車間的信息安全就是應(yīng)該對(duì)工廠車間內(nèi)部的系統(tǒng)及終端設(shè)備進(jìn)行安全防護(hù)。根據(jù)工廠內(nèi)部所涉及的終端設(shè)備及系統(tǒng)，可分為工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過(guò)程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等網(wǎng)絡(luò)設(shè)備及工業(yè)控制系統(tǒng)的運(yùn)行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)*的訪問(wèn)、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務(wù)。
　　
　　1.CPS層網(wǎng)絡(luò)防護(hù)
　　
　　對(duì)于CPS層而言，可通過(guò)設(shè)置防火墻將車間底層網(wǎng)絡(luò)和Internet網(wǎng)分開，從而保護(hù)底層網(wǎng)絡(luò)免受非法用戶的侵入。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。通過(guò)此層的防御，可以過(guò)濾掉絕大多數(shù)的網(wǎng)絡(luò)攻擊。此外，可通過(guò)安全網(wǎng)關(guān)提供從協(xié)議級(jí)過(guò)濾到應(yīng)用級(jí)過(guò)濾。入侵者如果成功穿越防火墻后，想進(jìn)入更加核心的區(qū)域，那么就必須花費(fèi)更多的時(shí)間及精力來(lái)進(jìn)行攻擊。zui后，為了有效的對(duì)網(wǎng)絡(luò)環(huán)境進(jìn)行監(jiān)控，在靠近終端設(shè)備處同時(shí)部署IDS或IPS系統(tǒng)的探測(cè)器。IDS是Intrusion Detection System的縮寫，即入侵檢測(cè)系統(tǒng)，主要用于檢測(cè)病毒和網(wǎng)絡(luò)異常通信，以便網(wǎng)絡(luò)管理員采取相應(yīng)措施。IDS入侵檢測(cè)系統(tǒng)能夠察覺黑客的入侵行為并且進(jìn)行記錄和處理。由于當(dāng)病毒爆發(fā)時(shí)，會(huì)占用大量的工業(yè)以太網(wǎng)絡(luò)帶寬，使任務(wù)實(shí)時(shí)性執(zhí)行出現(xiàn)闖題，IDS入侵檢測(cè)系統(tǒng)能夠及時(shí)檢測(cè)出這種非法的占用，記錄下病毒發(fā)出的連接，向上層管理計(jì)算機(jī)發(fā)出警告，同時(shí)它不影響整體網(wǎng)絡(luò)的運(yùn)行性能，非常適合工業(yè)以太網(wǎng)的網(wǎng)絡(luò)特點(diǎn)。IPS則能夠快速終結(jié)DDOS、未知的蠕蟲、異常應(yīng)用程序流量攻擊所造成的網(wǎng)絡(luò)阻塞，實(shí)現(xiàn)對(duì)工業(yè)以太網(wǎng)的防護(hù)，同時(shí)它能保護(hù)防火墻和核心交換機(jī)等網(wǎng)絡(luò)設(shè)備免遭入侵和攻擊。IPS會(huì)在此類網(wǎng)絡(luò)攻擊擴(kuò)散到網(wǎng)絡(luò)的其它地方之前阻止這個(gè)惡意的通信，在網(wǎng)絡(luò)中起到防御的作用。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進(jìn)入你的網(wǎng)絡(luò)。這種技術(shù)從源頭控制了對(duì)工業(yè)以太網(wǎng)的惡意攻擊。
　　
　　2.內(nèi)、外網(wǎng)物理隔離
　　
　　目前大部分企業(yè)已安裝防火墻，然而隨著信息化技術(shù)發(fā)展，外部網(wǎng)路接入是黑客病毒、木馬、惡意代碼傳播的主要途徑之一，實(shí)施內(nèi)、外網(wǎng)的物理分離，可以*杜絕公私混用的狀態(tài)，實(shí)現(xiàn)內(nèi)網(wǎng)安全、網(wǎng)絡(luò)管理、網(wǎng)絡(luò)維護(hù)三位一體的立體化管理。
