通過“三層架構，二層防護”的體系架構，對工業企業信息系統進行分層、分域、分等級，從而對工控系統的操作行為進行嚴格的、排他性控制，確保對工控系統操作的唯一性。

    通過工控系統安全管理平臺，確保HMI、管理機、控制服務工控通信設施安全可信。

2、工控系統電子認證服務區的設計

   為了全面解決工控系統各設備之間的交互認證，各層之間的信息及指令傳輸的完整性和保密性，操作終端及控制臺操作人員和遠程維護人員的準入控制，操作行為的不可抵賴性問題，工控系統必須引入PKI體系，通過PKI體系對程算法和非對程算法及數字證書來解決以上問題。下圖是工控系統各網絡層次間的密碼應用：

     為了實現以上密碼應用，我們要借助PKI體系，也就是電子認證服務體系及一系列的電子認證服務商用密碼產品解決密碼應用問題，為此我們在工控系統里設計了如下電子認證服務區：

     引入電子認證服務區后工控控制系統網路變成如下安全防護架構：

圖1  基于PKI體系的工控系統安全解決方案