斑竹分享：

随着工厂生产规模的不断扩大，自动化网络也随着扩大。总体的趋势是未来的工厂越来越网络化与信息化。高效的管理信息流是工厂网络化与信息化的前提。那么这就涉及到了工业网络信息**这个话题。 如何能够保证工厂网络的信息**及信息流的高效管理？希望大家各抒己见，献计献策！

普及一下信息，在哪里可以找到有关“工业**”的信息？

http://support.automation.siemens.com/CN/view/zh/50203404

http://www.industry.siemens.com/industrial-security

补充：

1、Security all around - Industrial security for your plant - at all levels

https://c4b.gss.siemens.com/resources/images/articles/e20001-a1140-p200-x-7600.pdf

2、Network Security

https://www.automation.siemens.com/salesmaterial-as/brochure/en/brochure_network-security_en.pdf?HTTPS=REDIR

侠士：

工业网络目前与工厂MIS系统、ERP系统紧密结合，对工厂管理系统通过工业网络访问DCS系统数据时，应在DCS系统开放专用的协议和端口，禁止其它的应用端口和协议，上层应用不能对DCS系统数据不能进行写操作，DCS系统采用定时间隔上传数据，避免在工业网络上传输其它应用的数据，工业网络对外部应用通过统一的专用端口和协议与外部应用通讯。这是本人的一点拙见。

侠客：

主要是Siemens工业软件指定使用认证的杀毒软件（如macfee），

只要这一项，皆可以保证许多非认证杀毒软件错杀工业软件，又可以保护工业网络的**。

因为认证的杀毒软件应该经过了Siemens的测试。

游民：

我在这里只说一说联网中的DCS系统，由于网络和移动存储设备的原因，很容易使上位工控机感染上病毒，并且直接影响整个系统的平稳运行。我公司就出现过这种情况。生产流水线并网局域网集中监控，又与设备公司联网测试设备运行情况。从而感染上病毒，不但设备密码、口令被篡改，连存储的技术资料也被删除，当时还不知道3楼所说的macfee杀毒软件，只是用商业杀毒软件进行查杀，但损失无法挽回。现在无处不在的网络确是很难保证**！仅此共鉴。

大虾：

对于企业而言，要将内网与外网分开，禁止在内网网段进行上网。建议企业上ERP时建立两套服务器。

网络**一方面是网络系统本身的**，这就要对网络重要设备和重要数据建立实时备份和冗余；另一方面就是保证系统**，有能力的企业尽量开发自己的软件系统或者使用大公司的系统。第三保证传输介质的**可靠。

斑竹：

把工业网络融合到公司AD“域”中并且若通过外网访问必须经过VPN认证，公司工业网络划分独立VLAN并且与部分关系网段建立信任关系，网络节点使用工业交换机及路由器使用无线WLAN禁用SSID广播采用WPA加密方式，若要将PLC的相关信号数据放到公司内网上或者企业系统必须在工业网侧建立独立服务器与内网进行中继交互，禁用工业网络DHCP服务器使用静态IP，合理规划IP地址及网段。开放一些只与通信有关的端口开启ACL路由防火墙可以进行MAC地址绑定认证，当然用西门子的PLC*好使用西门子的工业交换机一些**功能是以西门子工业网络为目标而研发的，总之以太网络**从OSI的*低层物理层到*高层应用层这7层分别采取一些措施来加固网络**与降低风险，避免*有可能发生的基本网络隐患，防范**网络泄密。