5.2 數控網絡安全防護原則

數控網絡信息安全防護應遵循以下原則：

a) 網絡可用

各類安全防護措施的使用不應對數控網絡的正常運行以及數控網絡與外部網絡的交互造成影響。

b) 網絡隔離

數控網絡應僅用于數控生產加工業務，應采用專用的物理網絡，與外部網絡的交互應采取有效的安全防護措施。

c) 分區防御

應將數控網絡劃分為數控網絡-監督控制區域和數控網絡-數控設備區域。數控網絡-數控設備區域按照生產功能可進一步劃分為不同的子區域。對不同的區域應根據安全要求采取安全保護措施。在不影響各區域工作的前提下，應于各區域邊界處采取安全隔離措施，確保各個區域之間有清楚明晰的邊界設定，并保障各區域邊界安全。

d) 全面保護

數控網絡的安全防護可通過物理訪問控制措施、管理措施以及技術措施實現。單一設備的防護、單一防護措施或單一防護產品的使用無法有效的保護數控網絡，數控網絡的防護應采取多種安全機制和多層防護策略。

注：物理訪問控制措施參見GB/T 22239中的要求。