工业控制系统信息安全防护能力评估方法
工控系统信息安全防护能力评估评分操作方法表
工控系统信息安全防护能力评估检查表
严格安全测试
定变更计划并进行影响分
安全防护
(4项 6.5分)
应急响应预案,当遭受安全威胁导致工业控制系统出现异常或故障时,应立即采取紧急防护措施,防止事态扩大,并逐级报送直至属地省级工业和信息化主管部门,同时注意保护现场,以便进行调查取证
应急预案演练(7项 10分)
(9项 11分)
据进行保护,根据风险评估结果对数据信息进行分级分类管理
(3项 9分)制、成立信息安全协调小组等方式,明确工控安全管理责任人,落实工控安全责任制,部署工控安全防护措施
检查人:经办人:
部门领导:。
信息安全技术工业控制系统安全防护技术要求和测试评价方法 -回复
信息安全技术工业控制系统安全防护技术要求和测试评价方法-回复信息安全技术是保护信息系统免受未经授权访问、使用、泄漏、破坏、干扰、中断和不可用等威胁的技术。
工业控制系统是现代工业生产中的核心组成部分,而其安全防护尤为重要。
本文将回答关于工业控制系统安全防护技术要求和测试评价方法的问题。
1. 工业控制系统的安全防护技术要求是什么?工业控制系统的安全防护技术要求通常包括以下方面:机密性:要求系统中的敏感信息只能被授权的人员访问和使用,防止信息泄露。
完整性:要求系统中的信息在传输和存储过程中不被篡改,如防止未经授权的数据修改,确保数据的完整性。
可用性:要求系统能够按照预期的方式运行,防止攻击导致系统瘫痪或无法正常使用。
鉴别性:要求系统能够确定用户或实体的身份,防止未经授权的访问。
授权和权限管理:要求系统能够根据用户或实体的身份授予适当的访问权限,并对权限进行精确的管理。
审计和监控:要求系统能够记录和监控关键事件,以便进行安全审计和威胁检测。
安全培训和意识:要求系统使用者具备相关的信息安全意识和技能,并且能够及时响应安全事件。
2. 工业控制系统安全防护的技术要求如何进行测试评价?对于工业控制系统的安全防护技术要求,可以通过以下测试评价方法进行检验:漏洞扫描和渗透测试:通过对系统进行漏洞扫描和渗透测试,评估其存在的安全弱点和潜在的攻击路径,发现系统中可能存在的漏洞并给出补救建议。
安全配置审计:审查系统的安全配置是否符合最佳实践和安全标准,如密码强度、访问控制策略等,确定是否存在可操作的改进方法,并进行安全配置的持续监控。
协议分析和数据流量监测:通过对工业控制系统的通信协议进行分析和数据流量监测,确定是否存在异常或未经授权的通信活动,以便及时检测和防范潜在的威胁。
恶意软件扫描和防护:使用恶意软件扫描工具对系统进行检查,以便发现潜在的恶意软件和病毒,并采取相应的防护措施进行清除和防范。
安全日志分析和事件响应:分析系统的安全日志,检测异常事件并进行响应,及时处置安全事件,防止安全威胁进一步扩大。
工业控制系统安全性评估与加固方案
工业控制系统安全性评估与加固方案随着信息技术的快速发展,工业控制系统(Industrial Control System, ICS)已经成为许多工业生产过程中不可或缺的一部分。
然而,工业控制系统的使用也暴露了一系列的安全风险,因此进行安全性评估和加固变得尤为重要。
本文将就工业控制系统的安全性评估与加固方案进行探讨。
I. 工业控制系统安全性评估工业控制系统安全性评估是确保工业控制系统能够防范各类安全威胁并保持正常运行的关键步骤。
以下是实施工业控制系统安全性评估的一些建议:1. 系统概述与边界定义:首先,对工业控制系统的技术架构、网络拓扑和数据流程进行详细的梳理,明确系统的范围和边界。
这有助于从整体上理解系统的结构和运作方式。
2. 威胁建模与分析:在理解系统的基础上,可以利用威胁建模和分析方法来识别潜在的安全威胁。
威胁建模可以帮助分析系统所面临的威胁类型和攻击途径,从而为后续的安全措施制定提供依据。
3. 漏洞扫描与风险评估:漏洞扫描工具可以用于识别系统中已知漏洞,并评估这些漏洞可能对系统安全性造成的风险。
其结果可以作为改进系统安全性的基础。
4. 安全策略审查:对现有的安全策略进行审查和分析,确保其符合最佳实践和安全标准。
如果发现不足,应根据实际风险情况进行相应的改进。
