今天的工业企业，都会定期为过程控制系统安装补丁来移除安全隐患，而持续不断的更新会带来很多风险。安装软件之后可能会引起软件回归之类的重要问题，同时，如果补丁未被应用，也可能会导致系统受损。

　　是否安装补丁取决于安装防御性补丁的风险和不安装防御性补丁而受到入侵的风险两者之间的权衡，而这两者又是根本上相对立的。给关键的系统安装补丁可能会使其“受损”——但是放任补丁不管又可能产生安全漏洞。

　　除了安全风险上的权衡，还涉及到更加务实的关于资源利用上的权衡。到底是自动安装补丁还是手动安装补丁，这两种方式所消耗的资源不尽相同，必须根据所需安装补丁的频率从长计议其效用和成本。

　　虚拟补丁是一种创新的技术，工业企业可以一边改进安装补丁的过程，一边提升系统的安全性。例如漏洞过滤器之类的组件能够确保未安装补丁的系统的安全性，更好地按照生产需求安排安装补丁的过程。

　　当下的安全风险

　　在生产制造企业的工厂和其他工业设施中，开放式的控制系统体系结构和标准协议对于企业来说可为喜忧参半。一方面，从孤立的专用应用程序向开放式技术的过渡扩展了过程和商业信息的可用性。另一方面，开放式技术将生产制造企业暴露于各种安全隐患之下，随着生产制造资产与企业资源规划系统的整合，这种风险将更加巨大。

　　漏洞过滤器的作用就像一个虚拟补丁，确保未安装补丁的系统的安全性，更好地按照生产需求安排安装补丁的过程。

　　开放式体系结构给企业带来的漏洞越来越多，加上恶意软件攻击的数量也越来越多，使得在全球范围内网络安全问题都是生产制造企业考量的重点之一。意外的或者恶意的攻击会给员工的健康和安全、生产和企业声誉等等带来巨大的风险。

　　为了最小化工厂自动化和信息系统的风险，安装具有多个防护层级的深度防御策略是十分重要的。这样的防护层级包括对服务器和工作站进行补强。

　　在过程控制网络中安装补丁是一个十分耗时的过程，虽然补丁能够恢复控制系统设备，使其能够抵御恶意软件的攻击，但是它也会在补丁安装的过程中提高失效的风险，安装一个软件补丁通常要求：

　　■ 与过程操作人员协调以确定适当的时间段安装补丁;

　　■ 切实安装补丁;

　　■ 交换主服务器和备用服务器的功能，使补丁能够装在备用服务器上;

　　■ 重启设备激活修改过的软件。

　　总的来说，上述要求会导致对服务器或者工作站安装一个补丁的平均时间在1个小时到2个小时之间。由于补丁通常是按月发布，而且不同供应商发布补丁的周期也不同，所以就导致这个安装补丁的过程成本高昂。如果等待每个部件的补丁都到位再同时安装，就会导致漏洞已经公布但是系统尚未安装补丁的窘境，所以程序入侵的风险反而会上升——大部分是感染网络蠕虫。

　　虚拟补丁技术

　　虚拟补丁技术，与传统补丁不同，无需触及应用本身、库文件或者操作系统就能够对系统进行保护。而且，安装虚拟补丁技术比安装实际的软件补丁更加迅速。在漏洞公开的几天之后，虚拟补丁就能够发挥作用，而应用程序开发商可能需要数周或者数月进行软件的修改和测试。

　　使用虚拟补丁技术之后，考虑到微软按月发布的安全补丁，负责维护的部门就可以降低DCS的修改频率，同时仍旧实现对网络攻击进行防护。

　　此过程的设计原理是在控制网络周围架设一个屏蔽层，检查已知漏洞的活动，对所谓的“零日攻击”实现良好的防护，而这种“零日攻击”在杀毒软件的保护机制中是未作定义的。漏洞过滤器并非以这种模式直接发挥效用，而是能够滤除针对特定漏洞的入侵，而对于其他特征则不敏感。

在大多数情况下，工业网络通讯的流量是可以预测的。流量上的变化可能预示着入侵。