工业控制系统信息安全如何防护呢？（一）

工业控制系统信息安全如何防护呢？（一）

近年来，随着社会生产力的不断提供，工控行业也发生了很大的改变。工业控制系统从单机走向互联，封闭走向开放，自动化走向智能化。在生产力显著提高的同时，工业控制系统也面临着日益严峻的信息安全威胁。

数据安全

对静态存储的重要工业数据进行加密存储，设置访问控制功能，对动态传输的重要工业数据进行加密传输，使用VPN等方式进行隔离保护，并根据风险评估结果，建立和完善数据信息的分级分类管理制度。对关键业务数据，如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。对测试数据，包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护，如签订保密协议、回收测试数据等。

远程访问安全

工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务，易导致工业控制系统被入侵、攻击、利用，工业企业应原则上禁止工业控制系统开通高风险通用网络服务。

需要进行远程访问的可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问，并控制访问时限。采用加标锁定策略，禁止访问方在远程访问期间实施非法操作。需要远程维护的，应通过对远程接入通道进行认证、加密等方式保证其安全性，如采用虚拟专用网络（VPN）等方式，对接入账户实行专人专号，并定期审计接入账户操作记录。

应保留工业控制系统设备、应用等访问日志，并定期进行备份，通过审计人员账户、访问时间、操作内容等日志信息，追踪定位非授权访问行为。

物理和环境安全防护

对重要工程师站、数据库、服务器等核心工业控制软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。拆除或封闭工业主机上不必要的USB、光驱、无线等接口，因为USB、光驱、无线等工业主机外设的使用为病毒、木马、蠕虫等恶意代码入侵提供了途径，拆除或封闭工业主机上不必要的外设接口可减少被感染的风险。确需使用时，可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。

配置和补丁管理

做好虚拟局域网隔离、端口禁用、远程控制管理、默认账户管理、口令策略合规性等工业控制设备安全配置，建立相应的配置清单，制定责任人定期进行管理和维护，并定期进行配置核查审计。

当发生重大配置变更（如重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等）时，工业企业应及时制定变更计划，明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。同时，应对变更过程中可能出现的风险进行分析，形成分析报告，并在离线环境中对配置变更进行安全性验证。

密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时，根据企业自身情况及变更计划，在离线环境中对补丁进行严格的安全评估和测试验证，对通过安全评估和测试验证的补丁及时升级。