通过上图可以看到，我们把工业企业信息系统划分为三个层次，分别是计划管理层制造执行层工业控制层。

　　管理系统是指以ERP为代表的管理信息系统(MIS)，其中包含了许多子系统，如：生产管理物质管理财务管理质量管理车间管理能源管理销售管理人事管理设备管理技术管理综合管理等等，管理信息系统融信息服务决策支持于一体。

　　制造执行系统(MES)处于工业控制系统与管理系统之间，主要负责生产管理和调度执行。通过MES，管理者可以及时掌握和了解生产工艺各流程的运行状况和工艺参数的变化，实现对工艺的过程监视与控制。

　　工业控制系统是由各种自动化控制组件和实时数据采集监测的过程控制组件共同构成。主要完成加工作业检测和操控作业作业管理等功能。

　　工控系统的二层防护

　　1管理层与MES层之间的安全防护

　　管理层与MES层之间的安全防护主要是为了避免管理信息系统域和MES(制造执行)域之间数据交换面临的各种威胁，具体表现为：避免非授权访问和滥用(如业务操作人员越权操作其他业务系统);对操作失误篡改数据，抵赖行为的可控制可追溯;避免终端违规操作;及时发现非法入侵行为;过滤恶意代码(病毒蠕虫)。

　　也就是说，管理层与MES层之间的安全防护，保证只有可信合规的终端和服务器才可以在两个区域之间进行安全的数据交换，同时，数据交换整个过程接受监控审计。管理层与MES层之间的安全防护如下图所示：

　　2MES层与工业控制层之间的安全防护

　　通过在MES层和生产控制层部署工业防火墙，可以阻止来自企业信息层的病毒传播; 阻挡来自企业信息层的非法入侵;管控OPC客户端与服务器的通讯，实现以下目标：

　　区域隔离及通信管控：通过工业防火墙过滤MES层与生产控制层两个区域网络间的通信，那么网络故障会被控制在最初发生的区域内，而不会影响到其它部分。

　　实时报警：任何非法的访问，通过管理平台产生实时报警信息，从而使故障问题会在原始发生区域被迅速的发现和解决。

(责任编辑：)