有三种选择可降低来自因特网的对过程控制系统的侵入,这取决于对控制风险的承受程度和能进行信息搜索之间的权衡:
1.独立网络。这是最为安全的,且最有限制性的方式,这种方法中,控制网络比较封闭,只允许经过授权的人员(包括公司内部或外部的人员)以物理读取方式控制操作员站和连接着的机械设备。
2.简单连接。简单地对控制网络和车间及商业网络进行连接,这是最为有效的方式,但是,运行结果往往难以预料。
3.智能连接。采用防火墙和路由器来分割网络。适当地建立防火墙,阻挡某些信息或某种信息,使网络管理员管理控制网络中的信息流的进入和输出。比如端口,如HTTP和RPC必须开放,控制网络的风险就会增加。而且,往往这些端口在很多应用中是需要开放的。
● 建立维护防火墙的保险措施和程序,确保得到正确的配置。此方案必须确认谁有权限更改防火墙,定义权限,或进行监督。过程控制中,最重要的因素是系统的安全性问题,而不是技术问题。
● 通过采用入侵检测系统加强防火墙的保护,它可监测网络信息流,
● 全球的所有的防火墙都不能仅靠一个密码来保证系统的安全。自动生成的密码的方法比较可取,有些工具能帮助产生和管理密码,如Password Minder和Password Safe。最后,不要让不重要的软件直接与连接在控制网络上的电脑接触。这可降低感染病毒的风险。
