近年来,随着社会生产力的不断提升,工控行业也发生了很大的改变。工业控制系统从单机走向互联,封闭走向开放,自动化走向智能化。在生产力显著提高的同时,工业控制系统也面临着日益严峻的信息安全威胁。
一、安全软件选择与管理
应在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
工业控制系统对系统可用性、实时性要求较高的主机,如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,验证和测试内容包括安全软件的功能性、兼容性及安全性等。
建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
二、配置和补丁管理
做好虚拟局域网隔离、端口禁用、远程控制管理、默认账户管理、口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
当发生重大配置变更(如重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等)时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁电脑发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
三、边界安全防护工业控制系统的开发、测试和生产环境需执行不同的安全控制措施,可采用物理隔离、网络逻辑隔离等方式进行隔离。
工业企业应根据实际情况,在不同网络边界之间部署安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
工业控制系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。
四、物理和环境安全防护
对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监
、专人值守等物理安全防护措施。拆除或封闭工业主机上不必要的USB、光驱、无线等接口,因为USB、光驱、无线等工业主机外设的使用为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设接口可减少被感染的风险。确需使用时,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
五、身份认证
用户在登录工业主机、访问应用服务资源及工业云平台等过程中,应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段,必要时可同时采用多种认证手段。工业企业应以满足工作要求的最小特权原则来进行系统账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化。参考供应商推荐的设置规则,并根据资产重要性,为工业控制设备、SCADA软件、工业通信设备等设定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令。采用USB-key等安全介质存储身份认证证书信息,建立相关制度对证书的申请、发放、使用、吊销等过程进行严格控制,保证不同系统和网络环境下禁止使用相同的身份认证证书信息,减小证书暴露后对系统和网络的电脑影响。
六、远程访问安全
工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务,易导致工业控制系统被入侵、攻击、利用,工业企业应原则上禁止工业控制系统开通高风险通用网络服务。需要进行远程访问的可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,并控制访问时限。采用加标锁定策略,禁止访问方在远程访问期间实施非法操作。需要远程维护的,应通过对远程接入通道进行认证、加密等方式保证其安全性,如采用虚拟专用网络(VPN)等方式,对接入账户实行专人专号,并定期审计接入账户操作记录。应保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
七、安全监测和应急预案演练
在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。
在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。
制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证。
定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练,演练形式包括桌面演练、单项演练、综合演练等。必要时,企业应根据实际情况对预案进行修订。
八、数据安全
对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN等方式进行隔离保护,并根据风险评估结果,建立和电脑完善数据信息的分级分类管理制度。对关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。对测试数据,包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护,如签订保密协议、回收测试数据等。
电脑 电脑
