《《工业控制系统信息安全防护指南》.docx》由会员分享,可在线阅读,更多相关《《工业控制系统信息安全防护指南》.docx(5页珍藏版)》请在第壹文秘上搜索。
1、工业控制系统信息安全防护指南细则解读防护层面安全细则细则解读安全软件选择与管理1)在工业主机上米用经过离线环境中充分除证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行.工业控制系统对系统可用性、实时性要求较内,工业主机如MES服务器、OpC如务器、数据库眼务器、工程师站、操作员站等应用的安全软件的事先在禺线环境中进行检测与验证,其中,寓线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性兼容性及安全性等.2)建立防病防和毒和软件入侵管理机制.对工业控制系统及临时接入的设备米取病毒杳杀等安全预防措施.工业企业需要建立工业控制系统防病鞋和恶
2、意软件入侵管理机制,刻工业控制系统及啮时接入的设法采用必要的安全预防措施.安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、连杀临时接入设备(如临时接入U盆、移动终端等外设等,配置和补丁管理1)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统限K清单,定期进行配置审计.工业企业应做好虚拟局域网隔离、端II禁用等工业控制网络安全配置,远程控制管理、默认张户管理等工业主机安全配置,11令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定长任人定期进行管理和维护,并定期进行配评核杳审计,2)对重大配置变更制定变更计划并进行影响分析.配置变更实施前进行产格安全测试.当
3、发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项.其中,重大配近变更是指或大设备的新增或减少、安全域的理新划分等。同时应对变史过程中可能出现的风险进行分析,形成分析报告,井在离战环境中对配近变更进行安全性验证。3)般切关注重大工控安全漏洞及其补丁发布,及时米取补丁升级措脩.在补丁安装前,需对补进行严格的安全评估和测试验证。工业企业应密切关注CNVD.CNNVD等漏洞库及设备厂商发布的补丁.当曳大漏洞及其补发布时,更具企业白身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,时通过安全评估和测试验证的补丁及时升级边界安全防
4、护D分离工业控制系统的开发、测试和生产环境.工业控制系统的开发、测试和生产环境需执行不同的安全控制措施、工业企业可采用物理隔离、网络逻轼隔离飞方式进行隔5.2)通过工业控制网络边界防护设饴对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。工业控制网络边界安全防护设备包括工业防火焙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设招,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。3)通过工业防火墙、网网等防护设备时工业控制网络安全区域之间进行逻辑隔禹安全
5、防护”工业控制系统网络安全区域根据区域生要性和业务需求进行划分,区域之间的安全防护,可采用工业防火墙、网闸等设需进行逻辑隔离安全防护。物理和环境安全防护1)对重要工程M站、数据库、眼务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施,工业企业应时或要工业控制系统资产所在区域采用适当的物理安全防护措施。2)拆除或封闭工业主机上不必要的USB、光驱、无战等接口。若确需使用,通过主机外设安全管理技术手段实他严格访问控制.US8、光驱、无线等工业主机外设的使用,为就用、木马、端虫等恶意代码入侵提供(途径,拆除或封闭工业主机上不必要的外设可减少被感染的风险,确需使用时,可
6、米用主机外设统一管理设备、隔离行放有外设接口的工业主机等安全管理技术手段.身份认证1)在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理.对于关键设备、系统和平台的访问采用多因素认证.用户在登录工业主机、访问应用服务资源及工业云平台等过程中应使用口令密码、USB-key.智能卡、生物指纹:、虹膜等身份认证管理手段,必要时可采用多种认2)合理分类设置账户权限,以最小特权原则分配账户权限.工业企业应以湎足工作要求的最小特权原则来进行系统账户权限分配,确保因事故、错误、篡改等原因造成的损失最小化。工业企业需定期审计分配的账户权限是否超出工作福要3)强化工业控制设备、$CADA软
7、件、工业通信设备等的登录账户及密码,避免使用费认口令或弱口令,定期更新口令.工业企业可参考供应商推荐的设置规则,并根据资产重要性,为工业控制设备、SCADA软件、工业通信设备等i殳定不同强度的登录账户及密码,并进行定期更新,避免使用默认口令或弱口令,4)加强对身份认证证书信息保护力度,禁止在不I可系统和网络环境下共享。工业企业可采用USB-key等安全介妩存储身份认证证书信息,建立相关制度对证书的申请、发放、使用、吊销等过程进行严格控制,保证不同系统和网络环境下禁止使用相同身份认证证书信息,减小证书暴露后时系统和网络的影响。1)原则上严格禁止工业工制系统而向互联网开通HTTP、FTP.TeIn
8、et等高风除通用网络服务,工业控制系统面向互联网开通EP、FTP.TeInet等网络服务,易导致工业控制系统制人慢、攻击、利用,工业企业应睨则上禁止工业控制系统开通高风险通用网络股务。2)确需远程访问的,米用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略.工业企业确需进行远程访问的,可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,井控制访问时限.采用加标锁定策略,禁止访问方在远程访问期间实施非法远程访问安全操作。3)确隔远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。工业企业确褥远程维护的,应通过对远程接入通道进行认证,加密等方式保证其安全性,
9、如采用虚拟专用网络VPN)等方式,对接入账户实行专人专号,并定期审计接入账户探作记录.4)保留工业控制系统的相关访问日志,志对探作过程进行安全审计.工业企业应保留工业控制系统设备、应用等访问日志,并定期进行的份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为.安全监测和应急预窠演练1)在工业控制网络部若网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、为警、记录的网络安全盥测设备,及时发现、报告并处理包括病毒木马、端I1.1.1.fft,爆力破解、异常流鼠、异常指令、工业控制系统物议包伪造等网络攻击或异
10、常行为.2)在重要工业控制设备前端部罟具符工业协议深度包检测功能的防护设备,限制违法操作。在工业企业牛产核心控制单几前端部署可对MOdbUS、S7、Ethernet/IP,OPC等主流工业控制系统协议进行深度分析和过活的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数3)制定工控安全事件应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措族,防止事态扩大,井逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调杳取证.工业企业需要自主或委托第:方工控安全服务单位制定工控安全事件应急响应预案.预案应包拈应急计划的策略和规程、应急计划培训、
11、应急计划测试与演练、应急处理流程、时间监控措临、应急事件报告流程、应急支持资源、应急响应计划等内容.4)定期对工业控制系统的应急响应预案进行演练,必要时对应应急响应预案进行修订。工业企业应定期组织工业控制系统操作、维护、管理等相关人员开展应急响应预案演练,演练形式包括桌面演练、单项演练、媒合演练等必要时,企业应根据实际情况对预案进行修订。资产安全D建设工业控制系统资产清单.明确资产责任人,以及资产使用及处置规则,工业企业应建设工业控制系统资产清单,包括侑总资产、软件费产、硬件资产等。明确资产市任人,建立资产使用及处设规则.定期对资产进行安全巡检,审计资产使用记录,并检查资产运行状态,及时发现风险.2)对关犍美机设备、网络设备控制组件等进行冗余配置,工业企业应根据业务筋要,针时关煜主机设备、网络设备、控制组件等配为冗余电海、冗余设备、冗余网络