工業(yè)控制系統(tǒng)信息安全防護(hù)指南

在下述的內(nèi)容中，小編將會(huì)對(duì)控制系統(tǒng)" target="_blank">工業(yè)控制系統(tǒng)的相關(guān)消息予以報(bào)道，如果工業(yè)控制系統(tǒng)是您想要了解的焦點(diǎn)之一，不妨和小編共同閱讀這篇文章哦。

一、工業(yè)控制系統(tǒng)

工業(yè)控制系統(tǒng)(ICS)是幾種類型控制系統(tǒng)的總稱，包括數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)(SCADA)、集散控制系統(tǒng)(DCS)和其它控制系統(tǒng)，如在工業(yè)部門和關(guān)鍵基礎(chǔ)設(shè)施中經(jīng)常使用的可編程邏輯控制器(PLC)。工業(yè)控制系統(tǒng)通常用于諸如電力、水和污水處理、石油和天然氣、化工、交通運(yùn)輸、制藥、紙漿和造紙、食品和飲料以及離散制造(如汽車、航空航天和耐用品)等行業(yè)。

工業(yè)控制系統(tǒng)主要由過程級(jí)、操作級(jí)以及各級(jí)之間和內(nèi)部的通信網(wǎng)絡(luò)構(gòu)成，對(duì)于大規(guī)模的控制系統(tǒng)，也包括管理級(jí)。過程級(jí)包括被控對(duì)象、現(xiàn)場(chǎng)控制設(shè)備和測(cè)量?jī)x表等，操作級(jí)包括工程師和操作員站、人機(jī)界面和組態(tài)軟件、控制服務(wù)器等，管理級(jí)包括生產(chǎn)管理系統(tǒng)和企業(yè)資源系統(tǒng)等，通信網(wǎng)絡(luò)包括商用以太網(wǎng)、工業(yè)以太網(wǎng)、現(xiàn)場(chǎng)總線等。

工控網(wǎng)絡(luò)層次模型從上到下共分為5個(gè)層級(jí)，依次為企業(yè)資源層、生產(chǎn)管理層、過程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層，不同層級(jí)的實(shí)時(shí)性要求不同。企業(yè)資源層主要包括ERP系統(tǒng)功能單元，用于為企業(yè)決策層員工提供決策運(yùn)行手段。

生產(chǎn)管理層主要包括MES系統(tǒng)功能單元，用于對(duì)生產(chǎn)過程進(jìn)行管理，如制造數(shù)據(jù)管理、生產(chǎn)調(diào)度管理等;過程監(jiān)控層主要包括監(jiān)控服務(wù)器與HMI系統(tǒng)功能單元，用于對(duì)生產(chǎn)過程數(shù)據(jù)進(jìn)行采集與監(jiān)控，并利用HMI系統(tǒng)實(shí)現(xiàn)人機(jī)交互;現(xiàn)場(chǎng)控制層主要包括各類控制器單元，如PLC、DCS控制單元等，用于對(duì)各執(zhí)行設(shè)備進(jìn)行控制;現(xiàn)場(chǎng)設(shè)備層主要包括各類過程傳感設(shè)備與執(zhí)行設(shè)備單元，用于對(duì)生產(chǎn)過程進(jìn)行感知與操作。

二、工業(yè)控制系統(tǒng)信息安全防護(hù)指南

(一)安全軟件選擇與管理

1.在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行。

解讀：工業(yè)控制系統(tǒng)對(duì)系統(tǒng)可用性、實(shí)時(shí)性要求較高，工業(yè)主機(jī)如MES服務(wù)器、OPC服務(wù)器、數(shù)據(jù)庫服務(wù)器、工程師站、操作員站等應(yīng)用的安全軟件應(yīng)事先在離線環(huán)境中進(jìn)行測(cè)試與驗(yàn)證，其中，離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗(yàn)證和測(cè)試內(nèi)容包括安全軟件的功能性、兼容性及安全性等。

2.建立防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

解讀：工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機(jī)制，對(duì)工業(yè)控制系統(tǒng)及臨時(shí)接入的設(shè)備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時(shí)接入設(shè)備(如臨時(shí)接入U(xiǎn)盤、移動(dòng)終端等外設(shè))等。

(二)配置和補(bǔ)丁管理

1.做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)。

解讀：工業(yè)企業(yè)應(yīng)做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置，遠(yuǎn)程控制管理、默認(rèn)賬戶管理等工業(yè)主機(jī)安全配置，口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置，建立相應(yīng)的配置清單，制定責(zé)任人定期進(jìn)行管理和維護(hù)，并定期進(jìn)行配置核查審計(jì)。

2.對(duì)重大配置變更制定變更計(jì)劃并進(jìn)行影響分析，配置變更實(shí)施前進(jìn)行嚴(yán)格安全測(cè)試。

解讀：當(dāng)發(fā)生重大配置變更時(shí)，工業(yè)企業(yè)應(yīng)及時(shí)制定變更計(jì)劃，明確變更時(shí)間、變更內(nèi)容、變更責(zé)任人、變更審批、變更驗(yàn)證等事項(xiàng)。其中，重大配置變更是指重大漏洞補(bǔ)丁更新、安全設(shè)備的新增或減少、安全域的重新劃分等。同時(shí)，應(yīng)對(duì)變更過程中可能出現(xiàn)的風(fēng)險(xiǎn)進(jìn)行分析，形成分析報(bào)告，并在離線環(huán)境中對(duì)配置變更進(jìn)行安全性驗(yàn)證。

3.密切關(guān)注重大工控安全漏洞及其補(bǔ)丁發(fā)布，及時(shí)采取補(bǔ)丁升級(jí)措施。在補(bǔ)丁安裝前，需對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證。

解讀：工業(yè)企業(yè)應(yīng)密切關(guān)注CNVD、CNNVD等漏洞庫及設(shè)備廠商發(fā)布的補(bǔ)丁。當(dāng)重大漏洞及其補(bǔ)丁發(fā)布時(shí)，根據(jù)企業(yè)自身情況及變更計(jì)劃，在離線環(huán)境中對(duì)補(bǔ)丁進(jìn)行嚴(yán)格的安全評(píng)估和測(cè)試驗(yàn)證，對(duì)通過安全評(píng)估和測(cè)試驗(yàn)證的補(bǔ)丁及時(shí)升級(jí)。

以上便是小編此次想要和大家共同分享的有關(guān)工業(yè)控制系統(tǒng)的內(nèi)容，如果你對(duì)本文內(nèi)容感到滿意，不妨持續(xù)關(guān)注我們網(wǎng)站喲。最后，十分感謝大家的閱讀，have a nice day!