概述

    在工廠中把 EtherNet/IP用于控制和信息的解決方案，引領(lǐng)了企業(yè)內(nèi)部廣泛使用標(biāo)準(zhǔn)以太網(wǎng)的熱潮。隨著這個(gè)過(guò)程的推進(jìn)，企業(yè)逐步認(rèn)識(shí)到融合制造網(wǎng)絡(luò)和管理網(wǎng)絡(luò)的重要性，制造業(yè)已經(jīng)通過(guò)提高生產(chǎn)的關(guān)鍵性能指標(biāo)（KPI）而從中獲益。在正確的水平和正確的時(shí)間上接受KPI，可以幫助制造商做出明智的商業(yè)決策。融合還喚起了改進(jìn)工業(yè)網(wǎng)絡(luò)安全策略的動(dòng)議，這不再只是維持制造區(qū)域間的隔離問(wèn)題了。制造業(yè)的計(jì)算和控制資產(chǎn)已經(jīng)成為與企業(yè)其他部門相同的、易受攻擊的要害部分。一個(gè)安全策略需要保護(hù)制造資產(chǎn)，而且要很好地平衡諸如：24x7小時(shí)連續(xù)運(yùn)行、短的平均維護(hù)時(shí)間（MTTR）和整體設(shè)備效能（OEE）等因素。

    保護(hù)制造資產(chǎn)需要一個(gè)全面的安全模型，基于一系列明確的安全策略。為了應(yīng)對(duì)這些風(fēng)險(xiǎn)，策略應(yīng)該確定有哪些安全風(fēng)險(xiǎn)和采用什么樣的化解技術(shù)。就這些問(wèn)題，本文將給出通行的整體策略和實(shí)施大綱，幫助用戶保護(hù)制造資產(chǎn)。

1 整體安全

    保護(hù)制造資產(chǎn)需要一個(gè)“按深度保護(hù)”的保護(hù)方法，按照?qǐng)D1中的描述，防止來(lái)自內(nèi)部和外部的安全威脅。這個(gè)方法使用多層次的防衛(wèi)（物理的和電子的），在不同的層次應(yīng)用不同的策略和程序應(yīng)對(duì)不同類型的威脅。比如，多層的網(wǎng)絡(luò)安全保護(hù)網(wǎng)絡(luò)上的資產(chǎn)、數(shù)據(jù)和終端的安全，多層的物理安全保護(hù)高價(jià)值資產(chǎn)的安全。到目前為止，還沒(méi)有一種單一的技術(shù)或方法能夠保護(hù)整個(gè)工業(yè)控制系統(tǒng)的安全。

    在“按深度保護(hù)”的方法中，需要有種工作流程來(lái)建立和維護(hù)安全能力。這種安全操作流程應(yīng)該包括：

    1) 確定優(yōu)先等級(jí)（比如按可用性、完整性、保密性）；

    2) 設(shè)定要求（比如：遠(yuǎn)程訪問(wèn)不能影響控制通信流量）；

    3) 確定投資；

    4) 確定潛在內(nèi)部和外部的威脅和風(fēng)險(xiǎn)；

    5) 確定所需功能；

    6) 設(shè)計(jì)體系結(jié)構(gòu)；

    7) 編制和執(zhí)行策略。

    設(shè)計(jì)和實(shí)現(xiàn)一個(gè)完整的制造安全模型，有助于用戶從概念理論向制造實(shí)踐的順利過(guò)渡。用戶不必教條地去實(shí)施制造過(guò)程的安全。

    為了實(shí)現(xiàn)本文的目標(biāo)，用于保護(hù)制造資產(chǎn)的“按深度保護(hù)”層包括：

    ·物理安全：這個(gè)層限制區(qū)域、控制屏、設(shè)備、電纜、控制室和其他位置的授權(quán)人的訪問(wèn)，以及跟蹤訪問(wèn)者。

    ·網(wǎng)絡(luò)安全：這個(gè)層包括網(wǎng)絡(luò)構(gòu)架，諸如用于侵入檢測(cè)和侵入禁止系統(tǒng)（IDS/IPS）的防火墻和諸如具有集成保護(hù)的網(wǎng)絡(luò)設(shè)備：如交換機(jī)和路由器等。

