● 《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)
● 《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)
● 《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)
● 《GB/T 22239-2008信息安全等级保护基本要求》
● 中国石油天然气集团《“护网2018”行动安全防护指南》
● 中国石油化工集团《关于加强工业控制系统安全防护的指导意见》
工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
● 以联合站、输油岗、脱水岗\井站等为单位进行安全子区域的防护,安全子域与上一层调度网络之间采用工业防火墙(或工业安全隔离网关)进行安全防护,实现生产网络安全子区域网络边界访问控制;
● 以联合站、输油岗、脱水岗等为单位进行安全子区域的防护,安全子域网络内部部署工业安全审计系统,通过内置的黑名单威胁特征库与通过自学习生成的白名单安全策略,对生产网络中的异常行为、异常流量、非授权操作等异常行为进行实时监控、分析;
● 以联合站、输油岗、脱水岗等为单位进行安全子区域的防护,在安全子域的所有上位操作终端统一部署一套USB安全隔离装置和主机防护系统,并对所有上位主机的USB接口进行封堵,规范USB接口的使用管理,并对通过USB接口进行的数据存储过程进行病毒查杀和访问控制;
● 对于采用调度中心集中调度的网络形势,需要在调度中心核心交换机旁路部署入侵检测系统,对通过调度中心与外部网络的链路入侵工控网络的威胁源进行有效检测;
● 在调度中心技术部署一套账号集中管理与审计系统,对整个生产网络中的运维过程进行安全审计;
● 在调度中心技术部署一套日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析,满足国家标准规范中关于日志审计的相关要求;
● 在调度中心上位操作终端部署网络版主机安全防护系统,实现终端进程的可信管理,只允许需要的业务软件运行,其他病毒、恶意程序,以及与业务无关的软件都无法运行,提供极高的安全性;
● 调度中心集中部署一套USB安全隔离装置,对调度中心的USB接口使用进行有效授权管理;
● 单独组建安全管理网络,对网络中所有安全设备进行集中管理,并对生产网络的安全态势进行集中监控与分析,通过安全管理平台进行统一显示。
![官方微信公众号 扫描关注](javascript:Site.hoverQrCode("//8942257.s21i.faiusr.com/4/2/ABUIABAEGAAgor6ciQYo7KCKBDCQAziQAw.png",this);){kind=link}