目前國內(nèi)針對工業(yè)網(wǎng)絡(luò)安全的防護標(biāo)準(zhǔn)尚未成型，公安部會同有關(guān)部門也在制定計算機信息系統(tǒng)安全等級的劃分標(biāo)準(zhǔn)和安全等級保護的具體辦法。

在國際上，美國在2007年頒布的Chemical Facility Anti-Terrorism Standards (CFATS)標(biāo)準(zhǔn)(該標(biāo)準(zhǔn)由美國國土安全部頒布)以及2008年頒布的US Chemical Anti-Terrorism Act(美國化學(xué)反恐怖主義法)針對化工設(shè)備安全做了強制要求，目前，石油，水處理以及制造業(yè)都還沒有必須按照以上立法規(guī)定作業(yè)，但是為了避免重大的風(fēng)險，基本都遵守行業(yè)標(biāo)準(zhǔn)ANSI/ISA-99 Standards的要求進行規(guī)劃。那么在現(xiàn)今的發(fā)展我們該如何選擇工業(yè)網(wǎng)絡(luò)安全的軟件呢?

1.在工業(yè)主機上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行。

解讀：工業(yè)控制系統(tǒng)對系統(tǒng)可用性、實時性要求較高，工業(yè)主機如MES服務(wù)器、OPC服務(wù)器、數(shù)據(jù)庫服務(wù)器、工程師站、操作員站等應(yīng)用的安全軟件應(yīng)事先在離線環(huán)境中進行測試與驗證，其中，離線環(huán)境指的是與生產(chǎn)環(huán)境物理隔離的環(huán)境。驗證和測試內(nèi)容包括安全軟件的功能性、兼容性及安全性等。

2. 建立防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采取病毒查殺等安全預(yù)防措施。

解讀：工業(yè)企業(yè)需要建立工業(yè)控制系統(tǒng)防病毒和惡意軟件入侵管理機制，對工業(yè)控制系統(tǒng)及臨時接入的設(shè)備采用必要的安全預(yù)防措施。安全預(yù)防措施包括定期掃描病毒和惡意軟件、定期更新病毒庫、查殺臨時接入設(shè)備(如臨時接入U盤、移動終端等外設(shè))等。

二、配置和補丁管理

1.做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進行配置審計。

解讀：工業(yè)企業(yè)應(yīng)做好虛擬局域網(wǎng)隔離、端口禁用等工業(yè)控制網(wǎng)絡(luò)安全配置，遠(yuǎn)程控制管理、默認(rèn)賬戶管理等工業(yè)主機安全配置，口令策略合規(guī)性等工業(yè)控制設(shè)備安全配置，建立相應(yīng)的配置清單，制定責(zé)任人定期進行管理和維護，并定期進行配置核查審計。

2.對重大配置變更制定變更計劃并進行影響分析，配置變更實施前進行嚴(yán)格安全測試。

解讀：當(dāng)發(fā)生重大配置變更時，工業(yè)企業(yè)應(yīng)及時制定變更計劃，明確變更時間、變更內(nèi)容、變更責(zé)任人、變更審批、變更驗證等事項。其中，重大配置變更是指重大漏洞補丁更新、安全設(shè)備的新增或減少、安全域的重新劃分等。同時，應(yīng)對變更過程中可能出現(xiàn)的風(fēng)險進行分析，形成分析報告，并在離線環(huán)境中對配置變更進行安全性驗證。

3.密切關(guān)注重大工控安全漏洞及其補丁發(fā)布，及時采取補丁升級措施。在補丁安裝前，需對補丁進行嚴(yán)格的安全評估和測試驗證。

解讀：工業(yè)企業(yè)應(yīng)密切關(guān)注CNVD、CNNVD等漏洞庫及設(shè)備廠商發(fā)布的補丁。當(dāng)重大漏洞及其補丁發(fā)布時，根據(jù)企業(yè)自身情況及變更計劃，在離線環(huán)境中對補丁進行嚴(yán)格的安全評估和測試驗證，對通過安全評估和測試驗證的補丁及時升級。