工控系统加固及强化七步法

由于在家照顾“热血”男儿（well君），才有空得以写篇技术文章，2023年不平凡的一年，这应该也是我今年最后一篇技术文章了。

工控系统应该如何做加固强化，以下列出来7步：

1. 删除非必要组件

1.1 审核系统以识别并删除任何服务、应用程序、协议、驱动程序和其他非必要组件。

1.2 禁用无法删除的非必要组件。

1.3 禁用业务目的不需要的不安全通信协议。

1.4 禁用调试模式。

1.5 禁用打印机共享服务。

1.6 禁用网络管理工具。

1.7 禁用文件共享服务。

1.8 禁用电子邮件服务。

2. 限制远程访问

2.1 IT和 OT 团队必须评估哪些系统是利用远程访问所必需的。应尽可能限制远程访问，包括过程控制。

2.2 应确定远程访问要求，包括 IP 地址、通信类型以及内容可以监控进程。默认情况下应禁用所有其他内容。

2.3 用户发起的访问应需要多重身份验证。

2.4 记录远程访问机制、所需配置和用例。

2.5 应记录和监视所有远程访问通信。

2.6 确保定期审查远程访问需求。

3. 更改默认密码

3.1 更改设备和应用程序的所有默认密码。

3.2 密码必须符合组织密码要求，在技术上可行的情况下。

3.3 更改每个应用程序的本地默认根/管理员用户名和密码。

3.4 更改控制台/维护端口上的本地默认 root/管理员用户名和密码。

3.5 必须配置无法满足组织密码要求的设备最大密码强度。

4. 访问控制/最小权限原则

4.1 在技术上可行的情况下，设备必须配置单独的用户帐户。

4.2 确保管理在系统上执行任何配置更改都需要 - 级（特权访问）帐户。

4.3 必须为系统上的每个管理员创建单独的管理级帐户

4.4 设备正常运行需要操作员帐户/用户帐户。

4.5 如果设备不支持唯一的用户帐户，请记录共享帐户信息。

5. 设备固件升级

5.1 识别设备固件版本。

5.2 检查供应商网站以获取固件更新。

5.3 如果有可用更新，请通过验证文件哈希或加密密钥来验证固件更新的真实性和完整性。

5.4 在 OT 网络资产清单上标注当前固件版本

5.5 在投入生产之前在实验室或开发环境中测试更新。

5.6 在应用更新之前备份当前固件。

5.7 保留固件的离线副本以及相应的哈希或加密密钥。

6. 漏洞识别与补丁

6.1 审查 OT 资产清单中已识别和已知的漏洞。

6.2 制定一种方法来确定是否补丁的重要性，分为高、中或低。

6.3 补丁的重要性和风险评估将决定您是现在、下次还是从不实施补丁.

6.4 检查供应商网站是否有漏洞更新。

6.5 验证每个漏洞更新通过验证文件哈希或加密密钥来确保真实性和完整性。

6.6 在投入生产之前在实验室或开发环境中测试功能。

6.7 在 OT 网络资产清单上标注当前已修补的版本。

7. 其他安全注意事项

7.1 配置内置安全功能，例如基于主机的防火墙、端口安全、日志记录、防病毒等。

7.2 用证书颁发机构 (CA) 签名的证书替换自签名证书。 

7.3 通过识别新的网络资产并记录任何配置更改来更新 OT 网络资产清单。

7.4 在可行的情况下实施网络分段。

7.5 密码保护配置和项目文件。

最后在这里剑思庭谨代表个人和IRTeam团队，祝大家2023年终有收获，2024年大展宏图。我们2024年再见！

原文始发于微信公众号（IRTeam工业安全）：工控系统加固及强化七步法