    ·計(jì)算機(jī)加固：這個(gè)層包括補(bǔ)丁程序管理和防病毒軟件，以及能夠刪除不使用的程序、協(xié)議和服務(wù)等。

    ·應(yīng)用安全：這個(gè)層包含鑒定、授權(quán)和審核軟件。

    ·設(shè)備加固：這個(gè)層處理變更管理和限制訪問(wèn)。

    圖1 “按深度保護(hù)”的多層結(jié)構(gòu)

2 用于制造業(yè)網(wǎng)絡(luò)安全的框架

    羅克韋爾自動(dòng)化公司和思科公司協(xié)同開發(fā)的制造企業(yè)參考架構(gòu)支持和加速了制造與企業(yè)網(wǎng)絡(luò)的融合。為了幫助用戶建立堅(jiān)固和安全的網(wǎng)絡(luò)架構(gòu)，制造企業(yè)參考架構(gòu)提供了設(shè)計(jì)指南、推薦方案和最佳實(shí)踐。

    制造企業(yè)會(huì)按照現(xiàn)有的公共技術(shù)與標(biāo)準(zhǔn)來(lái)建立IT與制造間的參考構(gòu)架。這其中包括了技術(shù)標(biāo)準(zhǔn)如：IEEE 802.3，未經(jīng)修改的以太網(wǎng)，因特網(wǎng)任務(wù)工作組 （IETF）的因特網(wǎng)協(xié)議（IP）和ODVA公共工業(yè)協(xié)議（CIPTM）。進(jìn)一步信息可訪問(wèn)ODVA網(wǎng)站：www.odva.org

    另外，制造企業(yè)參考架構(gòu)按制造業(yè)的標(biāo)準(zhǔn)建立一個(gè)制造網(wǎng)絡(luò)安全框架，如圖2所示。這個(gè)框架建立了進(jìn)行流量管理和執(zhí)行網(wǎng)絡(luò)分段的基礎(chǔ)，諸如：安全實(shí)施、遠(yuǎn)程訪問(wèn)和服務(wù)質(zhì)量（QoS）。這個(gè)框架遵從工業(yè)標(biāo)準(zhǔn)和應(yīng)用指南，諸如ISA-95 企業(yè)－控制系統(tǒng)集成、ISA-99制造業(yè)和控制系統(tǒng)的安全和用于控制層次的珀杜（Purdue）參考模型。

    ISA-95和用于控制層次的珀杜模型把制造工廠中的工業(yè)控制設(shè)備按流程分割成不同的層次。使用“層”作為公共術(shù)語(yǔ)來(lái)劃分和決定工廠中的信息流。為了加強(qiáng)安全和流量管理，ISA-99把分割的層稱為“區(qū)”。 區(qū)建立了可信賴的域，形成更小的局域網(wǎng)，易于安全訪問(wèn)和流量管理。這個(gè)框架利用了校園網(wǎng)絡(luò)的參考模型。與企業(yè)網(wǎng)絡(luò)共通，這種多層模型自然地把流量劃分到3個(gè)主要層：核心層、分布層和遠(yuǎn)程層。這三個(gè)層次的設(shè)計(jì)為網(wǎng)絡(luò)安全提供了一個(gè)清晰的分割方法，并且建立了一種高可用性和寬伸縮性的網(wǎng)絡(luò)基礎(chǔ)。

    圖2 制造網(wǎng)絡(luò)安全框架

    制造框架把不同的層合并成下面的區(qū)實(shí)現(xiàn)不同的功能：

    ·企業(yè)區(qū)：層4和5包括傳統(tǒng)的企業(yè)IT網(wǎng)絡(luò)、商業(yè)應(yīng)用，諸如電子郵件和企業(yè)資源計(jì)劃（ERP）和廣域網(wǎng)（WAN）。

    ·隔離區(qū)（DMZ）：這個(gè)隔離區(qū)為制造區(qū)和企業(yè)區(qū)之間提供了一個(gè)屏障，但允許數(shù)據(jù)和服務(wù)安全地共享。所有來(lái)自DMZ兩邊網(wǎng)絡(luò)流量中止在DMZ區(qū)內(nèi)。沒(méi)有通信流穿過(guò)DMZ。也就是，沒(méi)有流量直接在企業(yè)區(qū)和制造區(qū)之間傳送。

    ·制造區(qū)：層3 為制造運(yùn)行和控制場(chǎng)所，從事工廠范圍內(nèi)的應(yīng)用，諸如：歷史數(shù)據(jù)、資產(chǎn)管理和制造執(zhí)行系統(tǒng)（MES），由多個(gè)工位/工區(qū)組成。

