一、 工控企業在信息安全領域的現狀:
數據庫
1)、目前工業企業在工控安全建設中,沒有具體對應的企業分級建設指南或標準,企業無從知道安全建設的臨界點,而且各部委安全管理職能相互交叉,測評的標準不一,致使企業基本上出於被動狀態,只有依靠購買專業安全設備來保證一些基本的安全框架。所以建設和撰寫出具備實用意義的指導指南和標準,企業照此執行是有必要的。在防禦指南中,應該具備工控企業的安全分級,以及每種分級所須要作到的安全防禦級別。
安全
2)、工業企業自己內部對信息安全的忽視和僥倖心理。企業自己認爲自身被***以後對***者無任何意義,價值不大;或者市面上工業企業衆多,不必定就***到自身。所以內部也忽視和存在僥倖心理,安全制度以及排查落實不到位。
框架
3)、工業企業自己制度問題。企業管理人員未配置專職的信息安全人員或IT技術人員中並沒有具有安全技能的管理人員,致使企業內部須要依靠第三方提供安全服務,因爲第三方沒法作到對企業內部的業務系統無縫結合,所以建議和測評老是存在漏洞。而且,企業自身對於應付檢查和測評的須要,購買的工控安全設備大部分都只是一個擺設,並未真正用於生產中,就算用於生產環境中,其安全策略也未配置或只配置部分,未起到真正的防禦效果。
ide
4)、工業IT管理人員話語權不大。從整個工業企業的生產流程來講,生產部門纔是最具備話語權的強勢部門,一切影響生產爲前提的都會被生產部門強勢限制或拒絕。所以,從總體作好企業安全出發,工業企業的安全管理須要將工控安全提高到最高管理層,實現一把手負責制,纔可能作到作好工控企業的安全管理和建設工做。測試
5)、工業企業的主要職責是生產,有完善的安全生產管理制度。安全生產管理制度是一系列爲了保障安全生產而制定的條文。它創建的目的主要是爲了控制風險,將危害降到最小,安全生產管理制度目前由於嚴格的實施條文和處罰制度,安全生產管理落實比較到位。而工控安全處於比較尷尬的地位,只有將工控安全整合到工業企業的安全生產管理裏面,成爲工業生產安全管理的一部分,工控企業的信息安全才可以扭轉現有的脆弱狀態。spa
二、整個行業的安全意識問題:
orm
1)、實施人員安全意識不到位。國內某廠商的工控安全設備部署到某工控企業以後,配置了部分安全策略,可是卻忽視了最爲重要的默認口令,及進入設備的安全權限。一旦***進入內網,使用默認口令登陸安全設備,那麼全部的防禦措施都會當即失效。所以,在進行一個項目實施上線過程當中,一是實施人員必須具備安全意識和必要的安全配置基線,相似默認口令這種最基本的安全意識應該在實施人員層級進行有效防控,二是企業的進行項目驗收的時候,須要在驗收的條款中強調安全的測試和安全的配置基線,只有測試經過才予以驗收。從制度上保證項目實施的安全配置基線。
開發
2)、軟件開發人員安全意識不強。軟件公司給企業開發的各大應用系統,其使用的數據庫口令、應用系統口令等均爲了省事和方便,好比數據庫SA帳戶密碼爲sa等,開發完成後系統上線,所致使的問題就是該系統在後期即便發現這個弱口令問題,但已經不可以再修改了,除非從新進行系統升級或開發。同時,軟件系統的不可升級以及後續維護等,其自己漏洞說引起的安全風險也沒法進行有效防禦。同上,軟件開發也必須進行安全基線配置覈查和驗收測試。
三、除此以外,工控安全設備廠商的防禦設備部署到現場是否真正的防禦到***,目前並無測評標準或未經測評,目前已有的測評標準看,大部分都是側重於功能性的測評,只有少部分針對已知安全***的簡單測評,徹底沒法知足真實的抵禦***的需求。部署
上述是針對大部分工控企業來講,相似國家電網的工控安全,固然是走在全部工控企業的前面,但也僅僅是少部分而已;大部分的工控企業安全現狀仍是很難堪的。it
信息安全是一個相對的過程,只有處於整個行業生態鏈的每一環節都注重安全基線及標準,纔可能作到相對的安全。