您現在的位置:>  首頁 > 新聞中心 > 行業動態
聯系我們

電 話:0571-88855790/88855791

傳 真:0571-88315242

地 址:杭州市余杭區龍潭路7號未來科技研創園A座三樓320室

工業控制系統出現安全漏洞怎么解決

來源:杭州東田工控  日期:2019-05-17

    近年來,隨著社會生產力的不斷提供,工控行業也發生了很大的改變。工業控制系統從單機走向互聯,封閉走向開放,自動化走向智能化。在生產力顯著提高的同時,工業控制系統也面臨著日益嚴峻的信息安全威脅。

    一、安全軟件選擇與管理

    應在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業企業自身授權和安全評估的軟件運行。

    工業控制系統對系統可用性、實時性要求較高的主機,如MES服務器、OPC服務器、數據庫服務器、工程師站、操作員站等應用的安全軟件應事先在離線環境中進行測試與驗證,驗證和測試內容包括安全軟件的功能性、兼容性及安全性等。

    建立工業控制系統防病毒和惡意軟件入侵管理機制,對工業控制系統及臨時接入的設備采用必要的安全預防措施。包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設備(如臨時接入U盤、移動終端等外設)等。

    二、配置和補丁管理

    做好虛擬局域網隔離、端口禁用、遠程控制管理、默認賬戶管理、口令策略合規性等工業控制設備安全配置,建立相應的配置清單,制定責任人定期進行管理和維護,并定期進行配置核查審計。

    當發生重大配置變更(如重大漏洞補丁更新、安全設備的新增或減少、安全域的重新劃分等)時,工業企業應及時制定變更計劃,明確變更時間、變更內容、變更責任人、變更審批、變更驗證等事項。同時,應對變更過程中可能出現的風險進行分析,形成分析報告,并在離線環境中對配置變更進行安全性驗證。

    密切關注CNVD、CNNVD等漏洞庫及設備廠商發布的補丁。當重大漏洞及其補丁發布時,根據企業自身情況及變更計劃,在離線環境中對補丁進行嚴格的安全評估和測試驗證,對通過安全評估和測試驗證的補丁及時升級。

    三、邊界安全防護

    工業控制系統的開發、測試和生產環境需執行不同的安全控制措施,可采用物理隔離、網絡邏輯隔離等方式進行隔離。

    工業企業應根據實際情況,在不同網絡邊界之間部署邊界安全防護設備,實現安全訪問控制,阻斷非法網絡訪問,嚴格禁止沒有防護的工業控制網絡與互聯網連接。

    工業控制系統網絡安全區域根據區域重要性和業務需求進行劃分。區域之間的安全防護,可采用工業防火墻、網閘等設備進行邏輯隔離安全防護。

    四、物理和環境安全防護

    對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。拆除或封閉工業主機上不必要的USB、光驅、無線等接口,因為USB、光驅、無線等工業主機外設的使用為病毒、木馬、蠕蟲等惡意代碼入侵提供了途徑,拆除或封閉工業主機上不必要的外設接口可減少被感染的風險。確需使用時,可采用主機外設統一管理設備、隔離存放有外設接口的工業主機等安全管理技術手段。

    五、身份認證

    用戶在登錄工業主機、訪問應用服務資源及工業云平臺等過程中,應使用口令密碼、USB-key、智能卡、生物指紋、虹膜等身份認證管理手段,必要時可同時采用多種認證手段。工業企業應以滿足工作要求的最小特權原則來進行系統賬戶權限分配,確保因事故、錯誤、篡改等原因造成的損失最小化。

    參考供應商推薦的設置規則,并根據資產重要性,為工業控制設備、SCADA軟件、工業通信設備等設定不同強度的登錄賬戶及密碼,并進行定期更新,避免使用默認口令或弱口令。采用USB-key等安全介質存儲身份認證證書信息,建立相關制度對證書的申請、發放、使用、吊銷等過程進行嚴格控制,保證不同系統和網絡環境下禁止使用相同的身份認證證書信息,減小證書暴露后對系統和網絡的影響。

    六、遠程訪問安全

    工業控制系統面向互聯網開通HTTP、FTP、Telnet等網絡服務,易導致工業控制系統被入侵、攻擊、利用,工業企業應原則上禁止工業控制系統開通高風險通用網絡服務。

    需要進行遠程訪問的可在網絡邊界使用單向隔離裝置、VPN等方式實現數據單向訪問,并控制訪問時限。采用加標鎖定策略,禁止訪問方在遠程訪問期間實施非法操作。需要遠程維護的,應通過對遠程接入通道進行認證、加密等方式保證其安全性,如采用虛擬專用網絡(VPN)等方式,對接入賬戶實行專人專號,并定期審計接入賬戶操作記錄。

    應保留工業控制系統設備、應用等訪問日志,并定期進行備份,通過審計人員賬戶、訪問時間、操作內容等日志信息,追蹤定位非授權訪問行為。

    七、安全監測和應急預案演練

    在工業控制網絡部署可對網絡攻擊和異常行為進行識別、報警、記錄的網絡安全監測設備,及時發現、報告并處理包括病毒木馬、端口掃描、暴力破解、異常流量、異常指令、工業控制系統協議包偽造等網絡攻擊或異常行為。

    在工業企業生產核心控制單元前端部署可對Modbus、S7、Ethernet/IP、OPC等主流工業控制系統協議進行深度分析和過濾的防護設備,阻斷不符合協議標準結構的數據包、不符合業務要求的數據內容。

    制定工控安全事件應急響應預案,當遭受安全威脅導致工業控制系統出現異常或故障時,應立即采取緊急防護措施,防止事態擴大,并逐級報送直至屬地省級工業和信息化主管部門,同時注意保護現場,以便進行調查取證。

    定期組織工業控制系統操作、維護、管理等相關人員開展應急響應預案演練,演練形式包括桌面演練、單項演練、綜合演練等。必要時,企業應根據實際情況對預案進行修訂。

    八、數據安全

    對靜態存儲的重要工業數據進行加密存儲,設置訪問控制功能,對動態傳輸的重要工業數據進行加密傳輸,使用VPN等方式進行隔離保護,并根據風險評估結果,建立和完善數據信息的分級分類管理制度。對關鍵業務數據,如工藝參數、配置文件、設備運行數據、生產數據、控制指令等進行定期備份。對測試數據,包括安全評估數據、現場組態開發數據、系統聯調數據、現場變更測試數據、應急演練數據等進行保護,如簽訂保密協議、回收測試數據等。

備注:本文為東田工控原創文章,禁止轉載,如需轉載請注明出處:http://www.rohuwv.live

  • 電話咨詢

  • 4008-0571-96
广东彩票双色球