1、室外控制设备物理防护
a)室外控制设备应放置于采用铁板或其他防火材料制作的箱体或装置中并紧固;箱体或装置具有透风,散热、防盗、防雨和防火能力等。
b)室外控制设备放置应远离强电磁干扰、强热源等环境,如无法避免应及时做好应急处置及检修,保证设备正常运行。
2、网络架构
a)工业控制系统与企业其他系统之间应划分为两个区域,区域间应采用单向的技术隔离手段。
解读:将工业企业内部网络结构划分为生产控制区和管理信息大区。生产控制大区部署与生产密切相关的生产控制、生产监控、生产管理系统。管理信息大区部署与企业生产没有直接关联的系统。区域间物理隔离,数据单向传输。
b)工业控制系统内部应根据业务特点划分为不同的安全域,安全域之间应采用技术隔离手段。
解读:工业控制系统划分为一个独立区域,不同业务特点的工业控制系统应划分为不同的安全域,在不同安全域之间采用工业防火墙、虚拟局域网等技术手段进行隔离。如电力调度数据网分为实时子网和非实时子网,他们对数据更新的时效性不同。
c)涉及实时控制和数据传输的工业控制系统,应使用独立的网络设备组网,在物理层面上实现与其他数据网及外部公共信息网的安全隔离。
解读:生产控制大区内的设备与管理信息大区或互联网物理隔离不可共用。
3、通信传输
a)在工业控制系统内使用广域网进行控制指令或相关数据交换的应采用认证技术手段实现身份认证、访问控制和数据加密传输。
解读:如系统是SCADA(数据采集与监视控制系统)等需要使用专门广域网的系统,如电力调度数据网。在接入侧应部署加密、认证装置,如电力纵向加密装置。
4、访问控制
a)应在工业控制系统与企业其他系统之间部署访问控制设备,配置访问控制策略,禁止任何穿越区域边界的E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。
解读:生产控制大区和管理信息大区之间物理隔离,通过网闸数据交换。自然不能运行E-Mail、Web、Telnet、Rlogin、FTP等通用网络服务。
b)应在工业控制系统内安全域和安全域之间的边界防护机制失效时,及时进行报警。
解读:边界防护设备告警机制需要完善,通过邮件、短信等远程报警。
5、拨号使用控制
a)工业控制系统需使用拨号访问服务的,应限制具有拨号访问权限的用户数量,并采取用户身份鉴别和访问控制等措施。
b)拨号服务器和客户端均应使用经安全加固的操作系统,并采取数字证书认证、特殊加密和访问控制等措施。
6、无线使用控制
a)应对所有参与无线通信的用户人员、软件进程或者设备提供唯一性标识和鉴别。
解读:需要建立基于用户的标识(用户名、证书等),标识具有唯一性且支持对该属性进行鉴别;在工业现场自建无线(WIFI、WirelessHART、ISA100.1la. WIA-PA)网络中,通信网络设备应在组网过程中具备唯一标识,且支持对该设备属性进行鉴别。即无线接入的认证。
b)应对所有参与无线通信的用户(人员、软件进程或者设备)进行授权以及执行使用进行限制。
解读:无线接入的上网行为管理。
c)应对无线通信采取传输加密的安全措施,实现传输报文的机密性保护。
解读:采用加密的无线上网协议,WEP WPA等。
d)对采用无线通信技术进行控制的工业控制系统,应能识别其物理环境中发射的未经授权的无线设备,报告未经授权试图接入或干扰控制系统的行为。
解读:是否部署无线信号屏蔽装置。
7、控制设备
a)控制设备自身应实现相应级别安全通用要求提出的身份鉴别、访问控制和安全审计等安全要求,如受条件限制控制设备无法实现上述要求,应由其上位控制或管理设备实现同等功能或通过管理手段控制。
b)应在经过充分测试评估,在不影响系统安全稳定运行的情况下对控制设备进行补丁更新、固件更新等工作。
c)应关闭或拆除控制设备的软盘驱动、光盘驱动、USB接口、串行口或多余网口等,确需保留的应通过相关的技术措施实施严格的监控管理。
d)应使用专用设备和专用软件对设备进行更新。
e)应保证控制设备在上线前经过安全性检测,避免控制设备固件中存在恶意代码程序。
8、产品采购和使用
工业控制系统重要设备应通过专业机构的安全性检测后方可采购使用。
9、外包软件开发
应在外包开发合同中规定针对开发单位、供应商的约束条款,包括设备及系统在生命周期内有关保密、禁止关键技术扩散和设备行业专用等方面的内容。
评论