工业控制系统安全管理—管理方法
【技术频道 • 信息安全】 作者:Torch 来源:原创 发布时间:2016-03-28 浏览次数:6368 分享到:
前面简单概括了工业控制系统安全管理的现状,以及工业控制系统的分类,下面是我对工业控制系统安全管理的一些浅见,希望能够抛砖引玉。
个人觉得,工业控制系统信息安全管理<Industrial IT security management
system>完全可以采用标准的ISMS来管理,比如使用ISO 2W7,针对工业控制系统进行落地化。
你可以把工业控制系统的信息安全管理统一到公司的信息安全管理体系里面。当然,使用2W7去管理公司的工控系统,有点高射炮打蚊子,大材小用了。
如果你没有时间,可以先从下面几个方面着手。
1、《组织构架》公司需要有指定任命的人员来负责工控系统
- 可以是IT部的人或者是生产部的人
- 他的职责是
- 保证工控系统的信息安全规定能够贯彻执行
- 建立/维护工控系统的设备清单
- 完成工控系统的风险评估
- 对存在的问题,提出建议以提高安全性、可用性
2、《资产管理》工控机的资产管理
- 所有工控机的资产信息必须统计并且时常更新
- 每个系统必须有指定的负责人,以及相关的技术联系人
- 资产信息包括,
- 工控机的作用,简单描述
- 负责人
- 主机情况《OS,补丁,IP地址,主机名》
- 应用程序情况《软件安装情况,配置》
- 供应商信息《联系人,联系地址,联系电话等》
3、《访问控制》如果工控机没有接入网络,任何人包括供应商,需要使用电脑对工控机进行调试的话,一定需要有人检查该电脑的安全情况《杀毒软件,补丁等等》
(1)对于任何基于Windows平台的工控机并且有联网需求的,一定要求。
- 安装统一的杀毒软件
- 更新微软的重要补丁
- 如果不能安装,那需要做到网络隔离
(2) 所有的系统、数据都需要定期备份,并且要求进行备份测试。
(3)《物理安全》对于上篇文章阐述的属于分类1 <Category 1>系统,需要做到。
- 保证其物理安全,比如放在一个特制的柜子里,或者放在一个带锁的房间里
- 所有的USB端口,光驱都已经禁止使用
- 为了保证高可用性,需要做到对关键部位<PC, 硬盘,网卡等>进行冗余配置,或者使用RAID,或者做集群
(4)《访问控制》必须要把工控机系统和办公网络隔离开,特别是属于分类1的系统,或者有无线设备使用的系统。隔离的办法可以使用AC或者设DMZ。