北极星

搜索历史清空

  • 水处理
您的位置:电力火电火电动态管理正文

电力系统看过来!任黑客百般搞闹 我有工控法宝!

2017-05-17 10:20来源:电力情报局关键词:电力系统电力安全生产电力建设收藏点赞

投稿

我要投稿

《工业控制系统信息安全防护指南》解读

《工业控制系统信息安全防护指南》(以下简称《指南》)从十一个方面三十款具体要求宏观描述了工业控制系统信息安全防护的轮廓,面向工控网络真实环境及特殊性提出了多项针对性的要求,为工业控制安全防护标准制定、技术研究、评估内容等方面提供了具体依据。

我们今天先详细解读前两条。

一、安全软件选择与管理

(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行

解读

工业控制系统对系统可用性、实时性要求较高,工业主机如 MES 服务器、OPC 服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。工业控制系统对可用性和实时性要求非常高,任何未经验证测试的软件都可能影响控制系统的稳定性,应对防病毒软件或应用程序白名单软件进行离线测试,测试无风险后,方可在工业主机上部署。目前工业主机有效防护机制有”黑名单机制”和“白名单机制”,相比之下工控网络则更加注重防护的“高可用性”和‘高可靠性’,鉴于工业应用的特殊性,”黑名单机制”无法应对多元化的风险及威胁。利用“白名单机制”可以建立工控行业应用程序信誉库,为工控应用程序提供可信认证、授权和评沽,同时辅助沙箱检测技术和杀毒软件进行应用程序软件的安全性测试,从根本上保证了工控主机安全。

(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施

解读

工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接人的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入 U 盘、移动终端等外设)等。病毒和恶意代码是工控系统主要威胁之一,应对工控系统设备(例如操作员站、工程师站、控制服务器等)部署病毒和恶意代码集中监控、防护管理措施,对工业控制系统及临时接入的设备进行病毒和恶意代码扫描检测,防止遭受病毒和恶意软件攻击。

二、配置和补丁管理

(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计

解读

工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。安全配置是基础性的安全防护措施,安全配置能够增强工控网络、工业主棚用工控设备安全性,应建立工控系统安全配置清单,包括工控网络设备、工业主机、工控设备的安全配置清单。在日常运维管理方面,指导管理人员对系统安全配置优化,避免存在安全隐患。根据工业控制系统配置清单,定期对工业控制网络、工业主机和工业控制设备开展配置审计,及时发现配置问题。

(二)对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试

解读

当发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。工控系统的日常维护管理经常涉及到配置变更,但未经严格安全测试的重大变更可能会对工控系统造成破坏。在工控系统重大配置变更之前,应制定变更计划,对变更可能出现的影响进行评佑分析,并在工控系统离线环境中进行安全测试,保障配置变更的安全性和可靠性。

(三)密切关注重大工控安全漏洞及其补丁发布,及时采职补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证

解读

工业企业应密切关注 CNVD 、 CNNVD 等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。工控系统较传统的 IT 系统更脆弱,在补丁升级方面要非常慎重,补丁升级可能会影响工控系统的稳定性,如果补丁升级失败,可能对工控系统造成破坏,导致工控系统运行中断。因此,工控系统在补丁升级之前必须进行严格验证测试,包括安全性、稳定性、兼容性和可靠性验证测试。

投稿与新闻线索:陈女士 微信/手机:13693626116 邮箱:chenchen#bjxmail.com(请将#改成@)

特别声明:北极星转载其他网站内容,出于传递更多信息而非盈利之目的,同时并不代表赞成其观点或证实其描述,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。

凡来源注明北极星*网的内容为北极星原创,转载需获授权。

电力系统查看更多>电力安全生产查看更多>电力建设查看更多>