工控系統(tǒng)和一般的辦公設備不同，工控系統(tǒng)冗余量小，一旦被感染，即使是只有部分的設備也會造成整個生產(chǎn)線的停工，甚至會導致設備的物理安全收到威脅。這時從損失的角度來看，保證系統(tǒng)正常運行的代價遠遠高于支付贖金，很難有其他的選擇。

當真的發(fā)生勒索事件發(fā)生時，一定要判明情況，然后冷靜并迅速的處理掉。首先要將被攻擊的異常設備進行斷網(wǎng)斷電的隔離處理，為了避免擴散的情況還要中斷內(nèi)網(wǎng)通信；然后聯(lián)系負責的安全廠商和相關機構對異常設備中的病毒樣本進行取樣分析，以便了解攻擊者的目的和所造成的影響，并開始修復工控系統(tǒng)，盡早恢復正常工作。查明完勒索病毒入具體侵情況后，應將異常設備進行離線修復，避免在安裝補丁等修復過程中再次受到入侵。

既然勒索病毒在工控行業(yè)如此猖狂，那有什么辦法防御嗎？勒索病毒通常是利用工控環(huán)境中的脆弱性問題和設備漏洞進行攻擊，其行為和惡意軟件的方式相同，所以在預防上也和其他工控惡意軟件一樣：

1.資產(chǎn)識別與維護

識別工控系統(tǒng)網(wǎng)絡中的設備，一經(jīng)查詢到右安全隱患或者已知漏洞的設備的存在就及時修復，對于一些不便停機升級的設備進行隔離保護，將工控系統(tǒng)網(wǎng)絡中的所有非必要的通訊端口關閉掉。

2.準入控制

準入控制就是對網(wǎng)絡邊界進行保護，按照相關規(guī)范對接入網(wǎng)絡的終端設備進行檢查，杜絕不安全的設備在未經(jīng)充分檢查下就接入工控系統(tǒng)。

3.備份與恢復

是不是的對重要的信息進行備份，如生產(chǎn)資料和系統(tǒng)等，備份的文件需要用單獨的設備離線儲存，或者保存到其他安全的環(huán)境中，并準備相應的恢復計劃。

4.事后追查能力

為了確保工控系統(tǒng)在被攻擊后可以快速追查攻擊來源、造成的影響以及所有設備是否已經(jīng)被完全恢復，組織需要具備良好的事后追查能力。

5.安全培訓

什么安全都少不了人和設備的結合，組織不能完全的依靠安全設備或管理制度，只有兩者相互配合才能有效的達到安防的最佳效果。我們要加強工控系統(tǒng)操作人員的安全意識，做好安全培訓工作，杜絕相關操作人員再出現(xiàn)下載不明文件、點擊不明鏈接等高危操作而導致的危險入侵。