1.酸洗冷連軋一層網絡中，工程師站、實際值處理服務器、過程數據采集服務器、實時數據采集站、HMI服務器、西門子工藝傳動控制操作站等部署可信計算安全產品，解決工控系統終端病毒感染、惡意代碼進程啟動、操作系統內核漏洞、USB誤用濫用等安全隱患，從根本上實現了對各種不安全因素的主動護。

2.自動化控制器和工程師站之間部署工業防火墻，防護隔離來自工程師站風險。

3酸洗冷連軋自動化建設中沒有考慮到安全防護的問題，根據自動化施工圖所示，L1級設備和L2級設備都混雜連接到交換機上，使得L1級設備和L2級設備無法有條理的梳理，造成各個功能區不能有效的隔離。建議增加L1級交換機，把一個工藝段所有的PLC設備連接到專屬的了L1級交換機上，在交換機上聯的出口部署Guard工業防火墻，隔離L1級系統和L2級系統。L2級系統上聯二層網絡出口(172.17.32.13)部署Guard工業防火墻,隔離一層網絡和二層網絡。

酸洗工藝交換機（172.17.32.14）出口部署工業防火墻，隔離酸洗和冷軋兩套系統。

4.第三方系統德國米巴赫公司,冷軋廠激光焊機操作站部署工業防火墻，短信管理平臺部署可信計算平臺。隔離西門子自動化系統和第三方系統。

5．Cisco switch 3550-24EMI和Cisco switch 2960-S（新增設備）交換機上部署工控審計與異常監測

包括功能如下：

? 網絡數據流量監測；

? 網絡異常數據報警及追溯；

? 操作記錄及協議深度分析；（需要雙方配合）

? 信息竊取報警（通過網絡的文件或數據非法訪問及傳輸）；

? 未知設備接入；

6.建議在二層網絡中部署安全管理平臺

安全管理平臺接收來自工業網絡防火墻和可信終端的報警及日志。安全管理平臺具有工控網絡行為審計記錄的智能分析的功能，具備強大的審計日志存儲查詢功能，可以對海量的審計數據進行實時監控和網絡行為態勢分析，使系統安全運維人員能夠通過實時日志展示畫面隨時監控正在發生的不同級別審計日志和報警信息，也可以通過安全管理平臺的條件查詢、統計、篩選、圖表展示和態勢分析算法模型等強大的功能迅速得出網絡健康狀況，最終自動獲得詳細的統計分析報告和事件處置方式建議，實現系統安全運維管理的實時性、完整性、自動化、智能化。

安全管理平臺針對工控網絡行為進行監控和與智能安全分析，監控平臺以底層工業防火墻、工控可信計算安全平臺以及其他網絡設備為探針，針對內置的“工業控制網絡通訊行為模型庫”核心模塊，能及時檢測工業網絡中出現的工業攻擊、蠕蟲病毒及非法入侵、設備異常等情況，并對危及系統網絡安全的因素做出智能預警分析，為管理者提供決策支持，以總覽大局的方式為工業網絡信息安全故障的及時排查、分析提供可靠地依據。

如以下拓撲圖所示：