隨著工業(yè)控制系統(tǒng)產(chǎn)品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與企業(yè)網(wǎng)或互聯(lián)網(wǎng)互通，使得其他網(wǎng)絡的安全風險很容易滲透到工控網(wǎng)絡。與此同時，工業(yè)生產(chǎn)網(wǎng)內部各業(yè)務單元之間如果未采取邊界防護措施，一旦某個業(yè)務單元遭受病毒感染和惡意公司，將可能蔓延至整個工業(yè)網(wǎng)絡，造成嚴重后果。

工業(yè)網(wǎng)絡一般分為控制系統(tǒng)、業(yè)務局域網(wǎng)以及在某些情況下處于兩者之間的監(jiān)管隔離區(qū)（DMZ），與管理網(wǎng)和互聯(lián)網(wǎng)的連接一般受到控制，獨立性較高，因此對于邊界的防護分為以下三種情況：

(1) 工控網(wǎng)絡與其他網(wǎng)絡沒有連接，則需要做好設備自身的安全防護，不需要新增邊界防護的設備

(2) 工控網(wǎng)絡與其他網(wǎng)有連接，則需要使用防火墻和網(wǎng)閘等防護設備進行邊界防護

(3) 工控網(wǎng)絡與其他網(wǎng)絡由連接，且通信實時性要求非常高，則需要企業(yè)采取彌補措施或依托專業(yè)機構提供定制化的解決方案。

為了保護網(wǎng)絡邊界，企業(yè)一般采用如下措施來進行邊界安全防護：

(1) 梳理網(wǎng)絡拓撲結構，確定工控網(wǎng)絡邊界

在部署網(wǎng)絡邊界防護設備之前，要清晰梳理網(wǎng)絡拓撲結構，確認工控網(wǎng)絡的內外部邊界。除了要對工控網(wǎng)與其他網(wǎng)絡之間的邊界進行安全防護以外，還需要對工控網(wǎng)絡內部各業(yè)務單元（功能組）間的邊界進行保護，以防止來自內部的攻擊以及某些繞過邊界防御的攻擊（如使用物理設備把惡意軟件引入控制系統(tǒng)中等）。

在識別、劃分出工控網(wǎng)絡的各個區(qū)域以后，還需要：(1)確定每個區(qū)域的邊界，保障邊界防御能夠部署在正確的未知；(2)對網(wǎng)絡做出必要的變更，以保證網(wǎng)絡架構與所定義的區(qū)域一致；(3)對區(qū)域進行記錄，保證策略的制定與執(zhí)行以及安全配置邊界、安全防護設備的準確性。

(2) 部署邊界防護設備

為了有效地實現(xiàn)工控網(wǎng)絡和其他網(wǎng)絡之間的邊界安全防護，在每個網(wǎng)絡邊界處部署一個或多個邊界安全設備，包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設備或者企業(yè)定制的邊界安全防護網(wǎng)關等。

生產(chǎn)網(wǎng)內部各業(yè)務單元的邊界防護應采取工業(yè)防火墻，根據(jù)各業(yè)務單元的業(yè)務特點、業(yè)務需求、安全防護等級等制定不同的安全訪問控制策略，保證只有授權的訪問操作才能進入到各個區(qū)域。

生產(chǎn)網(wǎng)與其他網(wǎng)絡的邊界防護可采用網(wǎng)閘、工業(yè)防火墻以及結合其業(yè)務特點，采取定制化的解決方案。