3.4 控制网络逻辑分隔

工业控制系统网络至少应通过具有物理分隔网络的设备与公司管理网络进行逻辑分隔。公司管理网络与工业控制系统网络有连接要求时，应该做到以下几点：

（1）公司管理网络与工业控制系统网络的连接必须有文件记载，并且尽量采用最少的访问点，如有冗余的访问点，也必须有文件记载。

（2）公司管理网络与工业控制系统网络之间宜安装状态包检测防火墙，只允许明确授权的信息访问流量，对其他未授权的信息访问流量一概拒绝。

（3）防火墙的规则不仅要提供传输控制协议（TCP）和用户数据报协议（UDP）端口的过滤、网间控制报文协议（ICMP）类型和代码过滤，还要提供源端和目的地端的过滤。

公司管理网络与工业控制系统网络之间一个可接受的通信方法是在两者之间建立一个中间非军事化区（DMZ）网络。这个非军事化区应连接至防火墙，以确保定制的通信仅在公司管理网络与非军事化区之间、工业控制系统网络与非军事化区之间进行。公司管理网络与工业控制系统网络之间不可以直接相互通信。这个方法将在3.5节详细介绍。

工业控制系统网络与公司外部网络之间的通信应采用虚拟专用网络技术。