Q6: 入侵检测系统应该部署在什么位置？

Q6: 入侵检测系统应该部署在什么位置？

A: 工控入侵检测系统的部署位置直接影响检测效果，建议在以下关键位置部署：

1. 网络边界：在工控网络与管理信息网络（IT 网络）的边界处部署，监测 IT/OT 之间的所有通信，发现跨网络的攻击行为。此位置建议采用串联模式或旁路镜像模式。
2. 核心交换区域：在工控网络核心交换机上通过端口镜像方式部署旁路检测，覆盖网络内主要通信流量。此位置能够发现横向移动的攻击行为。
3. 关键区域边界：在安全分区的边界处部署，如生产控制区与管理信息区的边界、不同车间或子系统的边界。针对关键区域进行重点监测。
4. 关键设备旁路：对核心 PLC、DCS 控制器等关键设备的通信链路进行镜像监听，实现针对关键设备的精准检测。

实际部署时需综合考虑网络拓扑、交换机镜像能力、检测覆盖范围等因素。建议优先保障网络边界和核心区域的检测覆盖，再逐步扩展至各子区域。