工業控制系統安全保護機制有哪些

工業控制系統安全保護機制主要包括：

• 物理及環境安全防護

  物理及環境安全是工控系統的安全基礎。為保護工業控制系統的物理及環境安全， 《工業控制系統信息安全防護指南》要求如下：

  • 對重要工程師站、數據庫、服務器等核心工業控制軟硬件所在區域采取訪問控制、視頻監控、專人值守等物理安全防護措施。

  • 拆除或封閉工業主機上不必要的USB 、光驅、無線等接口。若確需使用，通過主機外設安全管理技術手段實施嚴格訪問控制。

• 安全邊界保護

  為確保有安全風險的區域隔離及安全控制管理，工業企業應將工業控制系統劃分為若干安全域。一般來說，工業控制系統的開發、測試和生產應分別提供獨立環境，避免把開發、測試環境中的安全風險引入生產系統。

  工業企業針對不同的安全域實現安全隔離及防護。其中，安全隔離類型分為物理隔離、網絡邏輯隔離等方式。常見的工業控制邊界安全防護設備包括工業防火墻、工業網閘、單向隔離設備及企業定制的邊界安全防護網關等。工業企業按照實際情況，在不同安全區域邊界之間部署邊界安全防護設備，實現安全訪問控制，阻斷非法網絡訪問。

• 身份認證與訪問控制

  身份認證與訪問控制是工業控制系統的安全基礎。目前，常見的認證技術手段有口令密碼、USB-Key、智能卡、人臉、指紋、虹膜等。為防范口令撞庫攻擊及敏感認證信息泄露影響，不同系統和網絡環境下禁止使用相同的身份認證證書信息，減小身份信息暴露后對系統和網絡的影響。

  對于工業控制設備、SCADA 軟件、工業通信設備等設定不同強度的登錄賬戶及密碼，并進行定期更新，避免使用默認口令或弱口令。針對內部威脅，工業企業的安全權限管理應遵循最小特權原則，對工業控制系統中的系統賬戶權限分配最小化，避免權限過多，防止特權濫用。

• 遠程訪問安全

  遠程訪問為工業企業的管理及維護提供方便，但與此同時也引入網絡安全問題，威脅者可以利用遠程訪問的安全缺陷入侵工控系統。《工業控制系統信息安全防護指南》要求如下：

  • 原則上嚴格禁止工業控制系統面向互聯網開通HTTP 、FTP 、Telnet 等高風險通用網絡服務。

  • 確需遠程訪問的，采用數據單向訪問控制等策略進行安全加固，對訪問時限進行控制，并采用加標鎖定策略。

  • 確需遠程維護的，采用虛擬專用網絡(VPN)等遠程接入方式進行。

  • 保留工業控制系統的相關訪問日志，并對操作過程進行安全審計。

• 工控系統安全加固

  工控系統安全加固通過安全配置策略、身份認證增強、強制訪問控制、程序白名單控制等多種技術措施，對工程師站、SCADA 服務器、實時數據庫等工控組件進行安全增強保護， 減少系統攻擊面。

• 工控安全審計

  工業企業部署安全審計設備，通過審計系統保留工業控制系統設備、應用等訪問日志，并定期進行備份，通過審計人員賬戶、訪問時間、操作內容等日志信息，追蹤定位非授權訪問行為。

回答所涉及的環境：聯想天逸510S、Windows 10。