5. 物理安全评估:工业控制系统不仅仅包括软件和网络,还包括物理设备和环境。
因此,进行物理安全评估是确保系统安全性的重要步骤。
评估物理访问控制、防火墙和安全摄像等设备的有效性和完整性。
II. 工业控制系统安全加固方案在对工业控制系统进行安全性评估后,可以根据评估结果来制定相应的安全加固方案。
以下是一些常见的加固方案:1. 强化网络安全措施:确保工业控制系统网络的安全,包括访问控制、防火墙和入侵检测系统的使用。
此外,还可以考虑使用网络隔离和虚拟专用网络(Virtual Private Network, VPN)来限制对系统的访问。
2. 加强身份识别与访问控制:采用强密码策略,使用多因素身份验证来提高系统的安全性。
工业控制系统安全防护技术要求和测试评价方法
召开两次会议
标准启动会
相关研究
定义保护对象
相关研究
分类方法:IEC62443、传统分类、重点行业系统
标准概要
防护要求框架 防护要求: 测试评价 术语部分:电子四院 工控系统描述部分:核工院与电科院 标准分类部分:仪表院与高桥石化 测试与评价部分:中国信息安全测评中心 剩余部分:三零卫士与武钢
工作安排
系统和通信保护
应用分隔 拒绝服务防护 资源优先级 资源可用性 边界保护 传输完整性 传输机密性 网络断开 可信路径 密钥的建立和管理 公钥基础设施(PKI)证书 移动代码 静止信息保护 信息系统分隔 不可更改的执行程序
标准二次全体会议
五 1 2 3 4 5 6 7 8 9
系统和信息完整性
恶意代码保护 安全警报、建议、及指令 安全功能核验 软件和信息的完整性 信息输入限制 信息输入验证 错误处理 信息的输出处理和留存 预防可预见失效
标准启动会
防护分级
标准启动会
安全模型
IEC 62443-1-1
30卫士
标准启动会
提纲建议 1、范围 2、术语 3、工控系统描述 4、工控系统信息安全技术要求框架 5、工控系统信息安全防护分类原则 6、E类要求 7、D类要求 8、C类要求 9、B类要求 10、A类要求 11、测试与评价指标体系 12、测试与评价流程与方法 附录A:不同分类信息安全技术要求对照表
享受30服务,体验IT快乐
阶段工作汇报
高度重视 资源整合
中国电子技术标准化研究院 中国信息安全测评中心
专业合作
上海30卫士
研究院
中国工程物理研究院 ( 军工) 中国电力科学研究院 (电力) 上海工业自动化仪表研究院(仪表) 上海核工程研究设计院 (核能)
工业控制系统信息安全防护能力评估工作管理办法
工业控制系统信息安全防护能力评估工作管理办法第一章总则第一条为规范工业控制系统信息安全(以下简称工控安全)防护能力评估工作,切实提升工控安全防护水平,根据《中华人民共和国网络安全法》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),制定本办法。
第二条本办法适用于规范针对工业企业开展的工控安全防护能力评估活动。
本办法所指的防护能力评估,是对工业企业工业控制系统规划、设计、建设、运行、维护等全生命周期各阶段开展安全防护能力综合评价。
第三条工业和信息化部负责指导和监督全国工业企业工控安全防护能力评估工作。
第二章评估管理组织第四条设立全国工控安全防护能力评估专家委员会(以下简称评估专家委员会),负责定期抽查与复核工控安全防护能力评估报告,并对评估工作提供建议和咨询。
第五条设立全国工控安全防护能力评估工作组(以下简称评估工作组),负责具体管理工控安全防护能力评估相关工作,制订完善评估工作流程和方法,管理评估机构及评估人员,并审核评估过程中生成的文件和记录。
评估工作组下设秘书处,秘书处设在国家工业信息安全发展研究中心。
第三章评估机构和人员要求第六条评估工作组委托符合条件的第三方评估机构从事工控安全防护能力评估工作。
第七条评估机构应具备的基本条件:(一)具有独立的事业单位法人资格。
(二)具有不少于25名工控安全防护能力评估专职人员。
(三)具有工控安全防护能力评估所需的工具和设备.第八条评估机构应建立并有效运行评估工作体系,完善评估监督和责任机制,以确保所从事的工控安全评估活动符合本办法的规定。
评估机构应对其出具的评估报告负责。
