安全技术措施设计

由于工业控制网络中多为自动化领域的设备及应用，其在技术执行过程中与传统信息领域有着较大的差异。故在工业控制系统安全体系设计过程中，需要基于等级保护“一个中心，三重防护”的核心理念，采用面向工业领域的专业安全技术手段，按区域、分层级进行安全防护。

安全通信网络设计要点

1、在工业控制系统与其它系统之间部署工控网闸，实现单向技术隔离；

2、在不同安全域边界部署工控防火墙，实现对通信链路的风险管控；

3、应用工控防火墙的VPN模块或采用独立VPN设备对无线传输过程进行加密，保证通信过程中数据的完整性、保密性。

安全区域边界设计要点

1、在工业控制系统与其它系统之间部署工控网闸，实现网络边界隔离和访问控制；

2、在生产区域内部各安全域间部署工控防火墙，对各安全域之间的访问行为进行细粒度控制；

3、部署工控审计、日志审计，对用户行为和安全事件进行审计和分析；

4、部署工控入侵检测与审计系统，对外部或内部发起的网络攻击行为进行检测、分析和预警防范。

安全计算环境设计要点

1、在工业主机上安装工控主机卫士软件，对主机应用和进程、外设接口、移动存储设备等进行管控，对用户操作行为进行审计；

2、部署运维审计系统，采用口令、生物技术等结合密码技术对用户进行身份鉴别，对用户登录和退出进行管理；

3、部署工控漏扫，对已知漏洞进行扫描和安全评估，对上线前的控制设备进行安全性检测；

4、应用工控防火墙的VPN模块或采用独立VPN设备保证重要数据在传输过程中的完整性、保密性。