1、管理层面

?透过管理手段进行合约约束，倡导并警示具备访问权限之人员不得进行违规行为。

?权限管理细化后，符合信息安全的最小仅知原则与仅用原则。

2、系统层面

?锁定网络来源与权限，避免网络层面威胁。

?限定特定U盘于车间内使用，减低U盘遗失风险以及同时使用于内外部之各种风险。

3、资料层面

透过加密机制，避免重要recipe在OA区时脱离管控。

同时，范总也以数百家高科技厂的交流经验，对于recipe强化安全管控列举以下几项企业可参考采用的管控建议，让尚未对recipe保护采取作为的企业做为参考：

1、锁定存取来源，防护网络威胁—工控环境防火墙

工控防火墙的功能在于保护机台不被周围机台的病毒侵入，若本身有病毒也不会扩散至其他机台。进一步地，工控防火墙也可以限制在机台的操作上只有特定的来源与目的IP位置才能碰触到基台，从网络上限制不当接触进而保护机台的安全性

2、事前-白名单预防上锁—载体层面

若机台允许装代理软件，不少大厂已经在机台上装上白环境软件：观察原始机台标准程序并锁定，让外部未授权的程序无法写入，不需更新同时也不会影响机台的性能，且能支持到win2000等级的老旧机台。且透过其细致的分权管理，能让中央整体控制，又可让设备工程师能管理每台机台的运作，并且避免了透过恶意程式在机台内窃取机敏信息的可能性，这也是近年国内大厂最受欢迎的保护方式。

3、保密安全U盘—载体层面

车间内若允许U盘随意进出，则机敏资讯的保护就会暴露在极大的风险之中，但U盘本身的便利性又可大幅提升工作的效能，因此企业可选择专用于车间内的保密U盘，同时兼顾保密并与外部U盘做区隔，专盘专用避免内外混杂，并留存存取轨迹，降低U盘载体的泄密风险，在安全与效率之间取得相对平衡。

4、终端运维管理软件—OA计算机与生产机台层面

掌握好关键资产为做好安全管理的基础，因此也越来越多的企业会在机台上局部的进行资产管理相关管控机制，然而机台跟PC本质上相当不同，本身对于高可用性与系统效能等都有其要求限制与独特性，因此如何在机台上做好资产管理与安全管控就成了各大厂都在探讨的课题。

最后，范总建议：配方保护的原则仍不脱等级保护的「安全原则」，同时考虑建

构纵深防御防御体系、采取互补的安全措施、保证一致的安全强度、建立统一的支撑平台、以及进行集中的安全管理等「五大重点」来进行审视与规划自身的配方保护机制。

以上就是苏州众里爱博体育吧科技在经历过数百家半导体、光电、新能源等各种高科技大厂，针对recipe强化安全管控而做的分享建议。在大会的安全演讲上，众里爱博体育吧总经理兼CTO范肇钧也再度提醒与会者：recipe安全管控并不是单一的杀毒或加密，而是需要企业构建纵深的防御系统。安全是智能制造或工业互联网的基础，建议尽快提案做相关安全管控防护，让大家在危机四伏的今日远离相关风险，强化安全管控recipe，让企业自动化及智能化能真正发挥其效益。