第六章  工业控制系统



             所需的端到端的物理链路，而是架构在公用网络服务商所提供的网络平台，如
             Internet、ATM（异步传输模式）、Frame Relay（帧中继）等之上的逻辑网络，
             用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身

             份验证链接的专用网络的扩展。VPN主要采用了隧道技术、加解密技术、密钥管
             理技术和使用者与设备身份认证技术。
                 （六）工作组和活动目录域
                 目前大多数工业控制系统的计算机操作系统均基于微软公司的Windows平

             台。Windows组成网络的模式有两种：工作组（Work Group）和域（Domain）。
             大多数系统的组网方式是工作组模式，这带来了很大的安全隐患。而只有域模式
             是更加安全的组网模式，也是本技术方案所推荐采用的组网模式。
                 在工作组模式下，所有计算机是对等的，任何一台计算机只要接入网络，

             其他机器就可以访问共享资源，如共享上网等。尽管对等网络上的共享文件可以
             加访问密码，但是非常容易被破解。因此在工作组构成的对等网中，数据的传输
             是非常不安全的。在工作组模式下，每台计算机均有自己的Windows系统安全配
             置，不利于全厂统一安全配置，不利于检查和修改安全配置。每台计算机均有自

             己的用户账号，不利于对账号和密码进行管理和维护。
                 域的真正含义指的是域控制器控制网络上的计算机能否加入本网络。所有已
             授权的、合法的计算机信息和用户账号信息均储存在域控制器中，因此，任何人
             在任何计算机上要登录网络和计算机，均需要经过身份验证。域控制器管理了网

             络上所有计算机的安全配置，可以制定全厂统一的安全策略，实现网络上所有计
             算机的安全配置同步功能。在域控制器可以集中管理和维护域内所有计算机的用
             户账号和密码，对于需要定期修改密码的用户提供了很大的便利。
                 （七）系统加固与补丁管理

                 为了最大限度地保护计算机不受到病毒的侵害，需要安装与DCS系统兼容的
             杀毒软件，并且及时更新病毒库。另外，Windows的补丁也需要及时更新才能保
             持操作系统的稳定和健康运行。西门子在德国的测试中心会将最新的Windows补
             丁与PCS7系统的兼容性测试结果发布在网站上，维护人员根据这些信息可以选

             择安装补丁。
                 （八）恶意软件的检测和防护
                 恶意软件的种类繁多、变种更新频率很快。通常的防范措施是安装防毒软



                                                                                 ·209·