該企業在設計生產園區的安全防護體系時，充分考慮到以下安全問題：

1) 不同業務平面需要進行網絡輯隔離，防止網絡安全事件發生時，存在風險快速橫向擴展導致大面積業務癱瘓風險。

2) 由於歷史原因，車間的工控系統自身防護能力非常弱，包括工控協議本身沒有考慮安全設計，計算機 OS 老舊，軟件升級和補丁更新緩慢，且很多設備並不適合安裝殺毒軟件。

3) 生產管理應用系統需要向外協工廠和廠內辦公網絡開放，存在黑客從外網直接攻擊生產管理系統的風險，也存在辦公區設備被病毒感染，而蔓延到生產管理系統的風險。

4) 生產網絡的邊界管理需要強健，避免像有些企業那樣，只採用簡單的 ACL隔離，車間生產設備採用分配固定 IP 地址，且用戶可以無限制次數地直接訪問這些生產設備等等。

5) 面對高級持續威脅和 WannaCry 等這種新型病毒，傳統單點和靜態防護常常束手無策，等到攻擊事件爆發時才制定相應安全措施。

針對上述安全問題，製造基地採取了如下的安全部署策略：

1) 多層次的安全隔離措施

在企業的大專網中，劃分一個生產專網，將辦公網絡和生產網絡區分開，在生產網絡中再進一步劃分若干個子網；生產區根據設備和業務特點，劃分不同安全區域，每個區域對應一個網絡子網。通過嚴格的安全隔離措施，來彌補工控系統自身防護能力弱的問題。

2) 嚴格的網絡訪問控制

每個子網分配私有 IP 地址段，子網之間通信需要通過網關進行訪問控制；設備接入生產大專網時，採用設備和用戶雙因子^[2]鑒權機制，設備需要先通過雲的合規性和殺毒檢測，各生產子網的訪問權限由雲平台統一管理，實現全局訪問監控。

3) 部署智能的主動防禦系統

通過安全態勢系統、安全策略智能管理和網絡誘捕系統，「三位一體」構建主動防禦體系，提高了對未知的威脅感知能力和安全響應能力。