工控系统身份认证管理注意要素

工业控制

1196人已加入

描述

身份认证是工业控制系统操作指令安全执行的前提,其目的是确认操作者身份的合法性,确定该用户是否具有对某种资源的访问和使用权限,从而使工业控制系统的访问策略、操作行为合规合法。如果身份认证机制失效,易出现身份冒认,非法访问等行为,进而对工业生产的正常运行造成威胁,因此必须建立严格的身份认证机制。工业企业应加强工业控制系统的安全身份认证措施,防止攻击者假冒合法用户获得访间权限。

在登录工业主机、访问应用服务资源及工业云平台等过程中,工业企业应采取合理的身份认证安全管理措施,通过身份鉴别、角色判定、权限分配等手段实现系统登录访问的身份认证管理,常用的身份认证管理技术包括口令密码、数字证书、USB-Key、智能卡、生物指纹、虹膜等, 以确保访问过程安全可控。

对关键设备、系统和平台(如工程师站、操作员站、服务器等),必要时应采用多因素认证方式,避免他人盗用、误用,提高对工控设备、系统和平台的攻击难度。多因素认证方式是指采用两种或两种以上身份认证手段,多因素认证的安全性更高,被攻破的可能性更低,能更有效地,增强系统访问过程中的安全性。

企业应根据不同业务需求、岗位职责等,合理分类设置账户。依据岗位设置不同的账号,如工程师账号和操作员账号的权限不同,降低因事故、错误,篡改等原因造成损失的可能性。同时,工业企业需建立和维护用户权限清单,结合角色变更及时更新账户权限,定期审计分配的账户权限是否超出工作需要、人员是有离网,定清除过期账户。

企业可参考供应商的推荐或信息安全相关标准中的口令设置规则,根据资产重要性对工业控制设备、SCADA软件、工业通信设备等设定不同强度的口令,并定期对口令进行重置更新。口令以采取多位数字、字母、特殊符号的组合方式为宜,结合口令长度、错误次数限定等手段提高安全强度,建议采用验证码或其他机制提高口令破解的难度,禁止使用默认密码、弱口令、空口令等,严禁明文张贴口令现象的发生。

建议工业企业建立身份认证证书管理制度。如采用安全介质存储证书信息,对证书的申请、发放、传递、使用、吊销等过程通过技术手段严格控制,保证不同系统和网络环境下禁止使用相同的身份认证证书信息,减小证书暴露后对系统和网络的影响。同时禁止证书的跨网共享,即在不同系统和网络环境下禁止共享或传递证书信息,以最大限度维护证书的私密性和安全性,进而保证身份认证的安全性。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分