第九条对于违反本办法、相关法律法规及不遵守评估工作组管理要求的评估机构,评估工作组有权暂停或撤销其从事工控安全评估活动的委托。
被撤销委托的机构,5年内不得重新申请。
第十条评估人员须遵守相关的法律、法规和规章,按照所在评估机构确定的工作程序和作业指导从事评估活动,对评估报告的真实性承担相应责任,并应对评估活动中接触到的信息履行保密义务。
工业信息安全评估等级
工业信息安全评估等级
工业信息安全评估等级是指对工业控制系统(Industrial Control System,简称ICS)进行安全等级评估的一种方法。
工业控制系统是指用于监控和控制工业过程的计算机化系统,包括了各类工业自动化系统、监控系统和数据采集系统等。
工业信息安全评估等级通常通过对ICS的安全性进行评估,
将其划分为不同的等级,以确定其安全状况和防护需求。
常见的工业信息安全评估等级包括以下几个等级:
1. 一级:指无安全防护措施或防护措施非常薄弱,易受到各类网络攻击和物理攻击的影响。
2. 二级:指基本安全防护措施已经部署,但在一些关键方面还存在安全漏洞,可能受到一般的网络攻击和物理攻击的威胁。
3. 三级:指部署了较完善的安全防护措施,能够抵御大部分网络攻击和物理攻击。
4. 四级:指具备了高度完善的安全防护措施,不仅能够有效防御已知攻击方式,还能够抵御一部分未知的攻击方式。
评估工业信息安全等级时,一般会综合考虑ICS的网络架构、物理安全、权限管理、风险评估、漏洞管理等方面的因素,以综合评估ICS的安全状况,并确定相应的安全等级。
不同的
等级对应不同的安全要求和防护措施。
工业控制系统中安全风险的评估与防护
工业控制系统中安全风险的评估与防护工业控制系统是生产自动化和信息化的重要组成部分,广泛应用于制造业、电力、交通、能源等领域。
然而,随着信息技术的发展和控制系统的智能化,控制系统安全面临越来越大的挑战。
黑客攻击、病毒入侵、技术漏洞等安全事件频频发生,给生产、运营、资产带来极大的损失。
本文将介绍工业控制系统中的安全问题,阐述安全评估与防护的重要性以及如何进行有效的安全防护。
一、工业控制系统中存在的安全问题1.物理安全问题工业控制系统通常是隔离的,在工厂设施内部存在孤立的网络和系统,而这些孤立的网络很难与外界通信。
然而,在现实中,许多控制系统在安装和维护过程中都会出现物理接口安全问题,例如将USB或其他移动存储设备插入控制系统或未经授权的电脑连接至网络,这些都会导致控制系统的物理层面的安全问题。
2.网络安全问题工业控制系统的网络安全问题主要体现在两个方面:漏洞和攻击。
漏洞主要指控制系统开发过程中产生的安全缺陷,或是软件或硬件更新过程中的问题。
可能会出现的漏洞种类包括身份验证问题、加密缺陷、缓冲区溢出、代码注入和格式化字符串等方面的问题。
这些漏洞可能被攻击者利用来获取系统的权限、盗取数据、篡改程序或控制系统的操作。
攻击是指来自网络攻击者的恶意攻击,例如非法访问、拒绝服务攻击、SQL注入、恶意软件、恶意脚本和恶意代码等。
攻击可能导致系统的瘫痪、技术数据泄露、工业体系的停工和资产损失等。
3.人为因素人为因素也是工业控制系统安全面临的重要挑战之一。
这些因素包括管理不当、疏忽、不当操作、技术不足、人员滥用权限和社会工程攻击等。
管理不当可能导致系统较旧的版本仍在使用,容易被攻击者利用。
疏忽可能导致密码泄露、错误配置、误操作和无意中上传病毒等。
技术不足是指技能较低的人员可能选用一些不安全的系统,或者在编写代码时忽略安全因素。
人员滥用权限意味着非法访问、滥用管理员权限和非法篡改等行为。
二、安全评估的重要性安全评估是通过分析工控系统的安全性,为控制系统的构架、软硬件部署和实现方式制定计划和方案,给出合理的安全防护措施。
工业控制系统的网络安全评估与防护建议
工业控制系统的网络安全评估与防护建议随着信息技术的迅猛发展,工业控制系统(Industrial Control System,ICS)的网络化程度越来越高。
然而,工业控制系统的网络安全性受到了严重的挑战,其脆弱性和容易受到攻击的特点引起了广泛的关注。
为了解决这些问题,进行工业控制系统的网络安全评估并采取相应的防护建议至关重要。
