於(yu) 保護網絡基礎架構本身；保護用於(yu) 建立和管理網絡功能的網絡協議。這些關(guan) 鍵概念用於(yu) 解決(jue) 方案的所有層次和區域。這些步驟幫助用戶保護IACS網絡和IACS應用，防止多種方式的攻擊。下麵內(nei) 容是信息安全基線的關(guan) 鍵區域：

● 基礎設備架構-對網絡基礎架構訪問的信息安全管理；

● 交換基礎架構-網絡訪問和第2層設計考慮；

● 路由基礎架構-保護網絡第3層路由功能，防止攻擊或誤用；

● 設備的彈性和可存性-保護網絡的彈性和可用性；

● 網絡遙測-監視和分析網絡行為(wei) 和狀態，對問題和攻擊做出識別和反應。

這些實踐可應用於(yu) 不同的層、區域和相關(guan) 的網絡架構。

二、IACS 網絡設備的保護

這個(ge) 概念描述了保護關(guan) 鍵IACS端點設備本身的實踐，特別是控製器和計算機。因為(wei) 這些設備在IACS中扮演著重要的角色，他們(men) 的信息安全是要給予特殊關(guan) 照。這些概念包括下麵內(nei) 容：

● 物理安全－這個(ge) 層限製區域、控製屏、IACS設備、電纜、控製室和其他位置的授權人的訪問，以及跟蹤訪問者和夥(huo) 伴；

● 計算機加固－這包括補丁程序管理和防病毒軟件，以及能夠刪除不使用的應用程序、協議和服務等；

● 應用信息安全－這包含鑒定、授權和審核軟件，諸如用於(yu) IACS應用的FactoryTalk的安；

● 控製器加固－這裏指處理變更管理和限製訪問。

三、單元/區域 IACS 網絡信息安全

應用於(yu) 單元/區域的關(guan) 鍵信息安全觀念包括下麵的部分：

● 端口信息安全，密碼維護，管理訪問單元/區域網絡基礎架構；

● 冗餘(yu) 和不需要服務的禁用；

● 網絡係統信息登錄，使用簡單網絡管理協議（SNMP）和網絡信息監視；

● 限製廣播信息區域，虛擬局域網（VLAN）和網絡協議的種類；

● 計算機和控製器的加固。

四、製造 IACS 網絡的信息安全

製造區域的設計考慮和實施要在早期階段討論，特別要考慮關(guan) 鍵的單元/區域。另外，應用這些考慮，用於(yu) 製造區的關(guan) 鍵信息安全考慮包括下麵內(nei) 容：

● 路由架構的更佳實踐，覆蓋路由協議成員和路由信息保護，以及路由狀態變化記錄；

● 網絡和信息安全監視；

● 服務器信息安全覆蓋端點信息安全；

● FactoryTalk應用信息安全。

五、隔離區和IACS防火牆

DMZ和工廠防火牆是一個(ge) 保護IACS網絡和IACS應用的基本措施。結合防火牆和DMZ的概念是用於(yu) IACS網絡信息安全的關(guan) 鍵的縱深防禦的方法。DMZ和工廠防火牆的設計和實施指南的關(guan) 鍵特性和功能包括以下方麵：

● 部署工廠防火牆管理在企業(ye) 和製造區之間的信息流。一個(ge) 工廠防火牆提供了下麵的功能：

在網絡區之間，通過指定的信息安全層建立的通信模式，比如建立隔離區DMZ；

在不同區域之間所有通信狀態包的檢查，如果在上麵允許的情況下；

從(cong) 一個(ge) 區域企圖訪問另一個(ge) 區域的資源時，強製執行用戶鑒定，比如從(cong) 企業(ye) 層企圖訪問DMZ的服務；

侵入保護服務（IPS）檢查在區域之間的通信流，設計成能夠識別和阻止各種潛在的攻擊。

● 不同區域之間的 DMZ中的數據和服務能夠安全地共享。

......

更多內(nei) 容歡迎交流。