国产 一极视频,国产精品 日韩无码 大秀视频,亚洲第一天堂m网站,精品久久久久中文字幕加勒比

工控安全防護指南官方解讀
2018-12-28 10:01:00 來源:本站 瀏覽:1410

自去年11月份國務院印發(fā)《關(guān)于深化“互聯(lián)網(wǎng)+先進制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導意見》以來,“工業(yè)互聯(lián)網(wǎng)”討論的熱度就一直在升高。尤其是在上升到國家層面后,隨著其重要性的增加,對于工控的安全防護也成為了業(yè)內(nèi)關(guān)注的焦點。雖然工控安全已經(jīng)引起了國家的重視,但因為正處在由相對簡單轉(zhuǎn)向互聯(lián)網(wǎng)化模式的過程中,“工控安全”對于相關(guān)企業(yè)和從業(yè)者來說,仍是一個全新的領(lǐng)域,難免會在工作中犯一些錯誤。

 

為貫徹落實《國務院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》(國發(fā)〔2016〕28號)文件精神,工業(yè)和信息化部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》(以下簡稱《指南》),指導工業(yè)企業(yè)開展工控安全防護工作,提升工控安全的防護水平,保障工業(yè)控制系統(tǒng)安全。


工業(yè)控制系統(tǒng)信息安全防護指南

工業(yè)控制系統(tǒng)應用企業(yè)以及從事工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維、評估的企事業(yè)單位適用本指南。

工業(yè)控制系統(tǒng)應用企業(yè)應從以下十一個方面做好工控安全防護工作。


(一)安全軟件選擇與管理

1. 在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。


解讀:工業(yè)控制系統(tǒng)對系統(tǒng)可用性、實時性要求較高,工業(yè)主機如MES服務器、OPC服務器、數(shù)據(jù)庫服務器、工程師站、操作員站等應用的安全軟件應事先在離線環(huán)境中進行測試與驗證,其中,離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗證和測試內(nèi)容包括安全軟件的功能性、兼容性及安全性等。


2. 建立防病毒和惡意軟件入侵管理機制,對工業(yè)控制系統(tǒng)及臨時接入的設備采取病毒查殺等安全預防措施。


解讀:工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機制,對工業(yè)控制系統(tǒng)及臨時接入的設備采用必要的安全預防措施。安全預防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設備(如臨時接入U盤、移動終端等外設)等。


(二)配置和補丁管理

1.做好工業(yè)控制網(wǎng)絡、工業(yè)主機和工業(yè)控制設備的安全配置,建立工業(yè)控制系統(tǒng)配置清單,定期進行配置審計。


解讀:工業(yè)企業(yè)應做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡安全配置,遠程控制管理、默認賬戶管理等工業(yè)主機安全配置,口令策略合規(guī)性等工業(yè)控制設備安全配置,建立相應的配置清單,制定責任人定期進行管理和維護,并定期進行配置核查審計。


2.對重大配置變更制定變更計劃并進行影響分析,配置變更實施前進行嚴格安全測試。


解讀:當發(fā)生重大配置變更時,工業(yè)企業(yè)應及時制定變更計劃,明確變更時間、變更內(nèi)容、變更責任人、變更審批、變更驗證等事項。其中,重大配置變更是指重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等。同時,應對變更過程中可能出現(xiàn)的風險進行分析,形成分析報告,并在離線環(huán)境中對配置變更進行安全性驗證。


3.密切關(guān)注重大工控安全漏洞及其補丁發(fā)布,及時采取補丁升級措施。在補丁安裝前,需對補丁進行嚴格的安全評估和測試驗證。


解讀:工業(yè)企業(yè)應密切關(guān)注CNVD、CNNVD等漏洞庫及設備廠商發(fā)布的補丁。當重大漏洞及其補丁發(fā)布時,根據(jù)企業(yè)自身情況及變更計劃,在離線環(huán)境中對補丁進行嚴格的安全評估和測試驗證,對通過安全評估和測試驗證的補丁及時升級。


(三)邊界安全防護

1.分離工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境。


解讀:工業(yè)控制系統(tǒng)的開發(fā)、測試和生產(chǎn)環(huán)境需執(zhí)行不同的安全控制措施,工業(yè)企業(yè)可采用物理隔離、網(wǎng)絡邏輯隔離等方式進行隔離。


