网络安全等级保护在工业控制系统中的应用

在工业控制系统中的网络边界安全尤为重要，为了防止从外部网络和内部非重要网络对重要网络区域的入侵，要求限制和监测非授权设备私自联到内部网络的行为、内部用户非授权联到外部网络的行为;对于无线网络使用进行严格控制，对所有参与无线通信的用户(人员和软件进程)提供唯一性标识和身份鉴别，确保无线网络通过受控的边界防护设备接入内部网络。监视和控制区域边界通信，默认拒绝所有非必要的网络数据流，仅允许例外网络数据流;边界防护机制失效时，能阻止所有边界通信(也称故障关闭)并及时进行报警，但故障关闭功能的设计不应干扰安全相关功能的运行。

在审计安全中，鉴于工业控制系统设备的多样性和复杂性，要求应能集中管理审计事件并从系统多个组件收集审计记录。按照工业标准格式输出审计记录，用于商业日志分析工具进行分析。

在访问控制中，要求网络边界或区域之间根据访问控制策略设置访问控制规则，对进出网络的信息内容进行过滤，实现对内容的访问控制。

(3)设备和计算安全

测评对象为工业控制系统中的设备，包括网络设备、安全设备、服务器、终端、数据库管理系统、控制器、控制单元、记录装置、传感器、执行机构、保护装置等。

要求对上述设备的远程管理、组态文件下装等重要操作进行身份鉴别;禁止使用默认账户和密码登录，密码应有复杂度要求;具有鉴别失败处理功能;同时，应防止身份鉴别信息在传输过程中被窃听。

对于防止恶意代码，应在重要和关键设备、关键网络节点、所有入口和出口处对恶意代码进行检测和清除，并对恶意代码库进行统一升级和更新;在重要和关键设备、关键网络节点处对垃圾邮件进行检测和防护，并维护垃圾邮件防护机制的升级和更新。应做到对可能造成损害的移动代码技术执行使用进行限制;采取措施防止、检测、报告和减轻恶意代码或未经授权软件的影响。对重要和关键设备中重要程序或文件完整性检测，并在检测到破坏后进行恢复。

对工业控制系统中重要设备的用户登录、操作、行为、资源使用情况等信息应保留审计记录，以便于发生安全事件时进行分析、跟踪、追责。审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息，并对审计记录进行保护，按照规定留存相关的网络日志不少于六个月。另外，审计记录产生时的时间应由系统范围内唯一确定的时钟产生，以确保审计分析的正确性。

(4)应用系统安全

测评对象为与企业资源相关的财务管理、资产管理、人力管理等系统的软件和数据资产，与生产制造相关的仓储管理、先进控制、工艺管理等系统的软件和数据资产，监控软件，控制程序等。

登录上述应用系统时，应对登录的用户进行身份标识和鉴别，鉴别信息具有复杂度要求并定期更换;启用登录失败处理功能;强制用户首次登录时修改初始口令;用户身份鉴别信息丢失或失效时，应采用鉴别信息重置或其他技术措施保证系统安全;应对同一用户采用2种或2种以上组合的鉴别技术实现用户身份鉴别。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!