文本描述
《工业控制系统信息安全防护指南》细则解读
防护层面
�安全细则
�细则解读
安全软件选择与管理
�1)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
�工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行检测与验证,其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。
�2)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
�工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
配置和补丁管理
�1)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
�工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
�2)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
�当发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
�3)密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
�工业企业应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补?5敝卮舐┒醇捌洳苟》⒉际保咂笠底陨砬榭黾氨涓苹诶胂呋肪持卸圆苟〗醒细竦陌踩拦篮筒馐匝橹ぃ酝ü踩拦篮筒馐匝橹さ牟苟〖笆鄙?
边界安全防护
�1)分离工业控制系统的开发、测试和生产环境。
�工业控制系统的开发、测试和生产环境需执行不同的安全控制措施、工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
�2)通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
�工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
�3)通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
�工业控制系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。
物理和环境安全防护
�1)对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
�工业企业应对重要工业控制系统资产所在区域采用适当的物理安全防护措施。
�2)拆除或封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,通过主机外设安全管理技术手段实施严格访问控制。
�USB、光驱、无线等工业主机外设的使用,为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设可减少被感染的风险。确需使用时,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
身份认证
�1)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理。对于关键设备、系统和平台的访问采用多因素认证。
�用户在登录工业主机、访问应用服务资源及工业云平台等过程中,应使用口令密码、USB-key、智能卡、生物指纹、虹膜等身份认证管理手段,必要时可采用多种认证手段。
�2)合理分类设置账户权限,以最小特权原则分配账户权限。
�工业企业应以满足工作要求的最小特权原则来进行系统账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化。工业企业需定期审计分配的账户权限是否超出工作需要。
�3)强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令。
�工业企业可参考供应商推荐的设置规则,并根据资产重要性,为工业控制设备、S
==>> 点击下载文档