    ·工位/工區(qū)：層0，1和2包括工業(yè)控制設(shè)備，諸如：控制器、驅(qū)動(dòng)器、I/O和HMI，以及多種專門控制應(yīng)用，諸如：伺服馬達(dá)控制、批處理、連續(xù)流程和離散量輸入/輸出。

    推薦的制造網(wǎng)絡(luò)安全框架采用了“按深度保護(hù)”方法，包括了：

    ·制造安全策略：這個(gè)策略路線圖確定了攻擊化解方案。一個(gè)包括操作員、工程師、IT人員和安全人員組成的多學(xué)科團(tuán)隊(duì)，一起制定這個(gè)制造安全策略。

    ·安全隔離區(qū)（DMZ）：這個(gè)隔離區(qū)在制造區(qū)和企業(yè)區(qū)之間建立了一個(gè)屏障，而允許用戶安全地共享數(shù)據(jù)和服務(wù)。所有來(lái)自DMZ兩邊的通信都中止于DMZ區(qū)內(nèi)。沒(méi)有流量直接穿過(guò)DMZ，也就是意味著流量不能直接在企業(yè)區(qū)和制造區(qū)之間流動(dòng)。

    ·制造邊緣的防護(hù)：用戶應(yīng)該采用有狀態(tài)包檢測(cè)（SPI）的防火墻（屏障），并在工業(yè)網(wǎng)絡(luò)的周圍和內(nèi)部具有侵入發(fā)現(xiàn)/禁止系統(tǒng)（IDS/IPS）。

    ·保護(hù)內(nèi)部：用戶應(yīng)該在網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備諸如交換機(jī)和路由器中，實(shí)施訪問(wèn)控制列表（ACL）和端口安全。

    ·端點(diǎn)加固：限制訪問(wèn)，防止“過(guò)來(lái)，插入”訪問(wèn)，并使用變化管理跟蹤訪問(wèn)和變化。

    ·信任域：用戶應(yīng)該基于功能或訪問(wèn)需求，把網(wǎng)絡(luò)劃分成若干個(gè)小網(wǎng)絡(luò)。

    ·物理安全：限制對(duì)制造資產(chǎn)和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)備的物理訪問(wèn)。

    ·安全、管理、分析和響應(yīng)系統(tǒng)：監(jiān)視、識(shí)別、隔離和記錄對(duì)網(wǎng)絡(luò)安全的威脅。

    ·遠(yuǎn)程訪問(wèn)策略：對(duì)于雇員和伙伴和遠(yuǎn)程訪問(wèn)，實(shí)施相關(guān)的策略、程序和基礎(chǔ)結(jié)構(gòu)。

3 制造安全策略

    一個(gè)安全戰(zhàn)略是否能夠成功的關(guān)鍵就是要理解需要解決的潛在問(wèn)題，諸如：要保護(hù)什么、怎么樣進(jìn)行保護(hù)。針對(duì)制造建立一個(gè)安全策略，需要提供一個(gè)應(yīng)用安全技術(shù)的路線圖，應(yīng)用最佳實(shí)踐來(lái)保護(hù)制造的資產(chǎn)，同時(shí)避免不必要的開支和過(guò)渡的訪問(wèn)限制。安全服務(wù)不應(yīng)該約束制造的運(yùn)行。

    正像ISA-99中定義的，一個(gè)安全策略應(yīng)該是“使一個(gè)組織遵循一個(gè)一致的程序，維持一個(gè)可接受的安全水平”。安全策略由物理層和電子層組成，定義和限制在制造系統(tǒng)中，人員和設(shè)備的行為。一支包括IT人員、操作員和工程師組成的團(tuán)隊(duì)，一起討論來(lái)定義制造安全的要求。安全策略制定應(yīng)從評(píng)估潛在危險(xiǎn)開始。可以由內(nèi)部或者外部團(tuán)隊(duì)指導(dǎo)，危險(xiǎn)評(píng)估過(guò)程確定潛在的薄弱點(diǎn)和決定采用的相關(guān)程序和技術(shù)來(lái)化解危機(jī)。比如，限制程序可以使只有授權(quán)人員，才可以訪問(wèn)物理制造系統(tǒng)。相關(guān)的技術(shù)可以包括授權(quán)和鑒別用戶信用的變化管理軟件。

