北京中科刘云涛 http://nb.ifeng.com/a/20190628/7503552_0.shtml
物理和环境安全是指采取特定的技术和方法，保护工业控制系统的软硬件设备和设施免遭地震、水灾、火灾、雷击等自然灾害以及各种针对物理设备及环境的人为破坏行为造成的危害，是其它安全防护措施的基础。工业企业针对核心工业控制软硬件制定物理安全防范措施，如视频监控、无人值守和主机外设安全管理。机房环境重要工程师站、数据库、服务器等软硬件设备存放的物理区域，即通常所说的机房、现场机柜以及无人值守的场站等，是保证工业控制系统正常运作的基本环节。工业企业应基于重要工程师站、数据库、服务器等核心工业控制软硬件明确重点安全防护区域，对重点物理安全防护区域采取物理隔离、访问控制、视频监控、专人值守等物理安全防护措施。视频监控USB、光驱、无线等工业主机外设接口的使用，为病毒、木马、蠕虫等恶意代码入侵提供了途径，如年震惊全球的伊朗“震网”事件就是通过临时接入的U盘，将病毒传播到内部网络，从而对基础设施造成严重破坏。震网病毒传播工业企业应拆除或封闭工业主机上不必要的外设接口，从根本上切断非法数据、程序的传播途径，减少被恶意代码感染的风险若确需使用，企业应建立主机外设接口管理制度，如通过主机安全管理软件对外设的端口使用进行严格访问控制，记录文件的导入导出等操作痕迹；或采取主机外设统一团里设备，如中间机，以及隔离存放有外设接口的工业主机等安全管理手段，实施严格访问控制。实施建议：1.梳理核心工业控制软硬件设备企业应统计物理设备、基础设施、应用环境等信息，并进行登记，用以明确工业企业核心工业控制软硬件所在区域。资产统计2.物理环境安全防护工业企业明确工业控制系统软硬件的所在区域，在该区域的出入口安排专人值守、控制、鉴别和记录进入的人员，来访人员应经过申请和审批流程，并限制和监控其活动范围。在必要区域前设置交付或安装等过渡区域，有特殊保密需求的服务器、关键网络设备等应集中放置在电磁屏蔽的机房或机柜中。特殊区域应配置电子门禁系统，妥善管理门禁卡，对其发放、挂失、注销等进行监管，实行7*24小时的视频监控，同时按照企业规定设置监控数据的保存期限。机房安检门3.主机外设接口安全防护拆除或封闭不必要的工业主机外设接口，包括但不限于USB、红外、蓝牙、WiFi、光驱等。如条件允许，在设备采购阶段直接购置减配的主机。对确实需要相关接口和外置设备的，企业可采用主机安全软件，从技术层面管理外设接口的使用，如禁止使用、自由使用、审计等，也可以借助WiFi无线入侵防御系统对生产车间无线网络提供安全防护。4.数据的物理传递安全企业可采用中间机（堡垒机）的方式完成内外网信息的传递，在中间机上安装防病毒软件对存储介质进行恶意软件查杀，确保恶意程序不会从外部存储介质进入工业控制网络。工控环境堡垒机

转载请注明:http://www.aideyishus.com/lkjg/6812.html