對工業控制網絡結構安全防護手段有哪些

對工業控制網絡結構安全防護手段有以下這些：

• 結構優化：結構主要指的是網絡的結構，但是也包括生產的布局結構。它與入侵容忍度是緊密相關的。當某件事發生的時候，必須有相應的結構，這樣才能保證其他大面積系統不受影響。這是結構安全的核心。實際上這就是一個分區隔離的概念，它會把危害限制在一個盡量小的可控范圍之內，如國家電網的“橫向隔離、縱向認證”。

• 訪問控制：訪問控制本身是一種安全手段，它控制用戶和系統如何與其他系統和資源進行通信和交互。訪問控制能夠保護系統和資源免受未經授權的訪問，并且在身份驗證過程成功結束之后確定授權訪問的等級。盡管我們經常認為用戶是需要訪問網絡資源或信息的實體，但是還有許多其他類型的實體需要訪問作為訪問控制目標的其他網絡實體和資源。結構安全的根本所在就是通過控制如何訪問目標資源來防范資源泄露或未經授權的修改。訪問控制的實現手段在本質上都處于技術性、物理性或行政管理性層面。基于政策的文檔、軟件和技術、網絡設計和物理安全組件都需要實施這些控制方法。

• 防火墻技術：防火墻用于限制從另一個網絡對特定網絡的訪問。大多數企業都使用防火墻來限制從Internet對企業網絡的訪問。他們還可能使用防火墻限制一個內聯網段對另一個內聯網段的訪問。例如，如果網絡管理員需要讓雇員無法訪問生產網絡，那么他會在這個網絡和其他所有網絡之間設立一個防火墻，并且配置防火墻為只允許放行它認為可以接受的流量類型。

• 漏洞掃描：工業網絡安全設備、工業網絡傳輸設備等。進行漏洞掃描工作時，首先探測目標系統的存活設備，對存活設備進行協議和端口掃描，確定系統開放的端口協議，同時根據協議指紋技術識別出主機的系統類型和版本。然后根據目標系統的操作系統和提供的網絡服務，調用漏洞資料庫中已知的各種漏洞進行逐一檢測，通過對探測響應數據包的分析判斷是否存在漏洞。

• 補償性措施：當某個特定數據包會讓工控系統崩潰或者引發進一步的安全問題時，保護設備可以攔截這個包，這樣就不用修改工控系統代碼或者打補丁了。那么這類保護設備實現的功能我們就稱之為補償性措施。保護設備放在需要保護的設備或者系統前端。如果用戶自身已經知道，這個漏洞風險很大，一定會導致死機，一定會竊取信息，而且也發生過，那么多數用戶都會非常希望有這個補償性措施，這個補償性措施比升級工控系統軟件或者打補丁的風險要低很多。

回答所涉及的環境：聯想天逸510S、Windows 10。