1704018596
使用物理访问保护措施会影响IT安全措施及其防护程度。例如:当一个人授权进入一个受保护的区域,就可以操作不属于其授权范围内的网络接口或自动化系统。
1704018597
1704018598
2.安全管理
1704018599
1704018600
安全管理策略和组织措施是工业信息安全的重要组成部分。组织措施和安全措施必须相辅相成。要达到保护的目标必须将这两种措施有机结合。
1704018601
1704018602
组织措施是建立一套完善的安全管理流程。
1704018603
1704018604
信息安全相关政策示例如下:
1704018605
1704018606
1)对于可接受的风险,制定统一的规定。
1704018607
1704018608
2)对于不寻常的活动和事件,制定上报机制。
1704018609
1704018610
3)对于信息安全事件,做到交流通畅并编制文档。
1704018611
1704018612
4)规范移动PC、智能手机和数据存储设备等在工厂范围内的使用(例如,禁止在工厂以外的地区使用这些设备)。
1704018613
1704018614
信息安全相关流程示例如下:
1704018615
1704018616
1)对于所使用的设备零部件,需要处理并修正已知的薄弱点。
1704018617
1704018618
2)发生安全事件时的流程(安全响应计划)。
1704018619
1704018620
3)发生安全事件后恢复生产系统的流程。
1704018621
1704018622
4)记录和评估安全事件,并记录配置变化。
1704018623
1704018624
5)在工厂范围内使用外部数据存储设备之前,要执行测试程序和检查程序。
1704018625
1704018626
在制定安全措施之前必须做风险分析。风险分析是对工厂和机械设备进行信息安全管理的先决条件,其目的在于识别和评估不同用户所面临的危害和风险。风险分析的典型内容如下:
1704018627
1704018628
1)识别可能受到威胁的目标。
1704018629
1704018630
2)分析价值和潜在的损失。
1704018631
1704018632
3)威胁和弱点分析。
1704018633
1704018634
4)识别已有的信息安全措施。
1704018635
1704018636
5)风险评估。
1704018637
1704018638
对于被识别出的不可接受的风险,必须通过适当的措施排除或者明显降低。然而,没有任何一种单独的措施和方案能保证100%的安全。
1704018639
1704018640
要实现的保护目标是由风险分析得出的。以此为依据来实施相应的组织措施和安全措施。措施实施完成后需要进行验证和改进。如果发生变化,如威胁情况发生变化,则必须再次进行风险分析。此流程也必须重新开始。
1704018641
1704018642
安全措施的制定取决于对工厂所面临的危害和风险分析。利用严格且有持续性的安全管理流程达到并保持所需要的安全等级。
1704018643
1704018644
7.7.3 网络安全
1704018645
[
上一页 ]
[ :1.704018596e+09 ]
[
下一页 ]