我觉得工业网络信息安全是一个很大的题目。
根据工业自动化网络分类，主要分成两大类：
一类是工厂自动化。这是指网络内的控制器是非基于Windows操作系统的，由PLC和驱动设备组成的工业以太网、PN网络。
另一类是过程自动化。主要由基于Windows操作系统的，工业计算机IPC为操作站的PCS7、WinCC工业网络。
对于我经常接触的工厂自动化（运行系统中，不含有基于Windows操作系统的站）说一下网络安全问题。
这类网络指的是以支持PN的PLC、触摸屏、驱动装置组成。这类PN网络内装置的特点是：使用专门的软件来组态，编程、调试。极少有针对它们的互联网病毒存在。因此，我认为这类PN网络的主要安全防护工作着重于防止非法、未授权接入。这种接入点的存在；
1、可能造成对程序的恶意删除、非法修改。
2、互联网探嗅、其它连接的存在，可能造成减缓、影响PN装置的响应时间。
这类接入点大致分为两类，一类是固定接入点（RJ45端口）；一类是无线接入点。
对于PN网络内装置上的所有固定接入点，如果组态了“网络拓扑”，则这些接入端口都是指定的连接伙伴。否则是（默认）“任意连接伙伴”；（新一代装置往往有2个PN端口）对于不使用的端口；应组态关闭该端口。在没有无线接入存在时，保留极少数的以太网端口（如驱动装置上的RJ45端口X127）用于调试。
另一类接入点是无线Wi-Fi接入点。
无线通讯是工业网络的发展趋势，只要做好相应的安全措施,还是可以无干扰地正常运行。
无线网络的“门户”就是SSID（广播的无线网络名称）；“门禁”就是无线接入的安全认证（认证、加密算法、密码）；“门卫”就是内网的静态IP地址分配表。
在一些含有移动装置（如移动小车）的网络内，SSID是漫游不可缺少的。如果网络内不存在移动漫游装置，应该考虑关闭SSID广播。关闭后，编程、调试的PC/PG仍然可以通过无线连接到此网络中（仍以已知的SSID名称连接）。这样避免了大量智能终端的连接“企图”。
无线接入的安全认证是必要的。这种认证只是"身份"认证；只是认证了无线接入者持有有效的密码。其加密算法也只是保证密码在通讯过程中不被泄露。并不能加密接入之后的通讯内容。
当前许多工业以太网设备包含了Web服务（新版的PLC、触摸屏、变频器），那么网络内DHCP服务有开启的必要。例如：可能需要通过任意智能手机访问变频器的页面。重点是设置、保留极少量的动态IP地址用于网内的Web访问。对于网内的每一台装置则通过静态IP地址分配和端口的MAC地址绑定。
更安全的做法是启用无线网络MAC地址过滤，只有指定的MAC地址设备（包括指定的智能手机、iPad）被允许通过无线网络接入。
对于ProfiNet网络的单一生产线来说，并不需要路由，交换机就可以完成组网。但对于多生产线的工厂管理来说（例如：需要生产线之间的负荷平衡）将以太网口（X127）接入路由器是一种选择。通过路由器的NAT转接功能，将管理层和现场、现场和现场隔离开来。
在使用路由器（包括管理型交换机、安全模块、无线模块）的情况下，登录路由器的安全性就变得极为重要。
通常，是采用浏览器来登录路由器的设置界面，在内网中，其地址通常就是网关的IP地址。如果登录用户名和密码使用默认值，非常容易猜到（搜索各家说明书、手册即可）。一旦被非法登录，一切信息安全都没有了。
在内网中（本地网络）只要对各MAC地址没有限定；这种登录可以来自任何没有关闭的网口；也可以来自获得授权（WiFi密码）的无线接入。因此，必须修改路由器管理登录的用户名和使用“强”密码。也可以考虑是否需要限定对路由器登录操作端（通过限定固定MAC地址）。但要注意，这是一把双刃剑（万一操作端坏了呢？）；所以要保存、备份路由器内的所有设置；否则只有复位重置了。
此外，也要考虑是否允许从外网（远程）登录管理界面？是否需要“绑定”登录者的MAC地址？这些都可以在路由器（安全模块）中设置。

说一下DMZ。DMZ虽说是隔离区，但实质上是将内网的一个指定IP地址（可以是PC，也可以是支持PN的PLC、变频器的CU等等）映射到外网。这时外部（包括来自Internet）对WAN口IP地址的访问就是对这个IP地址的访问。正常情况下，应该指向具有防火墙功能的服务器。特殊情况下（如远程调试）才暂时地指向上述PN设备（只要允许远程登录路由器管理界面，就可以远程修改指向）。
随着ProfiNet的发展，越来越多的PLC、触摸屏、驱动装置、变频器内置了Web服务，通过使用普通的浏览器就可以监视、修改变量、参数；甚至可以操作（通过自行编写的用户页面）这些装置、设备。在信息安全方面，同样需要细心地设置好每一个IP的Web服务的授权级别的登录用户名和密码。在使用路由器的情况下，启用虚拟服务VLAN的映射端口；将每一个具有Web服务的IP端口分配、设置好。如果有修改变量、参数的需求；甚至使用用户页面有控制的需求时，为了防止“监听、截获”通讯信息内容；可以启用https（加密的安全连接）。这时需要下载、并安装每一个Web服务的证书。这样就可以通过设定的端口号；远程安全地访问每个Web服务页面。
以上是我几年使用工业以太网和ProfiNet在工厂自动化应用时，对信息安全方面的一些认识。