《工业控制系统网络安全防护指南》解读
技术防护
(一)架构与边界安全
1.分离工业控制系统的开发、测试和生产环境。
解读:工业控制系统的开发、测试和生产环境需执行不同的安全控制措施,工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
2.通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
解读:工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
3.通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
解读:工业控制系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。
(二)远程访问安全
1.原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。
解读:工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务,易导致工业控制系统被入侵、攻击、利用,工业企业应原则上禁止工业控制系统开通高风险通用网络服务。
2.确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
解读:工业企业确需进行远程访问的,可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,并控制访问时限。采用加标锁定策略,禁止访问方在远程访问期间实施非法操作。
3.确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。
解读:工业企业确需远程维护的,应通过对远程接入通道进行认证、加密等方式保证其安全性,如采用虚拟专用网络(VPN)等方式,对接入账户实行专人专号,并定期审计接入账户操作记录。
4.保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
解读:工业企业应保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
(三)安全监测和应急预案演练
1.在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
解读:工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。
2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
解读:在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。
聚焦深网边界安全产品:
通过政策和条例解读的综合内容,我们推出较契合的产品供您选择:
工业网闸
关键指标:
1、工控协议
2、工业网间高安全隔离防护
3、专用工业数据采集模块
4、深度工业数据交换控制
VPN综合安全网关
关键指标:
1、密码算法
2、加密与认证
3、安全与易用性
4、配置管理
了解详情请登录我们公司官网深网科技,我们将为您提供专业的服务,帮助您在所需的场景下选择最适合的产品。
政策信息解读来源:《工业控制系统信息安全防护指南》解读 (miit.gov.cn)
#工业网闸##网闸##光闸##密码机#
技术防护
(一)架构与边界安全
1.分离工业控制系统的开发、测试和生产环境。
解读:工业控制系统的开发、测试和生产环境需执行不同的安全控制措施,工业企业可采用物理隔离、网络逻辑隔离等方式进行隔离。
2.通过工业控制网络边界防护设备对工业控制网络与企业网或互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
解读:工业控制网络边界安全防护设备包括工业防火墙、工业网闸、单向隔离设备及企业定制的边界安全防护网关等。工业企业应根据实际情况,在不同网络边界之间部署边界安全防护设备,实现安全访问控制,阻断非法网络访问,严格禁止没有防护的工业控制网络与互联网连接。
3.通过工业防火墙、网闸等防护设备对工业控制网络安全区域之间进行逻辑隔离安全防护。
解读:工业控制系统网络安全区域根据区域重要性和业务需求进行划分。区域之间的安全防护,可采用工业防火墙、网闸等设备进行逻辑隔离安全防护。
(二)远程访问安全
1.原则上严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网络服务。
解读:工业控制系统面向互联网开通HTTP、FTP、Telnet等网络服务,易导致工业控制系统被入侵、攻击、利用,工业企业应原则上禁止工业控制系统开通高风险通用网络服务。
2.确需远程访问的,采用数据单向访问控制等策略进行安全加固,对访问时限进行控制,并采用加标锁定策略。
解读:工业企业确需进行远程访问的,可在网络边界使用单向隔离装置、VPN等方式实现数据单向访问,并控制访问时限。采用加标锁定策略,禁止访问方在远程访问期间实施非法操作。
3.确需远程维护的,采用虚拟专用网络(VPN)等远程接入方式进行。
解读:工业企业确需远程维护的,应通过对远程接入通道进行认证、加密等方式保证其安全性,如采用虚拟专用网络(VPN)等方式,对接入账户实行专人专号,并定期审计接入账户操作记录。
4.保留工业控制系统的相关访问日志,并对操作过程进行安全审计。
解读:工业企业应保留工业控制系统设备、应用等访问日志,并定期进行备份,通过审计人员账户、访问时间、操作内容等日志信息,追踪定位非授权访问行为。
(三)安全监测和应急预案演练
1.在工业控制网络部署网络安全监测设备,及时发现、报告并处理网络攻击或异常行为。
解读:工业企业应在工业控制网络部署可对网络攻击和异常行为进行识别、报警、记录的网络安全监测设备,及时发现、报告并处理包括病毒木马、端口扫描、暴力破解、异常流量、异常指令、工业控制系统协议包伪造等网络攻击或异常行为。
2.在重要工业控制设备前端部署具备工业协议深度包检测功能的防护设备,限制违法操作。
解读:在工业企业生产核心控制单元前端部署可对Modbus、S7、Ethernet/IP、OPC等主流工业控制系统协议进行深度分析和过滤的防护设备,阻断不符合协议标准结构的数据包、不符合业务要求的数据内容。
聚焦深网边界安全产品:
通过政策和条例解读的综合内容,我们推出较契合的产品供您选择:
工业网闸
关键指标:
1、工控协议
2、工业网间高安全隔离防护
3、专用工业数据采集模块
4、深度工业数据交换控制
VPN综合安全网关
关键指标:
1、密码算法
2、加密与认证
3、安全与易用性
4、配置管理
了解详情请登录我们公司官网深网科技,我们将为您提供专业的服务,帮助您在所需的场景下选择最适合的产品。
政策信息解读来源:《工业控制系统信息安全防护指南》解读 (miit.gov.cn)
#工业网闸##网闸##光闸##密码机#
