工業(yè)控制系統(tǒng)信息安全如何防護(hù)呢？（一）

工業(yè)控制系統(tǒng)信息安全如何防護(hù)呢？（一）

近年來(lái)，隨著社會(huì)生產(chǎn)力的不斷提供，工控行業(yè)也發(fā)生了很大的改變。工業(yè)控制系統(tǒng)從單機(jī)走向互聯(lián)，封閉走向開放，自動(dòng)化走向智能化。在生產(chǎn)力顯著提高的同時(shí)，工業(yè)控制系統(tǒng)也面臨著日益嚴(yán)峻的信息安全威脅。

數(shù)據(jù)安全

對(duì)靜態(tài)存儲(chǔ)的重要工業(yè)數(shù)據(jù)進(jìn)行加密存儲(chǔ)，設(shè)置訪問(wèn)控制功能，對(duì)動(dòng)態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進(jìn)行加密傳輸，使用VPN等方式進(jìn)行隔離保護(hù)，并根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，建立和完善數(shù)據(jù)信息的分級(jí)分類管理制度。對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)，如工藝參數(shù)、配置文件、設(shè)備運(yùn)行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進(jìn)行定期備份。對(duì)測(cè)試數(shù)據(jù)，包括安全評(píng)估數(shù)據(jù)、現(xiàn)場(chǎng)組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場(chǎng)變更測(cè)試數(shù)據(jù)、應(yīng)急演練數(shù)據(jù)等進(jìn)行保護(hù)，如簽訂保密協(xié)議、回收測(cè)試數(shù)據(jù)等。

遠(yuǎn)程訪問(wèn)安全

工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等網(wǎng)絡(luò)服務(wù)，易導(dǎo)致工業(yè)控制系統(tǒng)被入侵、攻擊、利用，工業(yè)企業(yè)應(yīng)原則上禁止工業(yè)控制系統(tǒng)開通高風(fēng)險(xiǎn)通用網(wǎng)絡(luò)服務(wù)。

需要進(jìn)行遠(yuǎn)程訪問(wèn)的可在網(wǎng)絡(luò)邊界使用單向隔離裝置、VPN等方式實(shí)現(xiàn)數(shù)據(jù)單向訪問(wèn)，并控制訪問(wèn)時(shí)限。采用加標(biāo)鎖定策略，禁止訪問(wèn)方在遠(yuǎn)程訪問(wèn)期間實(shí)施非法操作。需要遠(yuǎn)程維護(hù)的，應(yīng)通過(guò)對(duì)遠(yuǎn)程接入通道進(jìn)行認(rèn)證、加密等方式保證其安全性，如采用虛擬專用網(wǎng)絡(luò)（VPN）等方式，對(duì)接入賬戶實(shí)行專人專號(hào)，并定期審計(jì)接入賬戶操作記錄。

應(yīng)保留工業(yè)控制系統(tǒng)設(shè)備、應(yīng)用等訪問(wèn)日志，并定期進(jìn)行備份，通過(guò)審計(jì)人員賬戶、訪問(wèn)時(shí)間、操作內(nèi)容等日志信息，追蹤定位非授權(quán)訪問(wèn)行為。

物理和環(huán)境安全防護(hù)

對(duì)重要工程師站、數(shù)據(jù)庫(kù)、服務(wù)器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問(wèn)控制、視頻監(jiān)控、專人值守等物理安全防護(hù)措施。拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口，因?yàn)閁SB、光驅(qū)、無(wú)線等工業(yè)主機(jī)外設(shè)的使用為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機(jī)上不必要的外設(shè)接口可減少被感染的風(fēng)險(xiǎn)。確需使用時(shí)，可采用主機(jī)外設(shè)統(tǒng)一管理設(shè)備、隔離存放有外設(shè)接口的工業(yè)主機(jī)等安全管理技術(shù)手段。

配置和補(bǔ)丁管理

做好虛擬局域網(wǎng)隔離、端口禁用、遠(yuǎn)程控制管理、默認(rèn)賬戶管理、口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置，建立相應(yīng)的配置清單，制定責(zé)任人定期進(jìn)行管理和維護(hù)，并定期進(jìn)行配置核查審計(jì)。

當(dāng)發(fā)生重大配置變更（如重大漏洞補(bǔ)丁更新、安全設(shè)備的新增或減少、安全域的重新劃分等）時(shí)，工業(yè)企業(yè)應(yīng)及時(shí)制定變更計(jì)劃，明確變更時(shí)間、變更內(nèi)容、變更責(zé)任人、變更審批、變更驗(yàn)證等事項(xiàng)。同時(shí)，應(yīng)對(duì)變更過(guò)程中可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析，形成分析報(bào)告，并在離線環(huán)境中對(duì)配置變更進(jìn)行安全性驗(yàn)證。

密切關(guān)注CNVD、CNNVD等漏洞庫(kù)及設(shè)備廠商發(fā)布的補(bǔ)丁。當(dāng)重大漏洞及其補(bǔ)丁發(fā)布時(shí)，根據(jù)企業(yè)自身情況及變更計(jì)劃，在離線環(huán)境中對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證，對(duì)通過(guò)安全評(píng)估和測(cè)試驗(yàn)證的補(bǔ)丁及時(shí)升級(jí)。