网络安全管理是人们能够安全上网、绿色上网、健康上网的根本保证。尤其是工业控制系统(简称“工控系统”)是由计算机设备、工业软件及工控专网组成的自动化控制系统。主要包括监控和数据采集系统(SCADA)、分布式控制系统(DCS)、可编程逻辑控制器(PLC)以及远程终端采集和控制单元( RTU)等。
一、网络与信息系统账号及权限管理
(1)IP 地址、码号等资源要严格控制与登记管理,不得随意使用与配置;
(2)网络与信息系统的维护管理及业务应用必须采用用户身份认证;
(3)账号和口令禁止相同,口令采用强密码策略,要求是字母和数字或特殊字符的混合,并定期进行弱口令检测及密码更新;
(4)临时账号应设定使用期限,外部人员离场后,员工离岗、离职时,访问权限应同步收回;
(5)做好各种登录账号口令的保密工作。
二、移动设备使用管理
(1)可移动介质使用前应采取技术措施进行安全确认及授权;
(2)严禁未经授权的其他网内计算机、移动介质在工控专网交叉使用;
(3)严禁未经授权的个人电脑对工业控制系统进行联网运维。
三、上网行为管理
(1)严禁安装、使用黑客攻击软件,严禁制作和传播计算机病毒等破坏性程序;
(2)用户必须对所提供的信息负责,不得利用网络从事危害国 家安全、泄露国家机密、公司商业秘密的活动;不得复制和传播有碍社会治安和淫秽、色情的信息;
(3)制定网络信息安全保密管理的具体措施,坚持“谁主管、谁主办、谁负责”的原则,对上网信息进行审查,严禁涉及国家及企业秘密的信息上网;
(4)未经许可,任何入网不得开通公众信息服务系统;
(5)使用无线组网的,应强化无线网络安全防护,设置严格的身份认证措施,禁用WEP 方式进行认证,如使用口令,长度不小于8 位字符。有线网络与无线网络边界之间的访问和数据流应通过无线接入网关设备,并设置访问控制策略,除允许通信外,受控端口拒绝其他所有通信。
四、互联网出口安全管理:
(1)未经批准不得擅自建立互联网出口;
(2)禁止采取任何方式(双网卡、Windows远程桌面、TeamViewer、VNC、向日葵等)私自连通互联网与各专网;
(3)做好互联网接入的安全限制(互联网出口关闭Windows 远程桌面、TeamViewer、VNC 、向日葵等远程控制功能及默认端口)、缩减、结构优化、线路整合与流量归并管理;
(4)做好互联网接入的路由和负载均衡管理;
(5)部署安全监测、攻击防范等安全产品,强化身份认证、访问控制、入侵防范、安全审计、流量监测与恶意代码防护等功能;
(6)收集网络安全事件和数据,实现日志留存、事件处置、威胁预警及信息交互等功能。