通过“三层架构，二层防护”的体系架构，对工业企业信息系统进行分层、分域、分等级，从而对工控系统的操作行为进行严格的、排他性控制，确保对工控系统操作的唯一性。

    通过工控系统安全管理平台，确保HMI、管理机、控制服务工控通信设施安全可信。

2、工控系统电子认证服务区的设计

   为了全面解决工控系统各设备之间的交互认证，各层之间的信息及指令传输的完整性和保密性，操作终端及控制台操作人员和远程维护人员的准入控制，操作行为的不可抵赖性问题，工控系统必须引入PKI体系，通过PKI体系对程算法和非对程算法及数字证书来解决以上问题。下图是工控系统各网络层次间的密码应用：

     为了实现以上密码应用，我们要借助PKI体系，也就是电子认证服务体系及一系列的电子认证服务商用密码产品解决密码应用问题，为此我们在工控系统里设计了如下电子认证服务区：

     引入电子认证服务区后工控控制系统网路变成如下安全防护架构：

图1  基于PKI体系的工控系统安全解决方案