由于以太网技术的优越性，使其在工业领域的各个方面得到了广泛的应用，甚至被应用到现场总线技术上，但对于工业领域中的安全的问题也随之而来。毕竟，生产系统的开放通信和网络规模的不断增大带来的不仅是巨大的机遇同时也带来了高的风险。为了提高工业工厂全面的IT安全防止被攻击，需要采取相应的措施。西门子向客户提供全面的工业信息安全支持，包括产品、系统、解决方案，以及专业的咨询服务。
工业信息安全不是一个单纯的技术问题，而是一个从意识培养开始，涉及到管理、流程、架构、技术、产品等各方面的系统工程。目前，部署纵深防御是工业领域应对安全挑战的现实方法。工业信息安全是一个动态过程，需要在整个工业基础设施生命周期的各个阶段中持续实施，不断改进。
在此希望大家就如下方面进行讨论：
1、工业安全与办公 安全有什么不同？
2、工业安全应从那几方面考虑？
3、工业安全的如何实施？
4、您的项目是否考虑了安全，从哪些方面考虑？
希望大家在此进行热烈的讨论，提出自己对自动化行业未来的发展的必然趋势（工业安全）的观点。

点击此处查看发帖整理

活动奖励：
此次集中交流将持续至11月20日，其中所有精华帖作者将获得加倍精华奖励积分；最终所有有效留帖的网友将获得加倍发帖积分。更多积分带给您更多奖品兑换的自由。
对于有突出发言贡献的网友，还可以在当前的可兑换奖品中免费挑选200分（含）以下任一款奖品。
交流结束后也将专门整理重要内容，供广大网友分享参考。
预祝大家交流愉快，收获丰富！

办公网络中，保密性是第一位的，其次是完整性与可靠性；但对于工业网络来说，可靠性是第一位的、其次才是完整性与保密性。
正是由于两种不同网络的需求是不一样的，所以在安全方面也是有所不同的。对于工业网络，考虑的是始终要保证网络正常运行、工厂正常生产；对于办公网络来说，保密性是最重要的，哪怕网络暂时不可用，但不能认重要的数据丢失或泄露。

现代工业控制网络系统（ICS:induSTrial control system）
工业控制系统面临的威胁是多样化的：
　　一方面，敌对*、恐怖组织、商业间谍、内部不法人员、外部非法入侵者等对系统虎视眈眈。国家关键基础所依赖的很多重要信息系统从技术特征上讲是ICS，而不是传统上我们熟悉的TCP／IP网络，其安全是国家经济稳定运行的关键，是信息战中敌方的重点攻击目标，攻击后果极其严重。另一方面，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对ICS造成破坏。在现代计算机和网络技术融合进ICS后，传统ICP／IP网络上常见的安全问题已经纷纷出现在ICS之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响工作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的主要原因和途径。
另一方而，系统复杂性、人为事故、操作失误、设备故障和自然灾害等也会对工CS造成破坏。在现代计算机和网络技术融合进ICS后，传统工网络上常见的安全问题已经纷纷出现在ICS之上。例如用户可以随意安装、运行各类应用软件、访问各类网站信息，这类行为不仅影响上作效率、浪费系统资源，而且还是病毒、木马等恶意代码进入系统的卞要原因和途径。
ICS的脆弱性分析
　　(1)策略和实施存在缺陷
　　上业控制系统的脆弱性通常是由于缺少完整而合理的策略文档或有效的实施过程而引起的，安全策略文档和管理支持是系统安全的基础，有效的安全策略在系统中的强制实施是减少系统而临的安全风险的前提。
　　(2)平台弱点
　　由于工Cs终端的安全防护技术措施十分薄弱，所以病毒、木马、黑客等攻击行为都利用这些安全弱点，在终端上发生、发起，并通过网络感染或破坏其他系统。事实是所有的入侵攻击都是从终端上发起的，黑客利用被攻击系统的漏洞窃取超级用户权限，肆意进行破坏。注入病毒也是从终端发起的，病毒程序利用操作系统对执行代码不检查一致性弱点，将病毒代码嵌入到执行代码程序，实现病毒传播。更为严重的是对合法的用户没有进行严格的访问控制，可以进行越权访问，造成不安全事故。
　　(3)网络弱点
　ICS的网络弱点一般来源于软件的漏洞、错误配置或者ICS网管理的失误。另外，ICS与其他网络连接时缺乏安全边界控制，也是常见的安全隐患。通过基于“深层防御”思路的网络设计、网络通信加密、网络流量控制、物理访问控制等措施，ICS的网络弱点可以有效避免。

　　可能导致ICs安全事件的因素有:

　　（1）控制系统发生拒绝服务;

　　（2）病毒感染：恶意或非恶意的个体引入病毒，从而引起不必要的系统死机和数据的侵蚀。

　　（3）较弱的或未受控制的物理安全机制：未授权的个体非法物理进入系统，从而获取信息。

　　（4）自然灾难引起的系统失败：自然灾难引起的系统部分或全部的中断，比如地震、火灾、洪水以及别的不可预知事件。

　　（5）拒绝服务：未授权的个体实施攻击，使系统组件暂时对合法用户的服务失效。

　　（6）访问特权的获取：无特权用户实施恶意攻击，获取系统特殊权限，从而达到其目的。

　　（7）操作人员的操作错误：合法用户无恶意的错误操作，通常是由于缺乏相应的知识或粗心造成的。
解决方案：
安全管理平台:负责其所在网络中各终端的安全策略的制定、维护和分发;严格管理模式:只允许终端安装和使用与业务相关的应用软件，禁比一切娱乐软件、聊天软件、理财软件等的安装和使用。

　　安全终端:安全控制系统最突出的特点是终端应用相对固定，要防范传统方式的病毒或木马等恶意软件，最直接的方式就是在应用加载之前对其进行真实性和完整性检查，但是随着攻击方式的不断改进，这种安全控制措施强度已经变得不够，因为类似rootkit这类攻击会对操作系统底层代码和系统服务产生破坏，因此对操作系统静态和动态内容也必须要进行有效的可信检查。

对于控制系统，白名单技术可以进行网络有效防护，可以阻止任何不包含在白名单中的非法应用程序的攻击，例如木马病毒等。
白名单(Whitelisting)保护机制能够确保只在PC 系统上运行可靠的程序和应用，这些机制禁止执行软件和修改已安装的应用。安装其它安全保护应用也可以实现这类保护功能，例如 McAfee Application Control 。
采用SIMATIC 产品白名单技术的主要优点：
1、对资源要求相对较低 ；
2、无定期模式更新的保护功能 ；
3、自动抵御第三方程序代码的风险(例如，通过 USB 棒) ；
4、有效防范"Zero-Day Exploits" ；
5、在现有系统上可以补装白名单。

ICS系统来说，对工厂进行分层管理，是一个切实有效的措施。通过DMZ（DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”）。DMZ相当于非安全系统与安全系统之间的缓冲区，内网中放置关键敏感数据，这就相当于就为应用系统提供了更安全的保障。DMZ使包含重要数据的内部系统免于直接暴露给外部网络而受到攻击，攻击者即使初步入侵成功，还要面临DMZ阻挡。