近年来，公用事业公司的管理发生了巨大变化。利润增加和费用降低的压力使他们将scada系统集成到企业业务网络中以简化操作。巩固scada系统安全性的第一步是创建一个书面的安全策略，这是保护公司网络的必要组成部分。管理团队应制定明确的目标、目的、规则和正式程序，以确定总体方向并制定计划。书面安全策略的关键因素是在编写之前实施漏洞评估。漏洞评估应实施一种机制来区分系统设置和原始威胁，并对与所有软件网络需求相关的计算机和网络设备进行物理审计。同时，需要采取安全措施来保护网络。包括:网络设计、防火墙、vpn、ip安全、非武装区域。

确保网络安全的关键因素是接触点的数量，接触点的数量应尽可能受到限制。当防火墙从互联网获得通道时，许多现有的控制系统允许远程用户访问和调试系统。这些调制解调器通常直接连接到控制器变电站，并受密码保护。

有必要在公司网络和互联网之间建立一个强大的防火墙。作为公司网络内外的单个节点，防火墙可以得到有效的监控和保护。在公司网络管理中，应该至少有一个独立于网络终端的防火墙和路由器。在较大的站点，有必要保护控制系统免受scada网络的攻击。在公司和scada网络之间建立防火墙可以实现这个目标。

目前，复杂网络面临的主要安全问题之一是远程访问。vpn是连接远程scada网络的安全方式。在一定程度上，虚拟专用网可以保持所有数据路径的秘密，只对有限的个人群体开放。例如，供应商公司的员工，vpn基本上是一个交互式的小型计算机网络，它似乎运行在自己的专用网络上，而不是实际物理网络的物理结构上。典型的虚拟专用网服务器将作为防火墙的一部分或独立的服务器安装，外部用户只有在获得访问验证后才能访问scada网络。

Ip安全是ietf制定的一组协议，用于支持ip层数据包的安全交换。ip安全在实现vpn时被广泛部署。为了运行ipsec，发送方和接收方必须共享一个公钥，这可以通过isakmp/ oakley协议来完成。同时，允许接收方获得公钥来验证发送方使用了数字证书。

非武装区域是scada网络和公司网络或互联网之间的缓冲区，由额外的防火墙和路由器隔离，并提供额外的安全层来抵御电子网络攻击。dmz缓冲方法已成为一种常用方法，广泛用于将商业应用与scada系统网络分离，也是一种高度推荐的额外安全措施。

未经授权访问无线网络的两种常见方式是使用笔记本电脑或个人数字助理作为客户端进行访问，或者克隆无线信道的接入点。如果没有保护无线网络的措施，那么这些方法中的任何一种都可以提供对无线网络的全面访问。

要对citect解决方案和服务有更多信心，请访问citect