目前国内针对工业网络安全的防护标准尚未成型,公安部会同有关部门也在制定计算机信息系统安全等级的划分标准和安全等级保护的具体办法。在国际上,美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准(该标准由美国国土安全部颁布)以及2008年颁布的US Chemical Anti-Terrorism Act(美国化学反恐怖主义法)针对化工设备安全做了强制要求,目前,石油,水处理以及制造业都还没有必须按照以上立法规定作业,但是为了避免重大的风险,基本都遵守行业标准ANSI/ISA-99 Standards的要求进行规划。那么在现今的发展我们该如何选择工业网络安全的软件呢?下面匡恩网络向大家简单的介绍一下。
1.在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软,只允许经过工业企业自身授权和安全评估的软件运行。
解读:工业控制系统对系统可用性、实时性要求较高,工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,其中,离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。
2. 建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
解读:工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。
二、配置和补丁管理
1.做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
解读:工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置,远程控制管理、默认账户管理等工业主机安全配置,口令策略合规性等工业控制设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。
2.对重大配置变更制定变更计划并进行影响分析,配置变更实施前进行严格安全测试。
解读:当发生重大配置变更时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中,重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。
3.密切关注重大工控安全漏洞及其补丁发布,及时采取补丁升级措施。在补丁安装前,需对补丁进行严格的安全评估和测试验证。
解读:工业企业应密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。