2.通過工業(yè)控制網(wǎng)絡邊界防護設備對工業(yè)控制網(wǎng)絡與企業(yè)網(wǎng)或互聯(lián)網(wǎng)之間的邊界進行安全防護,禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。


解讀:工業(yè)控制網(wǎng)絡邊界安全防護設備包括工業(yè)防火墻、工業(yè)網(wǎng)閘、單向隔離設備及企業(yè)定制的邊界安全防護網(wǎng)關(guān)等。工業(yè)企業(yè)應根據(jù)實際情況,在不同網(wǎng)絡邊界之間部署邊界安全防護設備,實現(xiàn)安全訪問控制,阻斷非法網(wǎng)絡訪問,嚴格禁止沒有防護的工業(yè)控制網(wǎng)絡與互聯(lián)網(wǎng)連接。


3.通過工業(yè)防火墻、網(wǎng)閘等防護設備對工業(yè)控制網(wǎng)絡安全區(qū)域之間進行邏輯隔離安全防護。


解讀:工業(yè)控制系統(tǒng)網(wǎng)絡安全區(qū)域根據(jù)區(qū)域重要性和業(yè)務需求進行劃分。區(qū)域之間的安全防護,可采用工業(yè)防火墻、網(wǎng)閘等設備進行邏輯隔離安全防護。


(四)物理和環(huán)境安全防護

1.對重要工程師站、數(shù)據(jù)庫、服務器等核心工業(yè)控制軟硬件所在區(qū)域采取訪問控制、視頻監(jiān)控、專人值守等物理安全防護措施。


解讀:工業(yè)企業(yè)應對重要工業(yè)控制系統(tǒng)資產(chǎn)所在區(qū)域,采用適當?shù)奈锢戆踩雷o措施。


2.拆除或封閉工業(yè)主機上不必要的USB、光驅(qū)、無線等接口。若確需使用,通過主機外設安全管理技術(shù)手段實施嚴格訪問控制。


解讀:USB、光驅(qū)、無線等工業(yè)主機外設的使用,為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑,拆除或封閉工業(yè)主機上不必要的外設接口可減少被感染的風險。確需使用時,可采用主機外設統(tǒng)一管理設備、隔離存放有外設接口的工業(yè)主機等安全管理技術(shù)手段。


(五)身份認證

1.在工業(yè)主機登錄、應用服務資源訪問、工業(yè)云平臺訪問等過程中使用身份認證管理。對于關(guān)鍵設備、系統(tǒng)和平臺的訪問采用多因素認證。


解讀:用戶在登錄工業(yè)主機、訪問應用服務資源及工業(yè)云平臺等過程中,應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段,必要時可同時采用多種認證手段。


2.合理分類設置賬戶權(quán)限,以最小特權(quán)原則分配賬戶權(quán)限。


解讀:工業(yè)企業(yè)應以滿足工作要求的最小特權(quán)原則來進行系統(tǒng)賬戶權(quán)限分配,確保因事故、錯誤、篡改等原因造成的損失最小化。工業(yè)企業(yè)需定期審計分配的賬戶權(quán)限是否超出工作需要。


3.強化工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等的登錄賬戶及密碼,避免使用默認口令或弱口令,定期更新口令。


解讀:工業(yè)企業(yè)可參考供應商推薦的設置規(guī)則,并根據(jù)資產(chǎn)重要性,為工業(yè)控制設備、SCADA軟件、工業(yè)通信設備等設定不同強度的登錄賬戶及密碼,并進行定期更新,避免使用默認口令或弱口令。


4.加強對身份認證證書信息保護力度,禁止在不同系統(tǒng)和網(wǎng)絡環(huán)境下共享。


解讀:工業(yè)企業(yè)可采用USB-key等安全介質(zhì)存儲身份認證證書信息,建立相關(guān)制度對證書的申請、發(fā)放、使用、吊銷等過程進行嚴格控制,保證不同系統(tǒng)和網(wǎng)絡環(huán)境下禁止使用相同的身份認證證書信息,減小證書暴露后對系統(tǒng)和網(wǎng)絡的影響。