一、工业控制系统网络安全评估方法1.系统脆弱性评估:通过对工业控制系统的网络拓扑、系统配置和组件漏洞等方面进行综合分析,确定系统的脆弱性。
这包括对网络设备、服务器、终端设备和通信链路的漏洞扫描和弱口令检测,以及对网络流量的监控和异常行为检测。
2.网络访问控制评估:评估工业控制系统的网络访问控制策略和措施是否合理有效,是否存在未授权的访问和攻击入口。
对系统中的网络设备和终端设备进行端口扫描和访问权限验证,检查是否存在弱口令、未关闭的服务以及其他不安全配置。
3.数据保护评估:评估工业控制系统中的敏感数据和重要信息的保护措施,包括数据加密、数据备份和灾难恢复等。
通过检查系统中是否存在数据泄露的风险、访问控制的缺陷以及数据备份和恢复的能力来评估系统的数据保护能力。
4.安全管理评估:评估工业控制系统的安全管理措施是否有效,包括安全策略的制定与实施、人员培训与意识、事件响应与漏洞管理等。
通过对系统中安全管理制度的完善程度、监控与审计系统的有效性、事件响应能力等进行评估,确定安全管理的薄弱环节。
二、工业控制系统网络安全防护建议1.建立网络安全意识:加强工业控制系统网络安全意识的培训,培养员工的安全意识和技能,使其能够主动防范网络安全威胁。
定期组织网络安全培训,加强员工对于安全策略和实施的理解,并提醒员工警惕社工攻击等常见安全威胁。
2.加强访问控制:采用多层次、多因素的访问控制策略,设置强密码和周期性的密码更改要求。
限制外部网络与工业控制系统的直接访问,使用虚拟专用网络(VPN)或防火墙等技术实现远程访问的安全控制。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件:工业控制系统信息安全防护能力评估方法1.适用范围1.1本方法提出了工业控制系统信息安全防护能力评估的基本概念、实施流程和工作形式。
1.2本方法适用于规范对企业按照《工业控制系统信息安全防护指南》建立的工控安全防护能力开展的综合评价活动。
1.3本方法适用于评估工业控制系统的应用企业。
2.规范性文件2.1法律法规、指导性文件《中华人民共和国网络安全法》《国家网络空间安全战略》《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号)《国务院关于印发〈中国制造2025〉的通知》(国发〔2015〕28号)《国务院关于积极推进“互联网+”行动的指导意见》(国发〔2015〕40号)《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)《工业控制系统信息安全防护指南》(工信部信软〔2016〕338号)《关于加强工业控制系统信息安全管理的通知》(工信部协〔2011〕451号)2.2标准和技术规范GB/T32919-2016《信息安全技术工业控制系统安全控制应用指南》GB/T20984-2007《信息安全技术信息安全风险评估规范》3.术语与定义下列术语和定义适用于本方法。
3.1工业控制系统工业生产控制各业务环节涉及的有关人员、软硬件系统和平台的集合。
包括但不限于:可编程逻辑控制器(PLC)、分布式控制系统(DCS)、数据采集与监控系统(SCADA)等工业生产控制系统;紧急停车系统(ESD)、安全仪表系统(SIS)等工业控制过程安全保护系统;制造执行系统(MES)、企业资源计划系统(ERP)等工业生产调度与管理信息系统;工业云平台、工业大数据平台等工业服务应用系统。
3.2工业控制系统信息安全防护通过实施管理和技术措施,避免工业控制系统遭到非授权或意外的访问、篡改、破坏及损失。
3.3工业控制系统信息安全防护能力评估从综合评价的角度,运用科学的方法和手段,系统地分析和诊断工业控制系统所面临的威胁及其存在的脆弱性,评估企业工业控制系统安全防护水平,提出有针对性的抵御威胁的防护对策和整改措施,为最大限度地保障信息安全提供科学依据。
3.4工业控制网络企业管理层之下的网络,包括现场设备层、生产控制层、制造执行层等所在的网络区域。
3.5工业主机工业生产控制各业务环节涉及组态、操作、监控、数据采集与存储等功能的主机设备载体,包括工程师站、操作员站、历史站等。
3.6工业控制设备工业生产过程中用于控制执行器以及采集传感器数据的装置,包括PLC、DCS、远程测控终端(RTU)等。
