工業(yè)控制系統(tǒng)信息安全如何防護呢？（二）

工業(yè)控制系統(tǒng)信息安全如何防護呢？（二）

近年來，隨著社會生產力的不斷提供，工控行業(yè)也發(fā)生了很大的改變。工業(yè)控制系統(tǒng)從單機走向互聯，封閉走向開放，自動化走向智能化。在生產力顯著提高的同時，工業(yè)控制系統(tǒng)也面臨著日益嚴峻的信息安全威脅。

邊界安全防護

工業(yè)控制系統(tǒng)的開發(fā)、測試和生產環(huán)境需執(zhí)行不同的安全控制措施，可采用物理隔離、網絡邏輯隔離等方式進行隔離。工業(yè)企業(yè)應根據實際情況，在不同網絡邊界之間部署邊界安全防護設備，實現安全訪問控制，阻斷非法網絡訪問，嚴格禁止沒有防護的工業(yè)控制網絡與互聯網連接。

工業(yè)控制系統(tǒng)網絡安全區(qū)域根據區(qū)域重要性和業(yè)務需求進行劃分。區(qū)域之間的安全防護，可采用工業(yè)防火墻、網閘等設備進行邏輯隔離安全防護。

安全軟件選擇與管理

應在工業(yè)主機上采用經過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件，只允許經過工業(yè)企業(yè)自身授權和安全評估的軟件運行。

工業(yè)控制系統(tǒng)對系統(tǒng)可用性、實時性要求較高的主機，如MES服務器、OPC服務器、數據庫服務器、工程師站、操作員站等應用的安全軟件應事先在離線環(huán)境中進行測試與驗證，驗證和測試內容包括安全軟件的功能性、兼容性及安全性等。

建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設備采用必要的安全預防措施。包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設備（如臨時接入U盤、移動終端等外設）等。

身份認證

用戶在登錄工業(yè)主機、訪問應用服務資源及工業(yè)云平臺等過程中，應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段，必要時可同時采用多種認證手段。工業(yè)企業(yè)應以滿足工作要求的***小特權原則來進行系統(tǒng)賬戶權限分配，確保因事故、錯誤、篡改等原因造成的損失***小化。

參考供應商推薦的設置規(guī)則，并根據資產重要性，為工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等設定不同強度的登錄賬戶及密碼，并進行定期更新，避免使用默認口令或弱口令。采用USB-key等安全介質存儲身份認證證書信息，建立相關制度對證書的申請、發(fā)放、使用、吊銷等過程進行嚴格控制，保證不同系統(tǒng)和網絡環(huán)境下禁止使用相同的身份認證證書信息，減小證書暴露后對系統(tǒng)和網絡的影響。

安全監(jiān)測和應急預案演練

在工業(yè)控制網絡部署可對網絡攻擊和異常行為進行識別、報警、記錄的網絡安全監(jiān)測設備，及時發(fā)現、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網絡攻擊或異常行為。

在工業(yè)企業(yè)生產核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進行深度分析和過濾的防護設備，阻斷不符合協(xié)議標準結構的數據包、不符合業(yè)務要求的數據內容。

制定工控安全事件應急響應預案，當遭受安全威脅導致工業(yè)控制系統(tǒng)出現異?；蚬收蠒r，應立即采取緊急防護措施，防止事態(tài)擴大，并逐級報送直至屬地省級工業(yè)和信息化主管部門，同時注意保護現場，以便進行調查取證。

定期組織工業(yè)控制系統(tǒng)操作、維護、管理等相關人員開展應急響應預案演練，演練形式包括桌面演練、單項演練、綜合演練等。必要時，企業(yè)應根據實際情況對預案進行修訂。