(六)遠程訪問安全

1.原則上嚴格禁止工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等高風險通用網(wǎng)絡服務。


解讀:工業(yè)控制系統(tǒng)面向互聯(lián)網(wǎng)開通HTTP、FTP、Telnet等網(wǎng)絡服務,易導致工業(yè)控制系統(tǒng)被入侵、攻擊、利用,工業(yè)企業(yè)應原則上禁止工業(yè)控制系統(tǒng)開通高風險通用網(wǎng)絡服務。


2.確需遠程訪問的,采用數(shù)據(jù)單向訪問控制等策略進行安全加固,對訪問時限進行控制,并采用加標鎖定策略。


解讀:工業(yè)企業(yè)確需進行遠程訪問的,可在網(wǎng)絡邊界使用單向隔離裝置、VPN等方式實現(xiàn)數(shù)據(jù)單向訪問,并控制訪問時限。采用加標鎖定策略,禁止訪問方在遠程訪問期間實施非法操作。


3.確需遠程維護的,采用虛擬專用網(wǎng)絡(VPN)等遠程接入方式進行。


 解讀:工業(yè)企業(yè)確需遠程維護的,應通過對遠程接入通道進行認證、加密等方式保證其安全性,如采用虛擬專用網(wǎng)絡(VPN)等方式,對接入賬戶實行專人專號,并定期審計接入賬戶操作記錄。


4.保留工業(yè)控制系統(tǒng)的相關(guān)訪問日志,并對操作過程進行安全審計。


解讀:工業(yè)企業(yè)應保留工業(yè)控制系統(tǒng)設備、應用等訪問日志,并定期進行備份,通過審計人員賬戶、訪問時間、操作內(nèi)容等日志信息,追蹤定位非授權(quán)訪問行為。


(七)安全監(jiān)測和應急預案演練

1.在工業(yè)控制網(wǎng)絡部署網(wǎng)絡安全監(jiān)測設備,及時發(fā)現(xiàn)、報告并處理網(wǎng)絡攻擊或異常行為。


解讀: 工業(yè)企業(yè)應在工業(yè)控制網(wǎng)絡部署可對網(wǎng)絡攻擊和異常行為進行識別、報警、記錄的網(wǎng)絡安全監(jiān)測設備,及時發(fā)現(xiàn)、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業(yè)控制系統(tǒng)協(xié)議包偽造等網(wǎng)絡攻擊或異常行為。


2.在重要工業(yè)控制設備前端部署具備工業(yè)協(xié)議深度包檢測功能的防護設備,限制違法操作。


解讀:在工業(yè)企業(yè)生產(chǎn)核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業(yè)控制系統(tǒng)協(xié)議進行深度分析和過濾的防護設備,阻斷不符合協(xié)議標準結(jié)構(gòu)的數(shù)據(jù)包、不符合業(yè)務要求的數(shù)據(jù)內(nèi)容。


3.制定工控安全事件應急響應預案,當遭受安全威脅導致工業(yè)控制系統(tǒng)出現(xiàn)異常或故障時,應立即采取緊急防護措施,防止事態(tài)擴大,并逐級報送直至屬地省級工業(yè)和信息化主管部門,同時注意保護現(xiàn)場,以便進行調(diào)查取證。


解讀:工業(yè)企業(yè)需要自主或委托第三方工控安全服務單位制定工控安全事件應急響應預案。預案應包括應急計劃的策略和規(guī)程、應急計劃培訓、應急計劃測試與演練、應急處理流程、事件監(jiān)控措施、應急事件報告流程、應急支持資源、應急響應計劃等內(nèi)容。


4.定期對工業(yè)控制系統(tǒng)的應急響應預案進行演練,必要時對應急響應預案進行修訂。


解讀:工業(yè)企業(yè)應定期組織工業(yè)控制系統(tǒng)操作、維護、管理等相關(guān)人員開展應急響應預案演練,演練形式包括桌面演練、單項演練、綜合演練等。必要時,企業(yè)應根據(jù)實際情況對預案進行修訂。