3.7资产工业生产过程中具有价值的信息或资源,是安全防护的对象。
3.8信息安全风险人为或自然的威胁利用工业控制系统及其管理体系中存在的脆弱性导致安全事件的发生及其对企业造成的影响。
3.9威胁可能导致对工业控制系统或企业危害的不希望事故潜在起因。
3.10脆弱性可能被威胁所利用的资产或若干资产的薄弱环节。
3.11工业控制系统配置清单包含工业控制系统正常运行所需配置的硬件、软件、文档、组件等信息的清单。
3.12安全配置工业控制系统为实现特定的安全防护功能而执行的配置策略。
3.13物理安全防护区域为保护工控系统不受人为或自然因素危害,需采取门禁、安防、人工值守等物理安全手段的特殊区域。
3.14评估报告评估机构根据评估方法的要求,在履行必要的评估程序后,对被评估对象出具的书面工作报告,是评估机构履行评估任务或评估委托的成果。
3.15评估结论评估机构在评估报告中作出的总体性判断意见。
判断意见分为优秀(90分以上)、良好(80~89.5)、一般(70~79.5)、基本合格(60~69.5)、不合格(60分以下)。
4.评估工作流程工业控制系统信息安全防护能力评估工作程序如图1所示。
主要包括受理评估申请、组建评估技术队伍、制定评估工作计划、开展现场评估工作、现场评估情况反馈、企业自行整改、开展复评估工作和形成评估结论八个部分。
图1工业控制系统信息安全防护能力评估工作程序图5.评估工作实施5.1受理评估申请评估工作组受理工业和信息化主管部门委托的专项评估工作,各评估机构可自行受理市场化的评估工作委托,并在评估工作组备案。
5.1.1主管部门工作委托工业和信息化主管部门,通过任务函等方式委托评估工作组开展工业控制系统信息安全防护能力评估专项工作。
评估专项工作任务指定的被评估企业,应按要求向评估工作组提供5.1.2中(2)-(5)所需的评估材料。
评估工作组根据工作任务量、地理位置等综合因素统筹确定评估机构,委托开展评估工作。
5.1.2企业评估申请受理企业可自行委托评估机构开展工业控制系统信息安全防护能力评估工作。
申请企业需向评估机构提交以下评估申请材料:(1)工业控制系统信息安全防护能力评估备案表;(2)申请企业加注统一社会信用代码的的营业执照;(3)申请企业简介、企业工业生产控制系统简介;(4)围绕《工业控制系统信息安全防护指南》已实施的安全防护措施介绍;(5)其它与评估工作有关的必要文件。
各评估机构对申请企业提交的材料进行审理,并根据申请企业申请的评估范围、完成评估所需时间及其他影响评估活动的因素,综合确定是否受理评估申请。
如评估机构确定受理,需将材料(1)递交至评估工作组备案。
5.2组建评估技术队伍5.2.1评估协议签订评估机构应及时与被评估企业沟通,并签订书面的评估委托协议(或评估合同),以规范评估工作的顺利开展,保障企业的安全生产运行和数据安全。
5.2.2评估技术队伍组建评估机构应根据工业控制系统信息安全防护能力评估范围所覆盖的专业领域选择具备相关能力的评估人员和技术专家,组建评估项目组。
评估项目组原则上应具备不少于5名专职评估人员,其中包括1名评估项目组组长。
评估项目组组长由评估机构指定经验丰富的骨干评估人员担任,负责统筹安排评估工作分工,推进评估工作开展,组织完成评估结论、编写评估报告。
评估项目组成员由评估机构根据该项评估的工作量及涉及的工业行业特征、专业需求等综合因素,确定成员数量和成员搭配。
5.3制定评估工作计划评估项目组应与被评估企业的管理人员和技术人员应当充分沟通,明确被评估范围和评估对象,制定评估工作计划。
被评估企业和评估项目组共同确认上述工作计划后,再开展实施具体评估工作。
5.3.1建立评估项目文档在评估工作开展过程中,评估机构应对评估工作相关文件进行统一编号,并规范管理。
5.3.2梳理基本情况在被评估企业的配合下,评估项目组对企业工业控制系统及相关信息进行梳理,以便针对性地开展评估工作。
(1)梳理企业基本信息了解被评估企业的发展历程、主要业务范围、业务规模,分析企业对于国家、社会、人民生命财产的重要性。
(2)梳理企业生产资产基本信息了解企业被评估工业控制系统所涉及的资产类型、规模、位置、重要程度、产品、数量、厂商、投产时间、责任人、网络拓扑及其运营维护等情况。
