由于工业控制网络中多为自动化领域的设备及应用，其在技术执行过程中与传统信息领域有着较大的差异。故在工业控制系统安全体系设计过程中，需要基于等级保护“一个中心，三重防护”的**理念，采用面向工业领域的*安全技术手段，按区域、分层级进行安全防护。

安全通信网络设计要点

l在工业控制系统与其它系统之间部署工控网闸，实现单向技术隔离；

l在不同安全域边界部署工控防火墙，实现对通信链路的风险管控；

l应用工控防火墙的模块或采用独立设备对无线传输过程进行加密，保证通信过程中数据的完整性、保密性。

安全区域边界设计要点

l在工业控制系统与其它系统之间部署工控网闸，实现网络边界隔离和访问控制；

l在生产区域内部各安全域间部署工控防火墙，对各安全域之间的访问行为进行细粒度控制；

l部署工控审计、日志审计，对用户行为和安全事件进行审计和分析；

l部署工控入侵检测与审计系统，对外部或内部发起的网络攻击行为进行检测、分析和预警防范。

安全计算环境设计要点

l在工业主机上安装工控主机卫士软件，对主机应用和进程、外设接口、移动存储设备等进行管控，对用户操作行为进行审计；

l部署运维审计系统，采用口令、生物技术等结合密码技术对用户进行身份鉴别，对用户登录和退出进行管理；

l部署工控漏扫，对已知漏洞进行扫描和安全评估，对上线前的控制设备进行安全性检测；

l应用工控防火墙的模块或采用独立设备保证重要数据在传输过程中的完整性、保密性。

安全管理中心设计要点

l部署工控安全集中管理平台，对网络中的安全设备或安全组件的运行状况进行监测、对设备日志进行关联分析，对安全策略进行统一下发；

l部署工控态势感知系统，对工控网络进行安全监测、分析、预警，或驱动安全应急响应流程，支撑应急响应、处置、追溯等安全管理和运维工作。