隨著工業(yè)控制系統(tǒng)產品越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與企業(yè)網或互聯(lián)網互通，使得其他網絡的安全風險很容易滲透到工控網絡。與此同時，工業(yè)生產網內部各業(yè)務單元之間如果未采取邊界防護措施，一旦某個業(yè)務單元遭受病毒感染和惡意公司，將可能蔓延至整個工業(yè)網絡，造成嚴重后果。

工業(yè)網絡一般分為控制系統(tǒng)、業(yè)務局域網以及在某些情況下處于兩者之間的監(jiān)管隔離區(qū)（DMZ），與管理網和互聯(lián)網的連接一般受到控制，獨立性較高，因此對于邊界的防護分為以下三種情況：

(1) 工控網絡與其他網絡沒有連接，則需要做好設備自身的安全防護，不需要新增邊界防護的設備

(2) 工控網絡與其他網有連接，則需要使用防火墻和網閘等防護設備進行邊界防護

(3) 工控網絡與其他網絡由連接，且通信實時性要求非常高，則需要企業(yè)采取彌補措施或依托專業(yè)機構提供定制化的解決方案。

為了保護網絡邊界，企業(yè)一般采用如下措施來進行邊界安全防護：

(1) 梳理網絡拓撲結構，確定工控網絡邊界

在部署網絡邊界防護設備之前，要清晰梳理網絡拓撲結構，確認工控網絡的內外部邊界。除了要對工控網與其他網絡之間的邊界進行安全防護以外，還需要對工控網絡內部各業(yè)務單元（功能組）間的邊界進行保護，以防止來自內部的攻擊以及某些繞過邊界防御的攻擊（如使用物理設備把惡意軟件引入控制系統(tǒng)中等）。

在識別、劃分出工控網絡的各個區(qū)域以后，還需要：(1)確定每個區(qū)域的邊界，保障邊界防御能夠部署在正確的未知；(2)對網絡做出必要的變更，以保證網絡架構與所定義的區(qū)域一致；(3)對區(qū)域進行記錄，保證策略的制定與執(zhí)行以及安全配置邊界、安全防護設備的準確性。

(2) 部署邊界防護設備

為了有效地實現(xiàn)工控網絡和其他網絡之間的邊界安全防護，在每個網絡邊界處部署一個或多個邊界安全設備，包括工業(yè)防火墻、工業(yè)網閘、單向隔離設備或者企業(yè)定制的邊界安全防護網關等。

生產網內部各業(yè)務單元的邊界防護應采取工業(yè)防火墻，根據各業(yè)務單元的業(yè)務特點、業(yè)務需求、安全防護等級等制定不同的安全訪問控制策略，保證只有授權的訪問操作才能進入到各個區(qū)域。

生產網與其他網絡的邊界防護可采用網閘、工業(yè)防火墻以及結合其業(yè)務特點，采取定制化的解決方案。