大多数的OT网络都与互联网物理隔离，以降低OT网络被攻击的风险。
但是基于零信任原则，网络威胁无处不在，OT网络仍然面临很大的威胁。接下来我们会给您一些保护OT网络客户端安全的建议。

一、采用不需要连接互联网更新特征库的安全防护系统

很多客户端安全防护软体，通常都需要连接互联网订阅服务来更新最新版本和特征库。虽然可以采取加密和安全技术来连接，但是仍然存在风险。采用不需要与互联网连接即可更新的方案是最佳的。

二、为客户端安装防毒和防恶意软件的防护软体

OT网络中很多客户端执行的程式，极易被误判为病毒或者恶意软体，事实上，部分合法测试软体与安全防护软体并不兼容。即便如此，我们仍然要为每一个客户端安装有效的防护软体来保护客户端安全。

三、安全防护软体应该具备的功能

虽然大多数的安全防护软体都具备完整的功能，但是我们仍然要去重点评估和确认如下功能是否满足：
1、反恶意软件。
2、实时和定时威胁扫描。
3、应用程序和证书白名单。
4、异常检测。
5、未经授权的 USB 设备阻止。
6、数据完整性保护功能。
7、威胁告警上传平台和告警通知功能。
只允许运行预先批准的应用程序和服务来保护传统工业系统。

四、限制OT客户端网络访问权限

很多OT客户端仅仅用于监控电力、水、气等，功能单一简单，针对这类设备，无法安装安全防护软体，这就需要网络通信层限制仅允许这类设备可以访问关联的平台系统，而不能去访问无关的系统和设备。

五、为OT客户端提供实时更新

OT客户端的系统或者应用程式，本质上存在很多安全漏洞，虽然实际操作层面很困难，但是仍然需要用IT设备的管理方式，尽可能为他们实时更新系统版本，降低漏洞利用攻击风险。
除以上5点建议外，仍然还有很多可制定的政策和策略来补充和完善OT网络安全体系。需要有专业的人员，完善的政策，意识宣导，备份和恢复策略等等。
您还可以浏览如下博客获取降低网络安全威胁的措施：
小型企业如何简单有效防范网络攻击威胁
服务器漏洞修复-检查和关闭勒索病毒传播的SMBv1协议
安全知识普及：如何让您的计算机上网安全，无忧冲浪

如果您认为以上建议对您有帮助，希望可以点击大拇指点赞，点击关注后续更新。您的支持，才是我们创作的动力。