(一)身份认证
常见认证技术手段:口令密码、USB-Key、智能卡、人脸、指纹、虹膜等
为防范口令撞库攻击及敏感认证信息泄露影响,不同系统和网络环境应禁止使用相同身份认证证书信息
对于工业控制设备、SCADA软件、工业通信设各等设定不同强度的登录账号及密码,并进行定期更新,避免使用默认口令或弱口令
针对内部威胁,工业企业安全权限管理应遵循最小特权原则,对工业控制系统中的系统账户权限分配最小化,避免权限过多,防止特权滥用
(二)访问控制
《工业控制系统信息安全防护指南》要求:
- 在工业主机登录、应用服务资源访问、工业云平台访问等过程中使用身份认证管理
- 对于关键设备、系统和平台访问采用多因素认证
- 合理分类设置账户权限,以最小特权原则分配账户权限
- 强化工业控制设备、SCADA软件、工业通信设备等的登录账户及密码,避免使用默认口令或弱口令,定期更新口令
- 加强身份认证证书信息保护力度,禁止在不同系统和网络环境下共享