　　
　　實(shí)施方式：
　　
　?。?）對(duì)網(wǎng)絡(luò)進(jìn)行區(qū)域劃分，分為信息內(nèi)網(wǎng)和信息外網(wǎng)，二者與互聯(lián)網(wǎng)之間均采用防火墻進(jìn)行邏輯隔離。信息內(nèi)網(wǎng)可根據(jù)需要進(jìn)行進(jìn)一步區(qū)域劃分。
　　
　?。?）通過(guò)硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。統(tǒng)一企業(yè)集團(tuán)全集團(tuán)互聯(lián)網(wǎng)出口，并對(duì)互聯(lián)網(wǎng)出口統(tǒng)一進(jìn)行權(quán)限管理。
　　
　?。?）部署Internet審計(jì)系統(tǒng)，采用虛擬化技術(shù)與VPN系統(tǒng)結(jié)合提升移動(dòng)辦公應(yīng)用的安全性和效率。
　　
　?。?）全面部署終端安全網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)，對(duì)接入內(nèi)網(wǎng)的電腦進(jìn)行健康檢查，防止非注冊(cè)電腦接入企業(yè)引起泄密，以及帶病毒木馬的外來(lái)電腦引起企業(yè)網(wǎng)絡(luò)癱瘓。
　　
　　（5）全面部署內(nèi)網(wǎng)安全系統(tǒng)，對(duì)移動(dòng)存儲(chǔ)介質(zhì)進(jìn)行注冊(cè)管理、重要文件進(jìn)行加密存儲(chǔ)等。
　　
　　3.上網(wǎng)行為管理
　　
　　上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶控制和管理對(duì)互聯(lián)網(wǎng)的使用，包括對(duì)網(wǎng)頁(yè)訪問(wèn)過(guò)濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、信息收發(fā)審計(jì)、用戶行為分析。
　　
　　上網(wǎng)行為管理系統(tǒng)功能如下：
　　
　　網(wǎng)頁(yè)訪問(wèn)過(guò)濾：可以根據(jù)行業(yè)特征、業(yè)務(wù)需要和企業(yè)文化來(lái)制定個(gè)性化的網(wǎng)頁(yè)訪問(wèn)策略，過(guò)濾非工作相關(guān)的網(wǎng)頁(yè)。
　　
　　網(wǎng)絡(luò)應(yīng)用控制：可以制定有效的網(wǎng)絡(luò)應(yīng)用控制策略，封堵與業(yè)務(wù)無(wú)關(guān)的網(wǎng)絡(luò)應(yīng)用，引導(dǎo)員工在合適的時(shí)間做合適的事。
　　
　　帶寬流量管理：制定精細(xì)的帶寬管理策略，對(duì)不同崗位的員工、不同網(wǎng)絡(luò)應(yīng)用劃分帶寬通道，并設(shè)定優(yōu)先級(jí)，合理利用有限的帶寬資源，節(jié)省投入成本。
　　
　　信息內(nèi)容審計(jì)：制定全面的信息收發(fā)監(jiān)控策略，有效控制關(guān)鍵信息的傳播范圍，以及避免可能引起的法律風(fēng)險(xiǎn)。
　　
　　上網(wǎng)行為分析：可以實(shí)時(shí)了解、統(tǒng)計(jì)、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結(jié)果對(duì)管理策略做調(diào)整和優(yōu)化。
　　
　　日志管理：可以查看到內(nèi)網(wǎng)用戶所訪問(wèn)過(guò)的域名，可以實(shí)時(shí)了解內(nèi)網(wǎng)用戶的上網(wǎng)行為。
　　
　　4.桌面管理系統(tǒng)
　　
　　桌面管理系統(tǒng)核心目標(biāo)是為企業(yè)級(jí)用戶提供全面的計(jì)算機(jī)設(shè)備管理手段，監(jiān)控企業(yè)內(nèi)IT環(huán)境的變化，保障計(jì)算機(jī)設(shè)備正常運(yùn)行，大幅度降低維護(hù)成本。在此基礎(chǔ)上提供詳盡的統(tǒng)計(jì)報(bào)表輸出，綜合反映軟硬件信息變動(dòng)、當(dāng)前配置等，幫助企業(yè)用戶管理好計(jì)算機(jī)設(shè)備。