    因?yàn)榘踩�策略傳統(tǒng)上由IT人員實(shí)施，IT已經(jīng)制定了最佳實(shí)踐來(lái)幫助指定和消除安全隱患。只要用戶能夠說(shuō)明制造應(yīng)用和企業(yè)應(yīng)用的不同，IT人員就可以對(duì)制造商使用很多的策略和最佳實(shí)踐。

    建立一個(gè)堅(jiān)固和安全的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)需要保證控制和信息數(shù)據(jù)的完整性、可用性和保密性。用戶在開發(fā)一個(gè)網(wǎng)絡(luò)時(shí)，要重視下面的要點(diǎn)：

    ·這個(gè)網(wǎng)絡(luò)是否有足夠的彈性來(lái)保證數(shù)據(jù)的可用性？

    ·數(shù)據(jù)是否具有一致性？數(shù)據(jù)是否可靠？

    ·怎樣使用數(shù)據(jù)？數(shù)據(jù)的操作是否安全？

    IT人員的職責(zé)包括保護(hù)公司的資產(chǎn)和知識(shí)產(chǎn)權(quán)（IP）。IT人員為了實(shí)現(xiàn)這個(gè)目標(biāo)，要執(zhí)行企業(yè)安全策略，來(lái)確保數(shù)據(jù)的保密性、完整性和可用性（CIA）– 通常也按照這個(gè)優(yōu)先次序進(jìn)行。雖然存在類似性，制造安全策略必須把連續(xù)的制造運(yùn)行（可用性）做為頭等重要的事情。

    企業(yè)和制造在如何進(jìn)行升級(jí)換代方面的安全策略是不同的。用戶對(duì)企業(yè)應(yīng)用升級(jí)的要求是越快越好，就像操作系統(tǒng)和應(yīng)用軟件的補(bǔ)丁、以及反病毒軟件一樣，要在指定的時(shí)間內(nèi)更新。然而，對(duì)一個(gè)制造服務(wù)器進(jìn)行升級(jí)，可能會(huì)中斷制造的運(yùn)行，結(jié)果會(huì)使生產(chǎn)受到影響。制造安全策略應(yīng)該定義在制造間歇進(jìn)行升級(jí)的操作。

4 計(jì)算機(jī)的加固

    應(yīng)用于企業(yè)IT計(jì)算機(jī)的最佳實(shí)踐也同樣可以用于制造計(jì)算機(jī)。下面推薦一些最通用和最常見的最佳實(shí)踐：

    ·保持計(jì)算機(jī)服務(wù)包和補(bǔ)丁的不斷更新，但不要用自動(dòng)更新。另外，用戶在執(zhí)行它們之前應(yīng)該測(cè)試這些程序，并在制造間歇定期對(duì)軟件和網(wǎng)絡(luò)進(jìn)行維護(hù)。

    ·部署和維護(hù)反病毒軟件，但禁止自動(dòng)更新和自動(dòng)掃描。其他的建議包括：執(zhí)行它們前進(jìn)行測(cè)試，并且在制造間歇用手動(dòng)初始化掃描，因?yàn)榉床《緬呙钑?huì)中斷制造的實(shí)時(shí)運(yùn)行。

    ·部署和維護(hù)反間諜軟件，但禁止自動(dòng)更新和自動(dòng)掃描。用戶應(yīng)該在安裝運(yùn)行之前，預(yù)先測(cè)試更新程序，并在制造間歇，用手動(dòng)初始化掃描，因?yàn)榉撮g諜軟件的掃描也會(huì)中斷制造的實(shí)時(shí)運(yùn)行。自動(dòng)反病毒和反間諜軟件掃描會(huì)引起數(shù)據(jù)的丟失和某些制造設(shè)備的宕機(jī)。

    ·禁止直接的因特網(wǎng)訪問(wèn)。安全隔離區(qū)（DMZ）建立了制造區(qū)域與企業(yè)區(qū)域之間的屏障，但要允許用戶安全地共享數(shù)據(jù)和服務(wù)。所有來(lái)自DMZ兩邊的通信流都要中止于DMZ之中。沒(méi)有數(shù)據(jù)流穿過(guò)DMZ，這意味著通信流不能直接在企業(yè)區(qū)和制造區(qū)之間穿行。

    ·在制造區(qū)執(zhí)行一個(gè)分開的活動(dòng)目錄域。這樣，如果到企業(yè)區(qū)的連接被中斷的話，可以幫助用戶確保制造資產(chǎn)的有效性。

