1.酸洗冷連軋一層網(wǎng)絡(luò)中，工程師站、實際值處理服務(wù)器、過程數(shù)據(jù)采集服務(wù)器、實時數(shù)據(jù)采集站、HMI服務(wù)器、西門子工藝傳動控制操作站等部署可信計算安全產(chǎn)品，解決工控系統(tǒng)終端病毒感染、惡意代碼進(jìn)程啟動、操作系統(tǒng)內(nèi)核漏洞、USB誤用濫用等安全隱患，從根本上實現(xiàn)了對各種不安全因素的主動護(hù)。

2.自動化控制器和工程師站之間部署工業(yè)防火墻，防護(hù)隔離來自工程師站風(fēng)險。

3酸洗冷連軋自動化建設(shè)中沒有考慮到安全防護(hù)的問題，根據(jù)自動化施工圖所示，L1級設(shè)備和L2級設(shè)備都混雜連接到交換機(jī)上，使得L1級設(shè)備和L2級設(shè)備無法有條理的梳理，造成各個功能區(qū)不能有效的隔離。建議增加L1級交換機(jī)，把一個工藝段所有的PLC設(shè)備連接到專屬的了L1級交換機(jī)上，在交換機(jī)上聯(lián)的出口部署Guard工業(yè)防火墻，隔離L1級系統(tǒng)和L2級系統(tǒng)。L2級系統(tǒng)上聯(lián)二層網(wǎng)絡(luò)出口(172.17.32.13)部署Guard工業(yè)防火墻,隔離一層網(wǎng)絡(luò)和二層網(wǎng)絡(luò)。

酸洗工藝交換機(jī)（172.17.32.14）出口部署工業(yè)防火墻，隔離酸洗和冷軋兩套系統(tǒng)。

4.第三方系統(tǒng)德國米巴赫公司,冷軋廠激光焊機(jī)操作站部署工業(yè)防火墻，短信管理平臺部署可信計算平臺。隔離西門子自動化系統(tǒng)和第三方系統(tǒng)。

5．Cisco switch 3550-24EMI和Cisco switch 2960-S（新增設(shè)備）交換機(jī)上部署工控審計與異常監(jiān)測

包括功能如下：

? 網(wǎng)絡(luò)數(shù)據(jù)流量監(jiān)測；

? 網(wǎng)絡(luò)異常數(shù)據(jù)報警及追溯；

? 操作記錄及協(xié)議深度分析；（需要雙方配合）

? 信息竊取報警（通過網(wǎng)絡(luò)的文件或數(shù)據(jù)非法訪問及傳輸）；

? 未知設(shè)備接入；

6.建議在二層網(wǎng)絡(luò)中部署安全管理平臺

安全管理平臺接收來自工業(yè)網(wǎng)絡(luò)防火墻和可信終端的報警及日志。安全管理平臺具有工控網(wǎng)絡(luò)行為審計記錄的智能分析的功能，具備強(qiáng)大的審計日志存儲查詢功能，可以對海量的審計數(shù)據(jù)進(jìn)行實時監(jiān)控和網(wǎng)絡(luò)行為態(tài)勢分析，使系統(tǒng)安全運(yùn)維人員能夠通過實時日志展示畫面隨時監(jiān)控正在發(fā)生的不同級別審計日志和報警信息，也可以通過安全管理平臺的條件查詢、統(tǒng)計、篩選、圖表展示和態(tài)勢分析算法模型等強(qiáng)大的功能迅速得出網(wǎng)絡(luò)健康狀況，最終自動獲得詳細(xì)的統(tǒng)計分析報告和事件處置方式建議，實現(xiàn)系統(tǒng)安全運(yùn)維管理的實時性、完整性、自動化、智能化。

安全管理平臺針對工控網(wǎng)絡(luò)行為進(jìn)行監(jiān)控和與智能安全分析，監(jiān)控平臺以底層工業(yè)防火墻、工控可信計算安全平臺以及其他網(wǎng)絡(luò)設(shè)備為探針，針對內(nèi)置的“工業(yè)控制網(wǎng)絡(luò)通訊行為模型庫”核心模塊，能及時檢測工業(yè)網(wǎng)絡(luò)中出現(xiàn)的工業(yè)攻擊、蠕蟲病毒及非法入侵、設(shè)備異常等情況，并對危及系統(tǒng)網(wǎng)絡(luò)安全的因素做出智能預(yù)警分析，為管理者提供決策支持，以總覽大局的方式為工業(yè)網(wǎng)絡(luò)信息安全故障的及時排查、分析提供可靠地依據(jù)。

如以下拓?fù)鋱D所示：