迈肯思工控机箱-19寸工控机箱制造商 迈肯思 - 19寸工控机箱制造商

首页 > 新闻

行业资讯

工控机系统出现安全漏洞怎么解决

2020-04-01   迈肯思工控机箱    0

近年来,随着社会生产力的不断提供,工控机箱行业也发生了很大的改变。工控机系统从单机走向互联,封闭走向开放,自动化走向智能化。在生产力显著提高的同时,工控机系统也面临着日益严峻的信息安全威胁。




一、配置和补丁管理


        做好虚拟局域网隔离、端口禁用、远程控制管理、默认账户管理、口令策略合规性等工控机设备安全配置,建立相应的配置清单,制定责任人定期进行管理和维护,并定期进行配置核查审计。


       当发生重大配置变更(如重大漏洞补丁更新、安全设备的新增或减少、安全域的重新划分等)时,工业企业应及时制定变更计划,明确变更时间、变更内容、变更责任人、变更审批、变更验证等事项。同时,应对变更过程中可能出现的风险进行分析,形成分析报告,并在离线环境中对配置变更进行安全性验证。


       密切关注CNVD、CNNVD等漏洞库及设备厂商发布的补丁。当重大漏洞及其补丁发布时,根据企业自身情况及变更计划,在离线环境中对补丁进行严格的安全评估和测试验证,对通过安全评估和测试验证的补丁及时升级。




二、安全软件选择与管理


    应在工业机箱主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。


    工控机系统对系统可用性、实时性要求较高的主机,如MES服务器、OPC服务器、数据库服务器、工程师站、操作员站等应用的安全软件应事先在离线环境中进行测试与验证,验证和测试内容包括安全软件的功能性、兼容性及安全性等。


    建立工控机系统防病毒和恶意软件入侵管理机制,对工控机系统及临时接入的设备采用必要的安全预防措施。包括定期扫描病毒和恶意软件、定期更新病毒库、查杀临时接入设备(如临时接入U盘、移动终端等外设)等。




 三、边界安全防护


    工控机系统的开发、测试和生产环境需执行不同的安全控制措施,可采用物理隔离、网络逻辑隔离等方式进行隔离


    工业机箱企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工控机网络与互联网连接。




四、物理和环境安全防护


       对重要工程师站、数据库、服务器等核心工控机箱软硬件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。拆除或封闭工业主机上不必要的USB、光驱、无线等接口,因为USB、光驱、无线等工业主机外设的使用为病毒、木马、蠕虫等恶意代码入侵提供了途径,拆除或封闭工业主机上不必要的外设接口可减少被感染的风险。确需使用时,可采用主机外设统一管理设备、隔离存放有外设接口的工业主机等安全管理技术手段。


 


五、远程访问安全


       工控机系统面向互联网开通HTTP、FTP、Telnet等网络服务,易导致工控机系统被入侵、攻击、利用,工业企业应原则上禁止工控机系统开通高风险通用网络服务。


       需要进行远程访问的可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,并控制访问时限。采用加标锁定策略,禁止访问方在远程访问期间实施非法操作。需要远程维护的,应通过对远程接入通道进行认证、加密等方式保证其安全性,如采用虚拟专用网络(VPN)等方式,对接入账户实行专人专号,并定期审计接入账户操作记录。




六、数据安全


       对静态存储的重要工业数据进行加密存储,设置访问控制功能,对动态传输的重要工业数据进行加密传输,使用VPN等方式进行隔离保护,并根据风险评估结果,建立和完善数据信息的分级分类管理制度。对关键业务数据,如工艺参数、配置文件、设备运行数据、生产数据、控制指令等进行定期备份。对测试数据,包括安全评估数据、现场组态开发数据、系统联调数据、现场变更测试数据、应急演练数据等进行保护,如签订保密协议、回收测试数据等。




七、安全监测和应急预案演练


     在工控机网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工控机系统协议包伪造等网络攻击或异常行为。


     在工业机箱企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工控机系统协议进行深度分析和过滤的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。