工控系统该如何防御来自病毒的威胁

工控系统和一般的办公设备不同，工控系统冗余量小，一旦被感染，即使是只有部分的设备也会造成整个生产线的停工，甚至会导致设备的物理安全收到威胁。这时从损失的角度来看，保证系统正常运行的代价远远高于支付赎金，很难有其他的选择。

当真的发生勒索事件发生时，一定要判明情况，然后冷静并迅速的处理掉。首先要将被攻击的异常设备进行断网断电的隔离处理，为了避免扩散的情况还要中断内网通信；然后联系负责的安全厂商和相关机构对异常设备中的病毒样本进行取样分析，以便了解攻击者的目的和所造成的影响，并开始修复工控系统，尽早恢复正常工作。查明完勒索病毒入具体侵情况后，应将异常设备进行离线修复，避免在安装补丁等修复过程中再次受到入侵。

既然勒索病毒在工控行业如此猖狂，那有什么办法防御吗？勒索病毒通常是利用工控环境中的脆弱性问题和设备漏洞进行攻击，其行为和恶意软件的方式相同，所以在预防上也和其他工控恶意软件一样：

1.资产识别与维护

识别工控系统网络中的设备，一经查询到右安全隐患或者已知漏洞的设备的存在就及时修复，对于一些不便停机升级的设备进行隔离保护，将工控系统网络中的所有非必要的通讯端口关闭掉。

2.准入控制

准入控制就是对网络边界进行保护，按照相关规范对接入网络的终端设备进行检查，杜绝不安全的设备在未经充分检查下就接入工控系统。

3.备份与恢复

是不是的对重要的信息进行备份，如生产资料和系统等，备份的文件需要用单独的设备离线储存，或者保存到其他安全的环境中，并准备相应的恢复计划。

4.事后追查能力

为了确保工控系统在被攻击后可以快速追查攻击来源、造成的影响以及所有设备是否已经被完全恢复，组织需要具备良好的事后追查能力。

5.安全培训

什么安全都少不了人和设备的结合，组织不能完全的依靠安全设备或管理制度，只有两者相互配合才能有效的达到安防的最佳效果。我们要加强工控系统操作人员的安全意识，做好安全培训工作，杜绝相关操作人员再出现下载不明文件、点击不明链接等高危操作而导致的危险入侵。