|
|
知识路径: > 网络信息安全概述 > 网络信息安全目标与功能 > 工控安全需求分析与安全保护工程 > 工控系统安全保护机制与技术 >
|
|
相关知识点:15个
|
|
|
|
|
网络安全管理是工业控制系统的必要安全措施,技术安全实施依赖于安全管理到位。目前,国家《工业控制系统信息安全防护指南》针对安全管理的相关要求包括资产管理、安全软件选择与管理、配置和补丁管理、供应链管理等,其具体要求如下:
|
|
|
|
(1)建设工业控制系统资产清单,明确资产责任人,以及资产使用及处置规则。工业企业应建设工业控制系统资产清单,包括信息资产、软件资产、硬件资产等。明确资产责任人,建立资产使用及处置规则,定期对资产进行安全巡检,审计资产使用记录,并检查资产运行状态,及时发现风险。
|
|
|
|
(2)对关键主机设备、网络设备、控制组件等进行冗余配置。工业企业应根据业务需要,针对关键主机设备、网络设备、控制组件等配置冗余电源、冗余设备、冗余网络等。
|
|
|
|
(3)安全软件选择与管理。一是在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。二是建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
|
|
|
|
(4)配置和补丁管理。一是做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。配置清单主要包括虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置。二是对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。三是密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。工业企业应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
|
|
|
|
(5)供应链管理。一是选择工业控制系统规划、设计、建设、运维或评估等服务商时,优先考虑具备工控安全防护经验的企事业单位,以合同等方式明确服务商应承担的信息安全责任和义务。二是以保密协议的方式要求服务商做好保密工作,防范敏感信息外泄。保密协议中应约定保密内容、保密时限、违约责任等内容,防范工艺参数、配置文件、设备运行数据、生产数据、控制指令等敏感信息外泄。
|
|
|
|
(6)落实责任。通过建立工控安全管理机制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施。工业企业应建立健全工控安全管理机制,明确工控安全主体责任,成立由企业负责人牵头的,由信息化、生产管理、设备管理等相关部门组成的工业控制系统信息安全协调小组,负责工业控制系统全生命周期的安全防护体系建设和管理,制定工业控制系统安全管理制度,部署工控安全防护措施。
|
|
|
