隨著工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與企業(yè)網(wǎng)或互聯(lián)網(wǎng)互通，使得其他網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)很容易滲透到工控網(wǎng)絡(luò)。與此同時(shí)，工業(yè)生產(chǎn)網(wǎng)內(nèi)部各業(yè)務(wù)單元之間如果未采取邊界防護(hù)措施，一旦某個(gè)業(yè)務(wù)單元遭受病毒感染和惡意公司，將可能蔓延至整個(gè)工業(yè)網(wǎng)絡(luò)，造成嚴(yán)重后果。

工業(yè)網(wǎng)絡(luò)一般分為控制系統(tǒng)、業(yè)務(wù)局域網(wǎng)以及在某些情況下處于兩者之間的監(jiān)管隔離區(qū)（DMZ），與管理網(wǎng)和互聯(lián)網(wǎng)的連接一般受到控制，獨(dú)立性較高，因此對(duì)于邊界的防護(hù)分為以下三種情況：

(1) 工控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)沒(méi)有連接，則需要做好設(shè)備自身的安全防護(hù)，不需要新增邊界防護(hù)的設(shè)備

(2) 工控網(wǎng)絡(luò)與其他網(wǎng)有連接，則需要使用防火墻和網(wǎng)閘等防護(hù)設(shè)備進(jìn)行邊界防護(hù)

(3) 工控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)由連接，且通信實(shí)時(shí)性要求非常高，則需要企業(yè)采取彌補(bǔ)措施或依托專(zhuān)業(yè)機(jī)構(gòu)提供定制化的解決方案。

為了保護(hù)網(wǎng)絡(luò)邊界，企業(yè)一般采用如下措施來(lái)進(jìn)行邊界安全防護(hù)：

(1) 梳理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，確定工控網(wǎng)絡(luò)邊界

在部署網(wǎng)絡(luò)邊界防護(hù)設(shè)備之前，要清晰梳理網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，確認(rèn)工控網(wǎng)絡(luò)的內(nèi)外部邊界。除了要對(duì)工控網(wǎng)與其他網(wǎng)絡(luò)之間的邊界進(jìn)行安全防護(hù)以外，還需要對(duì)工控網(wǎng)絡(luò)內(nèi)部各業(yè)務(wù)單元（功能組）間的邊界進(jìn)行保護(hù)，以防止來(lái)自內(nèi)部的攻擊以及某些繞過(guò)邊界防御的攻擊（如使用物理設(shè)備把惡意軟件引入控制系統(tǒng)中等）。

在識(shí)別、劃分出工控網(wǎng)絡(luò)的各個(gè)區(qū)域以后，還需要：(1)確定每個(gè)區(qū)域的邊界，保障邊界防御能夠部署在正確的未知；(2)對(duì)網(wǎng)絡(luò)做出必要的變更，以保證網(wǎng)絡(luò)架構(gòu)與所定義的區(qū)域一致；(3)對(duì)區(qū)域進(jìn)行記錄，保證策略的制定與執(zhí)行以及安全配置邊界、安全防護(hù)設(shè)備的準(zhǔn)確性。

(2) 部署邊界防護(hù)設(shè)備

為了有效地實(shí)現(xiàn)工控網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間的邊界安全防護(hù)，在每個(gè)網(wǎng)絡(luò)邊界處部署一個(gè)或多個(gè)邊界安全設(shè)備，包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設(shè)備或者企業(yè)定制的邊界安全防護(hù)網(wǎng)關(guān)等。

生產(chǎn)網(wǎng)內(nèi)部各業(yè)務(wù)單元的邊界防護(hù)應(yīng)采取工業(yè)防火墻，根據(jù)各業(yè)務(wù)單元的業(yè)務(wù)特點(diǎn)、業(yè)務(wù)需求、安全防護(hù)等級(jí)等制定不同的安全訪問(wèn)控制策略，保證只有授權(quán)的訪問(wèn)操作才能進(jìn)入到各個(gè)區(qū)域。

生產(chǎn)網(wǎng)與其他網(wǎng)絡(luò)的邊界防護(hù)可采用網(wǎng)閘、工業(yè)防火墻以及結(jié)合其業(yè)務(wù)特點(diǎn)，采取定制化的解決方案。