車間的信息安全就是應該對工廠車間內(nèi)部的系統(tǒng)及終端設備進行安全防護。根據(jù)工廠內(nèi)部所涉及的終端設備及系統(tǒng)，可分為工業(yè)以太網(wǎng)、數(shù)據(jù)采集與監(jiān)控（SCADA）、分布式控制系統(tǒng)（DCS）、過程控制系統(tǒng)（PCS）、可編程邏輯控制器（PLC）等網(wǎng)絡設備及工業(yè)控制系統(tǒng)的運行安全，確保工業(yè)以太網(wǎng)及工業(yè)系統(tǒng)不被未經(jīng)*的訪問、使用、泄露、中斷、修改和破壞，為企業(yè)正常生產(chǎn)提供信息服務。
　　
　　1.CPS層網(wǎng)絡防護
　　
　　對于CPS層而言，可通過設置防火墻將車間底層網(wǎng)絡和Internet網(wǎng)分開，從而保護底層網(wǎng)絡免受非法用戶的侵入。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。通過此層的防御，可以過濾掉絕大多數(shù)的網(wǎng)絡攻擊。此外，可通過安全網(wǎng)關提供從協(xié)議級過濾到應用級過濾。入侵者如果成功穿越防火墻后，想進入更加核心的區(qū)域，那么就必須花費更多的時間及精力來進行攻擊。zui后，為了有效的對網(wǎng)絡環(huán)境進行監(jiān)控，在靠近終端設備處同時部署IDS或IPS系統(tǒng)的探測器。IDS是Intrusion Detection System的縮寫，即入侵檢測系統(tǒng)，主要用于檢測病毒和網(wǎng)絡異常通信，以便網(wǎng)絡管理員采取相應措施。IDS入侵檢測系統(tǒng)能夠察覺黑客的入侵行為并且進行記錄和處理。由于當病毒爆發(fā)時，會占用大量的工業(yè)以太網(wǎng)絡帶寬，使任務實時性執(zhí)行出現(xiàn)闖題，IDS入侵檢測系統(tǒng)能夠及時檢測出這種非法的占用，記錄下病毒發(fā)出的連接，向上層管理計算機發(fā)出警告，同時它不影響整體網(wǎng)絡的運行性能，非常適合工業(yè)以太網(wǎng)的網(wǎng)絡特點。IPS則能夠快速終結DDOS、未知的蠕蟲、異常應用程序流量攻擊所造成的網(wǎng)絡阻塞，實現(xiàn)對工業(yè)以太網(wǎng)的防護，同時它能保護防火墻和核心交換機等網(wǎng)絡設備免遭入侵和攻擊。IPS會在此類網(wǎng)絡攻擊擴散到網(wǎng)絡的其它地方之前阻止這個惡意的通信，在網(wǎng)絡中起到防御的作用。IPS將檢查入網(wǎng)的數(shù)據(jù)包，確定這種數(shù)據(jù)包的真正用途，然后決定是否允許這種數(shù)據(jù)包進入你的網(wǎng)絡。這種技術從源頭控制了對工業(yè)以太網(wǎng)的惡意攻擊。
　　
　　2.內(nèi)、外網(wǎng)物理隔離
　　
　　目前大部分企業(yè)已安裝防火墻，然而隨著信息化技術發(fā)展，外部網(wǎng)路接入是黑客病毒、木馬、惡意代碼傳播的主要途徑之一，實施內(nèi)、外網(wǎng)的物理分離，可以*杜絕公私混用的狀態(tài)，實現(xiàn)內(nèi)網(wǎng)安全、網(wǎng)絡管理、網(wǎng)絡維護三位一體的立體化管理。
　　
　　實施方式：
　　
　?。?）對網(wǎng)絡進行區(qū)域劃分，分為信息內(nèi)網(wǎng)和信息外網(wǎng)，二者與互聯(lián)網(wǎng)之間均采用防火墻進行邏輯隔離。信息內(nèi)網(wǎng)可根據(jù)需要進行進一步區(qū)域劃分。
　　
　?。?）通過硬盤隔離卡及雙布線系統(tǒng)、雙網(wǎng)絡設備實現(xiàn)辦公內(nèi)網(wǎng)與外網(wǎng)隔離。統(tǒng)一企業(yè)集團全集團互聯(lián)網(wǎng)出口，并對互聯(lián)網(wǎng)出口統(tǒng)一進行權限管理。
　　
　　（3）部署Internet審計系統(tǒng)，采用虛擬化技術與VPN系統(tǒng)結合提升移動辦公應用的安全性和效率。
　　
　?。?）全面部署終端安全網(wǎng)絡準入系統(tǒng)，對接入內(nèi)網(wǎng)的電腦進行健康檢查，防止非注冊電腦接入企業(yè)引起泄密，以及帶病毒木馬的外來電腦引起企業(yè)網(wǎng)絡癱瘓。
　　
　?。?）全面部署內(nèi)網(wǎng)安全系統(tǒng)，對移動存儲介質進行注冊管理、重要文件進行加密存儲等。
　　
　　3.上網(wǎng)行為管理
　　
　　上網(wǎng)行為管理是指幫助互聯(lián)網(wǎng)用戶控制和管理對互聯(lián)網(wǎng)的使用，包括對網(wǎng)頁訪問過濾、網(wǎng)絡應用控制、帶寬流量管理、信息收發(fā)審計、用戶行為分析。