　　
　　5.數(shù)據(jù)安全管理
　　
　　制造企業(yè)的主要的技術(shù)成果是設(shè)計(jì)方案，但又需要在整個(gè)企業(yè)內(nèi)部甚至是在企業(yè)外部使用。因此數(shù)據(jù)在要求保密的同時(shí)，也需要在內(nèi)部進(jìn)行共享并可根據(jù)需求控制使用權(quán)限，還不能增加管理的難度和操作的復(fù)雜化。在與企業(yè)外部合作時(shí)，還需要有安全的文件外發(fā)保護(hù)。因此，企業(yè)需對(duì)建立完善的數(shù)據(jù)加密策略：
　　
　　透明加密：透明加密時(shí)用戶只要有寫磁盤的操作，文件就自動(dòng)進(jìn)行了加密。節(jié)省了用戶手動(dòng)進(jìn)行加解密操作的時(shí)間，但并不控制文件的傳播共享，不影響文件打開的時(shí)間，也不受文件大小的限制。文件在制作過(guò)程和傳輸過(guò)程中始終是密文。操作面向用戶全透明的方式，讓用戶*在正常的工作中不知不覺地享受安全。同時(shí)，解密也是透明的，只要在一定環(huán)境中，密文在不需要輸入密碼的前提下，能夠自動(dòng)解密。
　　
　　強(qiáng)制加密：根據(jù)制造企業(yè)的特點(diǎn)，具有自主知識(shí)產(chǎn)權(quán)的技術(shù)資料和圖紙、圖片甚多，加密軟件對(duì)的機(jī)器進(jìn)行強(qiáng)制加密是非常有必要的，如果操作者能夠有選擇地進(jìn)行加密，加密軟件便形同虛設(shè)。
　　
　　應(yīng)用靈活：企業(yè)加密需求是不斷變化的。會(huì)隨著應(yīng)用程序的升級(jí)、文件格式的變化、使用范圍的變化而變化。這就需要加密軟件對(duì)應(yīng)用環(huán)境的變化能靈活地設(shè)置受保護(hù)的文件格式和受關(guān)聯(lián)的應(yīng)用程序。
　　
　　保障安全：企業(yè)要求實(shí)現(xiàn)內(nèi)部無(wú)障礙共享，對(duì)加密軟件來(lái)說(shuō)，必然要求采用通用的密鑰，密鑰管理異常重要，一旦密鑰外泄，對(duì)企業(yè)的打擊將非常致命。因此，對(duì)文件加密系統(tǒng)要求必須考慮全文加密和高強(qiáng)度的加密算法。
　　
　　方便外發(fā)：制造企業(yè)對(duì)數(shù)據(jù)加密系統(tǒng)還要求能方便地對(duì)外交流。由于涉密文件在企業(yè)內(nèi)部都被自動(dòng)強(qiáng)制進(jìn)行了加密，對(duì)外正常交流時(shí)必須能夠方便、及時(shí)。同時(shí)，能夠設(shè)置外發(fā)文件的打開方式、閱覽時(shí)間和閱讀的次數(shù)等。
　　
　　日志審計(jì)：根據(jù)BS7799安全規(guī)范，一個(gè)系統(tǒng)zui重要的部分是其審計(jì)跟蹤能力，這是系統(tǒng)安全性的一部分。通過(guò)審計(jì)功能，管理員可以監(jiān)督、跟蹤所有用戶的全部操作，查看系統(tǒng)的使用情況，實(shí)現(xiàn)zui高的系統(tǒng)安全。根據(jù)日志信息的具體設(shè)置，可以設(shè)定不同的日志內(nèi)容。從龐大的日志數(shù)據(jù)中抽取有用的信息，對(duì)用戶操作進(jìn)行分類整理，自動(dòng)生成相應(yīng)的審計(jì)報(bào)告。通過(guò)研究日志報(bào)告，對(duì)于已發(fā)生的泄密事件可以回溯歷史活動(dòng)，從而發(fā)現(xiàn)泄密渠道。
　　
　　因此，制造企業(yè)多采用透明加密系統(tǒng)進(jìn)行核心數(shù)據(jù)加密。透明加密的部署較為簡(jiǎn)單，在管理端安裝一個(gè)引擎驅(qū)動(dòng)，用于管理以及建立密鑰等。被加密電腦安裝工作站，然后就開始根據(jù)你管理端設(shè)置的規(guī)則自動(dòng)加密了，剩余的只是對(duì)管理過(guò)程（比如*、加密規(guī)則等）。