一、工控系统安全现状
谈到工业控制系统的信息安全,普遍意义上指的是数据采集与监控(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)的信息安全保护措施及安全管理。身在制造型企业,虽不会接触到所有上述工控系统,但有幸接触到某些常见的系统,对信息安全保护现状略有研究。
先说说大趋势。自“Stuxnet”病毒兴风作浪之后,工业控制系统的安全保护问题一下子被拿到了桌面上。在2011年,工信部发布了451号文《关于加强工业控制系统信息安全管理的通知》,这应该是第一个对工控系统安全保护的技术要求、管理要求做了初步明确的文件。
今年初,中国电子科技集团第六研究所受工信部委托,联合各行业协会也对各行业主要制造企业的工控系统安全现状做了摸底。不过至今为止还没看到任何建设建议或整改要求。不过好歹也是官方的、较大范围的行动了。可见国家的重视。
企业现状:制造型企业一般来说,对工控系统的安全保护看重的是两点:
-别感染病毒,系统别崩溃别宕机,保证生产稳定;
-严格管理使用工控系统的电脑或者工控机的各类权限,机密信息别外泄。
但由于之前多年来不重视不关注,面临的问题比较多:
-使用工控系统的电脑大多不连接办公网,杀软特征库和系统补丁(包括操作系统补丁和工控系统自身补丁)几乎从不更新,甚至有些用户担心杀软和系统冲突,不安装杀毒软件。
-工控系统究竟归属设计部门还是归属IT部门尚且混沌,配套管理自然缺失,没有备份恢复机制,没有定期审计。
-没有适用的漏洞扫描技术做支撑。我看了下,Nessus 5.0.1(home feed)虽有针对SCADA的插件,但只有三项。
针对这些问题,工信部的文件并没有给出具有可操作性的建议。ISO 27000系列、等保、分保也没有针对工控系统进行专项说明。企业实际操作起来困难重重。
二、初步解决措施
结合我司实际状况,只能初步设计一些解决措施,但无法落地执行,记录如下以供备案。
-严格切断工控系统与互联网、办公网的连接,单独组成lan,确保独立性,且禁止使用Wlan。
-工控网络和办公网络进行数据交互时,使用专用U盘,每周杀毒一次。
-每月定期由专人使用杀软离线更新包和系统补丁更新。
-将工控系统的安全管理明确纳入公司整体安全管理范畴,责任定为设计部门。
-设计一台专用服务器做工控系统数据的备份。
-与工控系统供应商保持联系,定期更新工控系统补丁。
-口令管理、日常审计、DLP均与普通办公网络完全一致。
