安全防护依据

《关于加强工业控制系统信息安全管理的通知》(工信部协〔2010〕451号文)


《工业控制系统系统信息安全防护指南》(工信软函〔2016〕338号)


《工业控制系统信息安全防护能力评估工作管理办法》(工信部信软〔2017〕188号)


《GB/T 22239-2008信息安全等级保护基本要求》

安全防护原则
安全分区
对于生产网络与企业办公网络互联互通的现象,首先需要进行网络优化,明确生产网络边界,尽量避免存在多个生产网络边界的现象。

同时工控系统内部根据生产区域重要性和业务需求进行安全区域划分,阻止来自不同区域之间的越权访问,防止网络安全事件的扩散。
安全审计
对生产网络内部的日常操作行为进行基于白名单策略监控,及时发现网络中存在的异常流量、违规操作、非法访问、恶意程序等异常行为,并要求对生产网络的运行日志进行记录保存,至少保留6个月;对于已经发生攻击事件的情况,要求可以对攻击事件进行追踪、溯源,定位网络攻击的位置或具体用户。
边界防护
根据业务网络实际情况,在生产网络外部边界处部署工业防火墙或单向隔离网闸设备,保证生产网络向办公网络或其他外部网络数据单向传输。

工业控制系统上位操作主机(操作站、工程师站、服务器)作为生产网络的内部边界,需要对用户登陆、操作、运行等行为进行安全监控与审计,并对通过上位主机外设接口与生产网络进行数据通讯的行为进行授权管理。
恶意代码防范
对于以“白名单”防护策略为主的工控安全防护方案,除了对外部网络边界进行有效的访问控制和威胁监测以外,需要对上位主机的USB接口使用过程进行安全有效管理,对于临时接入工控网络的移动存储设备,必须先进行病毒查杀,才可以使用。
典型部署

 在各场站站点的控制器与上位监控层之间部署工业防火墙设备,通过访问控制策略限制对现场控制层的访问权限;


 在各场站上位监控主机部署USB安全隔离装置和主机防护系统,保证通过USB外设接口与上位主机的通讯过程安全,并对临时接入工控系统的移动介质进行病毒查杀,实现终端进程的可信管理;


 在调度中心及各场站主机终端部署工控主机安全卫士,实现终端进程的可信管理,从根本上提高了工控主机的安全性;


 各场站监控系统通过运营商网络接入地方调度中心时,应通过部署工业防火墙设备,保证接入调度中心网络时的有效权限访问;


 在调度中心部署入侵检测系统和工控安全审计系统,实现对生产网络内部的非法入侵、非授权访问、违规操作、异常流量等行为的实时监控;


 在调度中心部署账号集中管理与审计系统,实现对调度层网络中工程师运维过程的账号权限分配与管理,以及对运维过程的记录与分析;


 在调度中心部署日志审计系统,能够实时将工业控制网络中网络设备、安全设备、服务器、数据库系统的日志信息,进行统一地收集、处理和关联分析;


 在调度中心部署1套工控安全管理平台对安全设备的分析数据进行集中展示与预警。