Q19: 中小企业工控安全建设预算有限，怎么做最有效？

Q19: 中小企业工控安全建设预算有限，怎么做最有效？

A: 中小企业工控安全建设面临预算少、缺专人、设备老旧三大难题。没必要追求大而全的方案，建议按优先级分阶段实施：

第一阶段（必做，预算 10-20 万）：

1. 边界防火墙（1-2 台）：在工控网络与办公网络之间部署入门级工控防火墙。选择百兆级、支持基础工业协议（Modbus、OPC、IEC 104）的产品即可。预算约 5-8 万。
2. 终端白名单软件（覆盖关键终端）：对工程师站和操作站部署终端白名单软件，防止恶意软件通过 U 盘或远程接入感染工控主机。先覆盖最关键的操作站。预算约 3-5 万。
3. 基础管理制度：建立账号管理、U 盘管理、运维审批、应急响应等基本制度，要有文档、有执行、有记录。

第二阶段（建议做，预算 15-30 万）：

1. 日志审计系统（1 套）：旁路部署，集中采集工控网络中的设备日志和操作记录，满足等保 180 天日志留存要求。预算约 5-10 万。
2. 入侵检测系统（1 套）：在核心交换机旁路部署工控 IDS，监测异常通信和攻击行为。预算约 5-10 万。
3. 安全培训：对运维和管理人员进行工控安全意识和操作培训。预算约 2-3 万。

第三阶段（扩展做，预算 30 万+）：

• 安全管理平台、堡垒机、漏洞扫描等进阶能力，视业务发展逐步补充。

关键原则：不要为了合规盲目堆砌设备。中小企业的安全生产底线是"进不来（边界防护）、跑不动（白名单）、走得掉（日志审计）"，先把这三条做到位，再逐步扩展。