管道企業如何做好工控系統安全？

曹興

當前的互聯網環境存在諸多安全隱患，已經制約了涉密企業的發展。管道企業如何在提高生產、管理效率的同時保證網絡安全管理行為合規？本文或許可以給出一個答案。

關鍵性基礎設施正在成為黑客攻擊的新目標，政府、金融機構、能源行業都成為了黑客攻擊新的目標。無論從伊朗核設施遭受“震網”病毒攻擊，還是從全球范圍內遭受“永恒之藍”勒索病毒攻擊，對重點企業關鍵設施的攻擊不容忽視，尤其是應加大對工業控制等系統的保護力度。

作為規范網絡空間安全的首部基本法，《網絡安全法》的正式實施完成了網絡安全保護有關制度的頂層設計和基礎安排，對能源、核設施、電力、金融等企業的關鍵基礎設施的保護力度全面加強。但諸多制度內容的具體細則的落地實施仍處于探索階段，解決企業的安全管理行為合規問題已是當務之急。

沒有任何一種技術可以一勞永逸地保證信息安全，但是可以通過《網絡安全法》的指引，管道企業可以做到行為管理合規。在出現安全事件的情況下，采取有效的應急預案，讓信息部門快速采取行動。第一道防線是使用虛擬化來隔離敏感的應用和數據，最大限度地減小單一組件安全事件的影響；瀏覽器也可以通過相同的方式得到保護和隔離，防止安全事件造成大面積危害。具體來看，需要從三個方面防止安全漏洞產生。

1. 開展漏洞修復工作 。

按照等級保護制度的要求，對重要系統及工業控制系統的漏洞進行修復，及時驗證補丁的可用性，做好補丁離線測試和修復工作。

2.有效隔離病毒，降低風險。

如果用戶環境的完整性受到破壞，信息部門可以快速隔離虛擬環境，通過在每一臺虛擬機上部署并實施安全保護措施，可防止攻擊危害擴散到環境中的其他系統中，做到一察覺問題，就能快速更新整個環境中的訪問策略。

3. 最大限度地減小信息安全事件的影響。

為了防止漏洞被遠程利用，定期開展重要系統及工業控制系統的安全防護工作。一是做好安全配置，定期進行配置審計；二是通過邊界防護設備對工控網絡與企業網或互聯網的邊界進行安全防護；三是強化登陸賬戶及密碼，避免弱口令；四是關閉不必要的HTTP、FTP、TELNET等高風險服務，如無必要，關閉設備的1947端口，確需遠程訪問的，使用虛擬專用網絡（VPN）進行接入。