背景：

    城市供水工控系统分为絮凝沉淀、过滤、储水、送水、排泥、排水、加氯、加药等重要工艺；不同工艺之间存在数据交互，为避免线路单点故障导致数据交互失败，采用冗余环网；主要采用Schneider、西门子、AB等品牌控制设备，及Siemens、Telvent、三维力控、亚控等品牌应用软件；主要应用Modbus、Profinet、EtherNet／IP（CIP）、OPC等工业协议。

现状分析：

    从入侵角度看安全现状：系统边界是安全防护的第一道大闸；通信网络是流量传输的主要载体；工作站自身的脆弱性成为黑客攻击得手的关键点

    从管理的角度看安全现状：厂区建设较早，缺乏相关管理制度建设；缺乏针对性安全管理办法；网络安全管理专员缺乏培训

网络安全工程设计思路：

    安全规划：风险评估、差距分析、明确目标

    安全建设：方案设计、确定方案、方案实施、管理制度

    评估检查：自行检查、等保测评

    安全运营：日常运营、应急演练、安全运维、不断改进、安全培训

方案描述：

    1、根据智能制造不同的网络层级、不同车间的不同工艺流程情况，划分安全域，结合纵深防御理念，构建安全防御体系

    2、增加工业防火墙强化安全区域边界访问控制能力

    3、通过网络威胁感知系统、入侵检测系统、工控安全监测与审计系统提高网络内、外入侵和恶意代码防御能力

    4、通过工业防火墙、工控主机卫士联动提高违规内联、外联检测能力，提高系统内主机病毒防范能力，主机身份认证能力，主机安全基线，入侵防范能力、保证业务配置文件不被篡改

    5、通过日志审计与分析系统提高日志审计能力

    6、通过安全运维管理系统加强运维人员行为管理

    7、建立统一安全管理中心，强化集中管控能力

    8、使用工控漏洞扫描平台通过技术手段完成定期自检