隨著工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與企業(yè)網(wǎng)或互聯(lián)網(wǎng)互通，使得其他網(wǎng)絡(luò)的安全風(fēng)險很容易滲透到工控網(wǎng)絡(luò)。與此同時，工業(yè)生產(chǎn)網(wǎng)內(nèi)部各業(yè)務(wù)單元之間如果未采取邊界防護措施，一旦某個業(yè)務(wù)單元遭受病毒感染和惡意公司，將可能蔓延至整個工業(yè)網(wǎng)絡(luò)，造成嚴重后果。

工業(yè)網(wǎng)絡(luò)一般分為控制系統(tǒng)、業(yè)務(wù)局域網(wǎng)以及在某些情況下處于兩者之間的監(jiān)管隔離區(qū)（DMZ），與管理網(wǎng)和互聯(lián)網(wǎng)的連接一般受到控制，獨立性較高，因此對于邊界的防護分為以下三種情況：

(1) 工控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)沒有連接，則需要做好設(shè)備自身的安全防護，不需要新增邊界防護的設(shè)備

(2) 工控網(wǎng)絡(luò)與其他網(wǎng)有連接，則需要使用防火墻和網(wǎng)閘等防護設(shè)備進行邊界防護

(3) 工控網(wǎng)絡(luò)與其他網(wǎng)絡(luò)由連接，且通信實時性要求非常高，則需要企業(yè)采取彌補措施或依托專業(yè)機構(gòu)提供定制化的解決方案。

為了保護網(wǎng)絡(luò)邊界，企業(yè)一般采用如下措施來進行邊界安全防護：

(1) 梳理網(wǎng)絡(luò)拓撲結(jié)構(gòu)，確定工控網(wǎng)絡(luò)邊界

在部署網(wǎng)絡(luò)邊界防護設(shè)備之前，要清晰梳理網(wǎng)絡(luò)拓撲結(jié)構(gòu)，確認工控網(wǎng)絡(luò)的內(nèi)外部邊界。除了要對工控網(wǎng)與其他網(wǎng)絡(luò)之間的邊界進行安全防護以外，還需要對工控網(wǎng)絡(luò)內(nèi)部各業(yè)務(wù)單元（功能組）間的邊界進行保護，以防止來自內(nèi)部的攻擊以及某些繞過邊界防御的攻擊（如使用物理設(shè)備把惡意軟件引入控制系統(tǒng)中等）。

在識別、劃分出工控網(wǎng)絡(luò)的各個區(qū)域以后，還需要：(1)確定每個區(qū)域的邊界，保障邊界防御能夠部署在正確的未知；(2)對網(wǎng)絡(luò)做出必要的變更，以保證網(wǎng)絡(luò)架構(gòu)與所定義的區(qū)域一致；(3)對區(qū)域進行記錄，保證策略的制定與執(zhí)行以及安全配置邊界、安全防護設(shè)備的準確性。

(2) 部署邊界防護設(shè)備

為了有效地實現(xiàn)工控網(wǎng)絡(luò)和其他網(wǎng)絡(luò)之間的邊界安全防護，在每個網(wǎng)絡(luò)邊界處部署一個或多個邊界安全設(shè)備，包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設(shè)備或者企業(yè)定制的邊界安全防護網(wǎng)關(guān)等。

生產(chǎn)網(wǎng)內(nèi)部各業(yè)務(wù)單元的邊界防護應(yīng)采取工業(yè)防火墻，根據(jù)各業(yè)務(wù)單元的業(yè)務(wù)特點、業(yè)務(wù)需求、安全防護等級等制定不同的安全訪問控制策略，保證只有授權(quán)的訪問操作才能進入到各個區(qū)域。

生產(chǎn)網(wǎng)與其他網(wǎng)絡(luò)的邊界防護可采用網(wǎng)閘、工業(yè)防火墻以及結(jié)合其業(yè)務(wù)特點，采取定制化的解決方案。