    ·執(zhí)行下面口令設(shè)置策略：

     - 執(zhí)行口令歷史；

     - 最大口令年齡；

     - 最小口令長(zhǎng)度；

     - 復(fù)雜口令要求。

    ·在客戶機(jī)和服務(wù)器上禁止客戶帳號(hào)。

    ·要求內(nèi)置的管理員帳號(hào)被重新命名，刪除缺省的帳號(hào)，使用一個(gè)復(fù)雜的口令。

    ·建立、然后實(shí)施一個(gè)備份和災(zāi)難恢復(fù)策略和程序。用戶應(yīng)該定時(shí)進(jìn)行備份操作。

    ·實(shí)施對(duì)一個(gè)網(wǎng)絡(luò)、控制器和計(jì)算機(jī)（比如客戶機(jī)、服務(wù)器和應(yīng)用）資產(chǎn)存檔的變化管理系統(tǒng)。

    ·使用Control+Alt+Delete組合鍵，連同一個(gè)唯一的用戶名和口令登錄。

    ·防止不必要或很少用的USB端口、并聯(lián)接口和串聯(lián)接口把非授權(quán)的硬件加入（如：調(diào)制解調(diào)器、打印機(jī)、USB設(shè)備等）。

    ·制定和執(zhí)行一個(gè)在企業(yè)區(qū)域內(nèi)客戶訪問(wèn)的策略。

    ·制定和執(zhí)行一個(gè)在制造區(qū)域內(nèi)合作伙伴訪問(wèn)的策略。

    ·卸載不使用的Windows組件、協(xié)議和服務(wù)，減少可能對(duì)制造系統(tǒng)不必要的操作。

5 控制器的加固

    用戶使用物理程序、電子設(shè)計(jì)、軟件鑒定和授權(quán)、以及帶有災(zāi)難恢復(fù)的變化管理軟件來(lái)保護(hù)羅克韋爾自動(dòng)化的Logix可編程自動(dòng)化控制器（PAC）。推薦的最佳實(shí)踐有：

    ·物理程序：用授權(quán)的辦法限制訪問(wèn)控制面板的人員。用戶可以通過(guò)執(zhí)行訪問(wèn)程序或者鎖定面板的方法達(dá)到這個(gè)目的。把PAC鑰匙撥到“運(yùn)行（RUN）”位置可以防止遠(yuǎn)程編程，包括遠(yuǎn)程固件閃存可能對(duì)PAC的影響。為了允許程序和配置的更改，需要對(duì)PAC上物理鑰匙的位置進(jìn)行改變。非授權(quán)的的訪問(wèn)（有意或者無(wú)意）不能改變PAC，直到鑰匙位置離開“運(yùn)行”位置。

    ·電子設(shè)計(jì)：執(zhí)行PAC CPU鎖住特性，拒絕從前面端口訪問(wèn)PAC，這樣可以保護(hù)配置不被改變。

    ·執(zhí)行FactoryTalk中的鑒定、授權(quán)和審計(jì)安全功能：鑒定檢驗(yàn)用戶的身份和服務(wù)請(qǐng)求是否來(lái)自原用戶。鑒定檢驗(yàn)用戶訪問(wèn)的請(qǐng)求或者PAC拒絕一系列定義的訪問(wèn)。

    ·帶災(zāi)難恢復(fù)的變化管理：FactoryTalk AssetCentre軟件有連續(xù)監(jiān)視PAC 資產(chǎn)，自動(dòng)版本控制，災(zāi)難恢復(fù)和備份、設(shè)備配置確認(rèn)和實(shí)時(shí)用戶行為審計(jì)等功能。

6 軟件補(bǔ)丁管理

    研究指出很多制造資產(chǎn)的生產(chǎn)損耗，是由于不良的或疏忽的補(bǔ)丁管理造成的，甚至高過(guò)了沒(méi)有補(bǔ)丁所帶來(lái)的問(wèn)題。用戶應(yīng)該建立一個(gè)嚴(yán)格而良好的補(bǔ)丁文件管理流程。

    Microsoft的服務(wù)補(bǔ)丁包、安全更新、熱修補(bǔ)和補(bǔ)丁程序，做為彌補(bǔ)操作系統(tǒng)的漏洞是非常必要的。用戶應(yīng)該禁止來(lái)自微軟網(wǎng)站的自動(dòng)更新，為了保護(hù)制造資產(chǎn)，在按裝所有這些補(bǔ)丁之前，都要事先對(duì)它們進(jìn)行測(cè)試。

