傳統網絡安全防護機制不適合工業網的原因有哪些

傳統網絡安全防護機制不適合工業網的原因有以下這些：

• 傳統殺毒軟件不適用于工業主機安全防護：工業主機是工業網絡的高危攻擊點，在生產優先、專機專用、夠用即可等原則下，工業主機普遍存在硬件低配、系統老舊、不打補丁、軟件定制等工業領域特有的問題，通用殺毒軟件很難適配，實踐中發生過多起工業軟件被誤殺的案例，因而許多工業主機寧愿“帶病運行”，也不安裝殺毒軟件。

• 傳統防火墻不適用于工業網絡邊界防護：傳統的防火墻、網閘等網關設備，在工業環境中面臨兩大挑戰：硬件設計不適應工業現場DIN導軌安裝方式（一種工業標準，元件設備可方便地卡在導軌上而無須用螺絲固定；方便維護）和高溫、高濕、粉塵以及酸堿環境；不能識別工控協議，只能設置粗粒度的安全策略，甚至采取流量全部放過的策略，安全策略形同虛設。

• 傳統審計系統不適用于工業網絡監測預警：由于傳統的網絡審計設備不能識別工控資產，不了解工控系統漏洞，對于針對工控系統的攻擊行為、異常操作都無法識別，無法提供有價值的工業安全審計與異常報警。

• IT安全措施在OT領域幾乎無效：較多工業企業在OT設置中使用IT安全措施，但沒有考慮其對OT的影響。例如，國內某汽車企業的IT安全團隊按照IT安全要求主動掃描OT網絡，結果導致汽車生產線PLC出現故障，引起停產。

• 工業控制系統廣暴露，安全漏洞難修補：工業控制系統在互聯網上的暴露問題是工業互聯網安全的一個基本問題。所謂“暴露”，是指我們可以通過互聯網直接對某些與工業控制系統相關的工業組件，如工業控制設備、協議、軟件、系統等，進行遠程訪問或查詢。

回答所涉及的環境：聯想天逸510S、Windows 10。