　　
　　上網(wǎng)行為管理系統(tǒng)功能如下：
　　
　　網(wǎng)頁訪問過濾：可以根據(jù)行業(yè)特征、業(yè)務需要和企業(yè)文化來制定個性化的網(wǎng)頁訪問策略，過濾非工作相關的網(wǎng)頁。
　　
　　網(wǎng)絡應用控制：可以制定有效的網(wǎng)絡應用控制策略，封堵與業(yè)務無關的網(wǎng)絡應用，引導員工在合適的時間做合適的事。
　　
　　帶寬流量管理：制定精細的帶寬管理策略，對不同崗位的員工、不同網(wǎng)絡應用劃分帶寬通道，并設定優(yōu)先級，合理利用有限的帶寬資源，節(jié)省投入成本。
　　
　　信息內(nèi)容審計：制定全面的信息收發(fā)監(jiān)控策略，有效控制關鍵信息的傳播范圍，以及避免可能引起的法律風險。
　　
　　上網(wǎng)行為分析：可以實時了解、統(tǒng)計、分析互聯(lián)網(wǎng)使用狀況，并根據(jù)分析結果對管理策略做調整和優(yōu)化。
　　
　　日志管理：可以查看到內(nèi)網(wǎng)用戶所訪問過的域名，可以實時了解內(nèi)網(wǎng)用戶的上網(wǎng)行為。
　　
　　4.桌面管理系統(tǒng)
　　
　　桌面管理系統(tǒng)核心目標是為企業(yè)級用戶提供全面的計算機設備管理手段，監(jiān)控企業(yè)內(nèi)IT環(huán)境的變化，保障計算機設備正常運行，大幅度降低維護成本。在此基礎上提供詳盡的統(tǒng)計報表輸出，綜合反映軟硬件信息變動、當前配置等，幫助企業(yè)用戶管理好計算機設備。
　　
　　5.數(shù)據(jù)安全管理
　　
　　制造企業(yè)的主要的技術成果是設計方案，但又需要在整個企業(yè)內(nèi)部甚至是在企業(yè)外部使用。因此數(shù)據(jù)在要求保密的同時，也需要在內(nèi)部進行共享并可根據(jù)需求控制使用權限，還不能增加管理的難度和操作的復雜化。在與企業(yè)外部合作時，還需要有安全的文件外發(fā)保護。因此，企業(yè)需對建立完善的數(shù)據(jù)加密策略：
　　
　　透明加密：透明加密時用戶只要有寫磁盤的操作，文件就自動進行了加密。節(jié)省了用戶手動進行加解密操作的時間，但并不控制文件的傳播共享，不影響文件打開的時間，也不受文件大小的限制。文件在制作過程和傳輸過程中始終是密文。操作面向用戶全透明的方式，讓用戶*在正常的工作中不知不覺地享受安全。同時，解密也是透明的，只要在一定環(huán)境中，密文在不需要輸入密碼的前提下，能夠自動解密。
　　
　　強制加密：根據(jù)制造企業(yè)的特點，具有自主知識產(chǎn)權的技術資料和圖紙、圖片甚多，加密軟件對的機器進行強制加密是非常有必要的，如果操作者能夠有選擇地進行加密，加密軟件便形同虛設。
　　
　　應用靈活：企業(yè)加密需求是不斷變化的。會隨著應用程序的升級、文件格式的變化、使用范圍的變化而變化。這就需要加密軟件對應用環(huán)境的變化能靈活地設置受保護的文件格式和受關聯(lián)的應用程序。
　　
　　保障安全：企業(yè)要求實現(xiàn)內(nèi)部無障礙共享，對加密軟件來說，必然要求采用通用的密鑰，密鑰管理異常重要，一旦密鑰外泄，對企業(yè)的打擊將非常致命。因此，對文件加密系統(tǒng)要求必須考慮全文加密和高強度的加密算法。
　　
　　方便外發(fā)：制造企業(yè)對數(shù)據(jù)加密系統(tǒng)還要求能方便地對外交流。由于涉密文件在企業(yè)內(nèi)部都被自動強制進行了加密，對外正常交流時必須能夠方便、及時。同時，能夠設置外發(fā)文件的打開方式、閱覽時間和閱讀的次數(shù)等。
　　
　　日志審計：根據(jù)BS7799安全規(guī)范，一個系統(tǒng)zui重要的部分是其審計跟蹤能力，這是系統(tǒng)安全性的一部分。通過審計功能，管理員可以監(jiān)督、跟蹤所有用戶的全部操作，查看系統(tǒng)的使用情況，實現(xiàn)zui高的系統(tǒng)安全。根據(jù)日志信息的具體設置，可以設定不同的日志內(nèi)容。從龐大的日志數(shù)據(jù)中抽取有用的信息，對用戶操作進行分類整理，自動生成相應的審計報告。通過研究日志報告，對于已發(fā)生的泄密事件可以回溯歷史活動，從而發(fā)現(xiàn)泄密渠道。
　　
　　因此，制造企業(yè)多采用透明加密系統(tǒng)進行核心數(shù)據(jù)加密。透明加密的部署較為簡單，在管理端安裝一個引擎驅動，用于管理以及建立密鑰等。被加密電腦安裝工作站，然后就開始根據(jù)你管理端設置的規(guī)則自動加密了，剩余的只是對管理過程（比如*、加密規(guī)則等）。