工业控制系统信息安全防护指南

[导读]在下述的内容中，小编将会对工业控制系统的相关消息予以报道，如果工业控制系统是您想要了解的焦点之一，不妨和小编共同阅读这篇文章哦。

在下述的内容中，小编将会对控制系统" target="_blank">工业控制系统的相关消息予以报道，如果工业控制系统是您想要了解的焦点之一，不妨和小编共同阅读这篇文章哦。

一、工业控制系统

工业控制系统(ICS)是几种类型控制系统的总称，包括数据采集与监视控制系统(SCADA)、集散控制系统(DCS)和其它控制系统，如在工业部门和关键基础设施中经常使用的可编程逻辑控制器(PLC)。工业控制系统通常用于诸如电力、水和污水处理、石油和天然气、化工、交通运输、制药、纸浆和造纸、食品和饮料以及离散制造(如汽车、航空航天和耐用品)等行业。

工业控制系统主要由过程级、操作级以及各级之间和内部的通信网络构成，对于大规模的控制系统，也包括管理级。过程级包括被控对象、现场控制设备和测量仪表等，操作级包括工程师和操作员站、人机界面和组态软件、控制服务器等，管理级包括生产管理系统和企业资源系统等，通信网络包括商用以太网、工业以太网、现场总线等。

工控网络层次模型从上到下共分为5个层级，依次为企业资源层、生产管理层、过程监控层、现场控制层和现场设备层，不同层级的实时性要求不同。企业资源层主要包括ERP系统功能单元，用于为企业决策层员工提供决策运行手段。

生产管理层主要包括MES系统功能单元，用于对生产过程进行管理，如制造数据管理、生产调度管理等;过程监控层主要包括监控服务器与HMI系统功能单元，用于对生产过程数据进行采集与监控，并利用HMI系统实现人机交互;现场控制层主要包括各类控制器单元，如PLC、DCS控制单元等，用于对各执行设备进行控制;现场设备层主要包括各类过程传感设备与执行设备单元，用于对生产过程进行感知与操作。

二、工业控制系统信息安全防护指南

(一)安全软件选择与管理

1.在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件，只允许经过工业企业自身授权和安全评估的软件运行。

解读：工业控制系统对系统可用性、实时性要求较高，工业主机如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证，其中，离线环境指的是与生产环境物理隔离的环境。验证和测试内容包括安全软件的功能性、兼容性及安全性等。

2.建立防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。

解读：工业企业需要建立工业控制系统防病毒和恶意软件入侵管理机制，对工业控制系统及临时接入的设备采用必要的安全预防措施。安全预防措施包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。

(二)配置和补丁管理

1.做好工业控制网络、工业主机和工业控制设备的安全配置，建立工业控制系统配置清单，定期进行配置审计。

解读：工业企业应做好虚拟局域网隔离、端口禁用等工业控制网络安全配置，远程控制管理、默认账户管理等工业主机安全配置，口令策略合规性等工业控制设备安全配置，建立相应的配置清单，制定责任人定期进行管理和维护，并定期进行配置核查审计。

2.对重大配置变更制定变更计划并进行影响分析，配置变更实施前进行严格安全测试。

解读：当发生重大配置变更时，工业企业应及时制定变更计划，明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。其中，重大配置变更是指重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等。同时，应对变更过程中可能出现的风险进行分析，形成分析报告，并在离线环境中对配置变更进行安全性验证。

3.密切关注重大工控安全漏洞及其补丁发布，及时采取补丁升级措施。在补丁安装前，需对补丁进行严格的安全评估和测试验证。