(八)資產(chǎn)安全

1.建設工業(yè)控制系統(tǒng)資產(chǎn)清單,明確資產(chǎn)責任人,以及資產(chǎn)使用及處置規(guī)則。


解讀:工業(yè)企業(yè)應建設工業(yè)控制系統(tǒng)資產(chǎn)清單,包括信息資產(chǎn)、軟件資產(chǎn)、硬件資產(chǎn)等。明確資產(chǎn)責任人,建立資產(chǎn)使用及處置規(guī)則,定期對資產(chǎn)進行安全巡檢,審計資產(chǎn)使用記錄,并檢查資產(chǎn)運行狀態(tài),及時發(fā)現(xiàn)風險。


2.對關(guān)鍵主機設備、網(wǎng)絡設備、控制組件等進行冗余配置。


解讀:工業(yè)企業(yè)應根據(jù)業(yè)務需要,針對關(guān)鍵主機設備、網(wǎng)絡設備、控制組件等配置冗余電源、冗余設備、冗余網(wǎng)絡等。


(九)數(shù)據(jù)安全

1.對靜態(tài)存儲和動態(tài)傳輸過程中的重要工業(yè)數(shù)據(jù)進行保護,根據(jù)風險評估結(jié)果對數(shù)據(jù)信息進行分級分類管理。


解讀:工業(yè)企業(yè)應對靜態(tài)存儲的重要工業(yè)數(shù)據(jù)進行加密存儲,設置訪問控制功能,對動態(tài)傳輸?shù)闹匾I(yè)數(shù)據(jù)進行加密傳輸,使用VPN等方式進行隔離保護,并根據(jù)風險評估結(jié)果,建立和完善數(shù)據(jù)信息的分級分類管理制度。


2.定期備份關(guān)鍵業(yè)務數(shù)據(jù)。


解讀:工業(yè)企業(yè)應對關(guān)鍵業(yè)務數(shù)據(jù),如工藝參數(shù)、配置文件、設備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等進行定期備份。


3.對測試數(shù)據(jù)進行保護。


解讀:工業(yè)企業(yè)應對測試數(shù)據(jù),包括安全評估數(shù)據(jù)、現(xiàn)場組態(tài)開發(fā)數(shù)據(jù)、系統(tǒng)聯(lián)調(diào)數(shù)據(jù)、現(xiàn)場變更測試數(shù)據(jù)、應急演練數(shù)據(jù)等進行保護,如簽訂保密協(xié)議、回收測試數(shù)據(jù)等。


(十)供應鏈管理

1.在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估等服務商時,優(yōu)先考慮具備工控安全防護經(jīng)驗的企事業(yè)單位,以合同等方式明確服務商應承擔的信息安全責任和義務。


解讀:工業(yè)企業(yè)在選擇工業(yè)控制系統(tǒng)規(guī)劃、設計、建設、運維或評估服務商時,應優(yōu)先考慮有工控安全防護經(jīng)驗的服務商,并核查其提供的工控安全合同、案例、驗收報告等證明材料。在合同中應以明文條款的方式約定服務商在服務過程中應當承擔的信息安全責任和義務。


2.以保密協(xié)議的方式要求服務商做好保密工作,防范敏感信息外泄。


解讀:工業(yè)企業(yè)應與服務商簽訂保密協(xié)議,協(xié)議中應約定保密內(nèi)容、保密時限、違約責任等內(nèi)容。防范工藝參數(shù)、配置文件、設備運行數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、控制指令等敏感信息外泄。


(十一)落實責任

通過建立工控安全管理機制、成立信息安全協(xié)調(diào)小組等方式,明確工控安全管理責任人,落實工控安全責任制,部署工控安全防護措施。


解讀:工業(yè)企業(yè)應建立健全工控安全管理機制,明確工控安全主體責任,成立由企業(yè)負責人牽頭的,由信息化、生產(chǎn)管理、設備管理等相關(guān)部門組成的工業(yè)控制系統(tǒng)信息安全協(xié)調(diào)小組,負責工業(yè)控制系統(tǒng)全生命周期的安全防護體系建設和管理,制定工業(yè)控制系統(tǒng)安全管理制度,部署工控安全防護措施。

甘公網(wǎng)安備 62010002000517號

隴ICP備15001871號-1

聯(lián)系地址:甘肅省蘭州市城關(guān)區(qū)南濱河東路58號

?版權(quán)所有 2011-2020 甘肅安信信息安全技術(shù)有限公司

Copyright ? 2011-2020 Gansu Anxin information Safe Technology Ltd