系统的权限分配,应该和人员职责相关,同时也需要匹配个人的培训,权限分配的过程,需要有权限申请表,同时也需要有必要的审批流程,并且对权限情况也需要进行定期审核,以确保分配恰当。
生产系统分配权限存在的局限性,在昨天的分享(
昨天的分享)
昨天的分享)ISPE的指南还提到了采用商业操作系统的MES和PCS系统,相比较定制化的操作系统而言可能会有更高的风险,从而需要去基于风险考虑,是否需要安装杀毒软件。
此外,采用商业化操作可能会存在的另一个问题在于操作系统供应商可能已经停止支持某个版本的操作系统,比如有些工控机上可能还在使用XP的系统,对于这些系统,可以考虑隔离专用的生产网络的方式,同时建立一些数据传输的方式,以降低数据传输带来的外部风险,比如限定特定的IP,在特定时间内访问特定的设备,采集数据。
物理安全管控的前提是整个厂区的安全,但从数据完整性的角度去考虑,很多情况下,一些蓄意破坏发生的前提是相关人员具有相应区域的访问权限,此外,指南中还提到了对于一些简单的设备,没有完善的权限分配机制的设备,需要辅助有一些诸如控制柜钥匙等物理手段来控制对系统的访问,同时通过日志、变更等方式,追溯系统或数据的变更。
对于一些USB端口,硬盘或者网络连接,也需要考虑是否需要禁用。