    自動(dòng)化軟件的供應(yīng)商，諸如羅克韋爾自動(dòng)化，可以支持更新和補(bǔ)丁的測(cè)試。制造業(yè)和IT專業(yè)人員也應(yīng)該把它們應(yīng)用于制造資產(chǎn)前，用他們的操作系統(tǒng)模板，對(duì)更新和補(bǔ)丁進(jìn)行測(cè)試。測(cè)試之后，用戶應(yīng)該用變化管理系統(tǒng)記錄所有由補(bǔ)丁和升級(jí)帶來(lái)的相應(yīng)變化。關(guān)鍵的補(bǔ)丁和升級(jí)應(yīng)該在制造間歇對(duì)制造資產(chǎn)進(jìn)行操作。

    羅克韋爾自動(dòng)化，能夠檢測(cè)和驗(yàn)證他的軟件產(chǎn)品與特定的操作系統(tǒng)服務(wù)包一起運(yùn)行情況，具有定期的軟件發(fā)布時(shí)間。

    羅克韋爾自動(dòng)化僅支持已經(jīng)測(cè)試并運(yùn)行于特定版本的服務(wù)包。用戶不應(yīng)該直接用來(lái)自微軟的服務(wù)包，然后運(yùn)行羅克韋爾自動(dòng)化的軟件用于制造資產(chǎn)。而應(yīng)該等羅克韋爾自動(dòng)化驗(yàn)證服務(wù)包能夠兼容和穩(wěn)定時(shí)再使用。

    只要微軟的版本一升級(jí)，羅克韋爾自動(dòng)化就對(duì)自己的產(chǎn)品進(jìn)行資格認(rèn)定。羅克韋爾自動(dòng)化的知識(shí)庫(kù)會(huì)列出羅克韋爾每種軟件產(chǎn)品針對(duì)操作系統(tǒng)、服務(wù)包、補(bǔ)丁和安全更新的驗(yàn)證信息。

    羅克韋爾自動(dòng)化會(huì)公布自己軟件產(chǎn)品的更新，通常在解決發(fā)布軟件問(wèn)題到預(yù)期的產(chǎn)品發(fā)布之間的時(shí)間。一月一次，發(fā)布過(guò)的補(bǔ)丁會(huì)集合到單一的合集中。補(bǔ)丁可以單獨(dú)使用或者做為每月合集中的一部分。用戶可以從羅克韋爾自動(dòng)化知識(shí)庫(kù)中搜索文章“Rockwell Automation Software Product Compatibility Matrix, ID 42682.” 查找補(bǔ)丁與合集。

7 總結(jié)

    制造和企業(yè)網(wǎng)絡(luò)的融合增加了對(duì)制造數(shù)據(jù)的訪問(wèn)，這使得制造商能做出更好的商業(yè)決定。這種商業(yè)模式為競(jìng)爭(zhēng)空前激烈的制造業(yè)，提供了更有力的支撐。

    利用這個(gè)機(jī)會(huì)，有超前意識(shí)的企業(yè)能夠更好地參與競(jìng)爭(zhēng)。網(wǎng)絡(luò)融合會(huì)暴露制造資產(chǎn)的安全威脅，這通常在企業(yè)網(wǎng)絡(luò)中才能遇到。用戶還要面對(duì)模糊的網(wǎng)絡(luò)劃分，企業(yè)資產(chǎn)和制造資產(chǎn)之間不同的文化差異。針對(duì)這些障礙，制造商應(yīng)該組織一個(gè)多工種包括操作員、工程師和IT人員的團(tuán)隊(duì)，聯(lián)合制定一個(gè)制造安全策略，基于：

    ·制造運(yùn)行要求；

    ·企業(yè)安全策略的最佳實(shí)踐；

    ·危險(xiǎn)評(píng)估；

    ·一個(gè)基于“按深度保護(hù)”方法的整體安全策略；

    ·工業(yè)標(biāo)準(zhǔn)諸如ISA-99；

    ·制造企業(yè)的標(biāo)準(zhǔn)；

    ·制造網(wǎng)絡(luò)安全劃分框架；

    ·一個(gè)嚴(yán)格和很好歸檔的補(bǔ)丁管理程序；

    ·外部網(wǎng)絡(luò)和安全服務(wù)的利用。  

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：保護(hù)好制造業(yè)計(jì)算與控制的資產(chǎn)

本文網(wǎng)址：http://www.guhuozai8.cn/html/support/1112183085.html