如何保障工控机的信息安全!
发布日期:2020-03-30 作者: 点击:
近年来,随着社会生产力的不断提供, 工控机箱行业也发生了很大的改变。工控机系统从单机走向互联,封闭走向开放,自动化走向智能化。在生产力显著提高的同时,工控机系统也面临着日益严峻的信息安全威胁。
一、配置和补丁管理
做好虚拟局域网隔离、端口禁用、远程控制管理、默认账户管理、口令策略合规性等工控机设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
当发生重大配置变更(如重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等)时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
二、安全软件选择与管理
应在工业机箱主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
工控机系统对系统可用性、实时性要求较高的主机,如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,验证和测试内容包括安全软件的功能性、兼容性及安全性等。
建立工控机系统防病毒和恶意软件入侵管理机制,对工控机系统及临时接入的设备采用必要的安全预防措施。包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
三、物理和环境安全防护
对重要工程师站、数据库、服务器等核心工控机箱软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。拆除或封闭工业主机上不必要的USB、光驱、无线等接口,因为USB、光驱、无线等工业主机外设的使用为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设接口可减少被感染的风险。确需使用时,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。
四、边界安全防护
工控机系统的开发、测试和生产环境需执行不同的安全控制措施,可采用物理隔离、网络逻辑隔离等方式进行隔离。
工业机箱企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工控机网络与互联网连接。
工控机系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。