工業(yè)控制系統(tǒng)信息安全如何防護呢？（一）

工業(yè)控制系統(tǒng)信息安全如何防護呢？（一）

近年來，隨著社會生產(chǎn)力的不斷提供，工控行業(yè)也發(fā)生了很大的改變。工業(yè)控制系統(tǒng)從單機走向互聯(lián)，封閉走向開放，自動化走向智能化。在生產(chǎn)力顯著提高的同時，工業(yè)控制系統(tǒng)也面臨著日益嚴峻的信息安全威脅。

數(shù)據(jù)安全

對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲，設置訪問控制功能，對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行加密傳輸，使用VPN等方式進行隔離保護，并根據(jù)風險評估結果，建立和完善數(shù)據(jù)信息的分級分類管理制度。對關鍵業(yè)務數(shù)據(jù)，如工藝參數(shù)、配置文件、設備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進行定期備份。對測試數(shù)據(jù)，包括安全評估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場變更測試數(shù)據(jù)、應急演練數(shù)據(jù)等進行保護，如簽訂保密協(xié)議、回收測試數(shù)據(jù)等。

遠程訪問安全

工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等網(wǎng)絡服務，易導致工業(yè)控制系統(tǒng)被入侵、攻擊、利用，工業(yè)企業(yè)應原則上禁止工業(yè)控制系統(tǒng)開通高風險通用網(wǎng)絡服務。

需要進行遠程訪問的可在網(wǎng)絡邊界使用單向隔離裝置、VPN等方式實現(xiàn)數(shù)據(jù)單向訪問，并控制訪問時限。采用加標鎖定策略，禁止訪問方在遠程訪問期間實施非法操作。需要遠程維護的，應通過對遠程接入通道進行認證、加密等方式保證其安全性，如采用虛擬專用網(wǎng)絡（VPN）等方式，對接入賬戶實行專人專號，并定期審計接入賬戶操作記錄。

應保留工業(yè)控制系統(tǒng)設備、應用等訪問日志，并定期進行備份，通過審計人員賬戶、訪問時間、操作內(nèi)容等日志信息，追蹤定位非授權訪問行為。

物理和環(huán)境安全防護

對重要工程師站、數(shù)據(jù)庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口，因為USB、光驅(qū)、無線等工業(yè)主機外設的使用為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑，拆除或封閉工業(yè)主機上不必要的外設接口可減少被感染的風險。確需使用時，可采用主機外設統(tǒng)一管理設備、隔離存放有外設接口的工業(yè)主機等安全管理技術手段。

配置和補丁管理

做好虛擬局域網(wǎng)隔離、端口禁用、遠程控制管理、默認賬戶管理、口令策略合規(guī)性等工業(yè)控制設備安全配置，建立相應的配置清單，制定責任人定期進行管理和維護，并定期進行配置核查審計。

當發(fā)生重大配置變更（如重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等）時，工業(yè)企業(yè)應及時制定變更計劃，明確變更時間、變更內(nèi)容、變更責任人、變更審批、變更驗證等事項。同時，應對變更過程中可能出現(xiàn)的風險進行分析，形成分析報告，并在離線環(huán)境中對配置變更進行安全性驗證。

密切關注CNVD、CNNVD等漏洞庫及設備廠商發(fā)布的補丁。當重大漏洞及其補丁發(fā)布時，根據(jù)企業(yè)自身情況及變更計劃，在離線環(huán)境中對補丁進行嚴格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。