黑客也头痛：七大神器保护工业安全（二）

2.确保正确配置与管理增补程式：随着对手不断提高其能力，安全的实际作法也逐渐过时。其结果是，未经增补的软体越来越容易成为目标。关键是必须落实安全输入程序以及更新可信任的软体增补程式。

3.降低易受攻击的表面范围：关闭未使用的埠以及未用的服务。只有在绝对必要时才允许即时的外部连接。隔绝你的工业网路与不受信赖的外部网路。还有一个有用的技巧是，如果只需要单向通讯(如报告资料)，尽量使用光学隔离方案(资料二极体)，以预防回程讯号进入。

4.建立可防御的环境：正确的架构有助于限制从外围入侵的潜在损害。就像城堡拥有外墙和内部防御工事一样，将网路设计成一个可限制主机对主机通讯的系统集合，可避免因其中一个系统受损而影响其余系统。

5.认证管理：使用窃取而来的凭证可能让攻击者几乎无法被系统侦测到。因此，透过双重因素认证、限制使用者权限的存取、为企业与控制网路存取提供不同的认证，以及各种保护机制，都有助于强化认证。

6.安全的远端存取：如果有必要使用远端存取，更要采取保护措施，如使用硬体(而非软体)资料二极体进行唯读存取、限时远端存取、要求操作员透过远端存取请求进行控制，以及避免为供应商与员工采用不同存取路径的“双重标准”。同时，关闭任何可疑的存取物件、隐藏的后门等等。特别是防护数据机基本上并不安全。

7.监测与因应计划：网路攻击正不断地成熟壮大，所以目前看来足以因应的措施可能成为明日的破绽。持续地监测网路以避免可能的入侵迹象或其他攻击，并且预先拟定侦测到攻击时的因应计划。迅速采取行动可限制受损害的程度，而且也有利于尽快恢复。