为什么工业生产网无法使用传统安全防御机制

工业生产网无法使用传统安全防御机制原因如下：

• 传统杀毒软件不适用于工业主机安全防护：工业主机是工业网络的高危攻击点，在生产优先、专机专用、够用即可等原则下，工业主机普遍存在硬件低配、系统老旧、不打补丁、软件定制等工业领域特有的问题，通用杀毒软件很难适配，实践中发生过多起工业软件被误杀的案例，因而许多工业主机宁愿“带病运行”，也不安装杀毒软件。

• 传统防火墙不适用于工业网络边界防护：传统的防火墙、网闸等网关设备，在工业环境中面临两大挑战：硬件设计不适应工业现场DIN导轨安装方式（一种工业标准，元件设备可方便地卡在导轨上而无须用螺丝固定；方便维护）和高温、高湿、粉尘以及酸碱环境；不能识别工控协议，只能设置粗粒度的安全策略，甚至采取流量全部放过的策略，安全策略形同虚设。

• 传统审计系统不适用于工业网络监测预警：由于传统的网络审计设备不能识别工控资产，不了解工控系统漏洞，对于针对工控系统的攻击行为、异常操作都无法识别，无法提供有价值的工业安全审计与异常报警。

• IT安全措施在OT领域几乎无效：较多工业企业在OT设置中使用IT安全措施，但没有考虑其对OT的影响。例如，国内某汽车企业的IT安全团队按照IT安全要求主动扫描OT网络，结果导致汽车生产线PLC出现故障，引起停产。