(3)梳理企业工控安全防护基本情况了解被评估企业的工控安全管理机制建设情况,初步掌握企业已部署的工控安全防护措施。
5.3.3确定评估范围与被评估企业沟通,根据评估专项工作要求或企业自身需求确定评估范围。
评估范围可以是企业的一套或多套工业生产系统。
5.3.4确定评估方案评估机构在前期梳理工业控制系统基本情况、确定评估范围的基础上,结合评估工作实际,参照5.4相关内容,制定该企业评估方案。
评估方案涉及的评估方式至少包括:(1)人员访谈。
评估项目组对相关人员进行访谈,核实已落实防护措施情况。
(2)文档查阅。
评估项目组查阅已落实防护措施形成的相关文档等证明材料。
(3)人工核查。
评估项目组通过手动方式核查部分已落实防护措施情况。
(4)工具检测。
评估项目组通过专用工具检测防护措施实际落实情况及其有效性。
5.3.5确定评估工作日程安排评估项目组与被评估企业充分沟通,梳理评估工作重要时间节点,合理设置评估时间,确定评估工作日程安排。
5.3.6确定评估工具评估项目组根据评估工作实际需求,并与被评估企业沟通确认后,参照附录B,选择相对应的专项评估工具用于现场评估工作。
5.3.7确定应急预案评估项目组与被评估企业充分沟通,确定评估工作应急预案。
应急预案应至少包括确定恢复点目标与恢复措施、按照事件分类等级制定应急响应保障措施等方面。
5.3.8其它工作要求评估机构应当与被评估企业充分沟通评估工作计划,按照尽量不影响企业正常生产和工控系统正常运行的原则,科学有序地开展评估工作。
评估工作结束后,应及时清除评估过程中形成的测试数据。
5.4开展现场评估工作为确保工业控制系统信息安全防护能力评估工作规范全面开展,依据《工业控制系统信息安全防护指南》主要内容,应从如下方面开展评估工作。
5.4.1安全软件选择与管理防护评估(一)在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过企业自身授权和安全评估的软件运行。
1.安全要求a)企业应在工业主机上安装防病毒软件或应用程序白名单软件,确保有效防护病毒、木马等恶意软件及未授权应用程序和服务的运行;b)企业工业主机上安装防病毒软件或应用程序白名单软件,应在离线环境中充分测试验证,确保其不会对工业控制系统的正常运行造成影响。
2.评估内容及方法a)查阅工业主机上安装防病毒软件或应用程序白名单软件的证明材料(如采购合同、服务协议等),评估其来源是否安全正规;b)核查其工业主机防病毒软件或应用程序白名单软件是否已安装运行、病毒库或白名单规则是否及时升级(原则上3个月内)。
若未及时升级,查阅不适合升级病毒库的分析报告;c)查阅防病毒软件或应用程序白名单软件已在离线或测试环境中充分测试验证的技术报告,评估其是否影响工业控制系统正常运行。
(二)建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
1.安全要求a)企业应建立工业控制系统防病毒和恶意软件入侵管理机制,确保该管理机制可有效规范防病毒和恶意软件入侵管理工作;b)企业应定期针对工业控制系统及临时接入的设备开展查杀,并做详细查杀记录。
2.评估内容及方法a)查阅企业已建立防病毒和恶意软件入侵管理机制的证明材料(如入侵管理章程等),评估其内容是否完备、合理;b)访谈企业相关人员对该入侵管理机制的知悉程度,或采用人工核查方式,评估入侵管理机制是否被严格贯彻执行;c)查阅企业临时接入工控系统的设备查杀登记记录文档,并通过现场核验等方式,核查企业工业主机防病毒软件查杀历史记录。
5.4.2配置和补丁管理防护评估(一)做好工业控制网络、工业主机和工业控制设备的安全配置,建立工业控制系统配置清单,定期进行配置审计。
1.安全要求a)企业应做好工业控制网络、工业主机和工业控制设备的安全策略配置,确保工业控制系统相关安全配置的有效性;b)企业应建立工业控制系统安全策略配置清单,确保该清单满足企业工业控制系统安全可靠运行的需要;c)企业应定期自行对工业控制系统安全配置进行核查审计,避免因调试或其它操作导致配置变更后,未及时更新配置清单。