我国正处在从工业大国向工业强国的要害转型开展期,工业操控系统(简称“工控系统”)的安全确保才能是我国打造工业强国的中心竞争力之一,有必要提升到战略高度予以注重。
工控系统面临的安全形势日益严峻
我国工控系统存在严峻安全隐患。依据绿盟科技结合美国CVE(公共缝隙和露出)、ICS-CERT(美国疆土安全部工业操控系统和计算机应急呼应小组)以及我国国家信息安全缝隙同享渠道所发布的数据,到2014年6月,共有549个与工业操控系统相关的揭露安全缝隙,其间128个触及西门子产品,占28%;46个触及施耐德电气产品,占10%;37个触及研华科技产品,占8%;31个触及GE产品,占7%。上述厂商的产品在我国工控系统中有着极为广泛的使用,乃至部分产品在某些职业处于商场独占位置,我国工控系统的安全脆弱性不容忽视。
我国工控系统安全防护的三大问题
逆向开展进程中标准难落地。为应对工控系统的安全危险,近年来我国参阅国外标准系统,拟定并公布了多项职业安全办理和技能标准,对工业的开展起到了明显的标准和引导效果。但国外标准系统是在许多使用实践根底上总结而来的,我国则是先有标准,再开展满意商场需求且本钱合理的处理计划,是一个逆向开展的进程,杰出的应战在于标准怎么可以落地,这关于安全厂商的技能才能和用户企业的使用水平都有较高要求,需求许多经历丰富、通晓工控和安全技能的研制和使用人才。
工业企业使用安全处理计划进程中小看安全办理。面临工控系统的安全隐患,用户企业连续信息安全防护的旧思路,以为工控系统安全归于纯技能问题,要求工控系统厂商供给整改计划,或许转向第三方厂商购买安全处理计划。但安全防护不只是技能问题,更重要的是经过流程准则对安全脆弱性进行操控,并确保人员对流程准则的坚决履行。许多情况下,安全事故的产生和要害信息的走漏,人的要素至关重要。怎么使安全办理融入到日常办理的流程,并强化履行流程的履行,加强人员的办理,是工业企业有必要认真思考和处理的问题。
安全厂商开发处理计划进程中忽视安全办理系统。在动力、电力等要害部分火急的工控系统安全整改需求推动之下,我国工控系统安全商场快速扩展,招引了许多传统IT信息安全厂商的进入。工控系统安全防护是一个综合办理系统,既着重确保工控系统的高可用性和高可靠性,还要防备安全事情可能对工业根底设施以及人员生命安全带来的要挟。
对策主张
学习德国经历,将工控系统安全确保才能建造上升为国家战略。一是赶快发动现有工控系统的系统性安全评价,履行本钱经济的安全处理计划。二是把工控系统安全确保才能建造归入到制造业转型晋级战略系统傍边,同步布置,要点推动,研讨拟定相关开展促进方针。三是继续推动知识产权维护,加强立法和法律。
以标准为根底,以商场为导向,支撑工控系统安全技能和处理计划的研制。一是活跃盯梢并参加世界工控系统安全标准标准和认证办理等方面的作业,加深对工控系统安全标准系统和办理方法的了解,加速工控系统安全国家标准的拟定。二是以商场使用为导向,切合实际需求,支撑产学研单位活跃研制技能自主、本钱经济的工控系统安全处理计划。三是加速培养一批全面把握工业操控技能和相关安全技能知识的专业人才。
培养工控系统安全生态系统。一是进步工控系统安全的办理水平。二是标准工控系统安全危险和脆弱性评价商场,赶快树立一致、独立的国家评价系统。三是加速树立根据职业的工控系统安全缝隙,构成工控系统和信息安全厂商的协同机制,加强对工控事情的监测和通报,完成缝隙信息定时更新。
加强信息安全策略系统建造和流程办理。一是要求工业企业加速拟定安全办理准则,清晰责任、权限,进步对工控系统安全的认识水平和注重程度。二是加强安全教育和办理培训,催促企业履行安全办理准则,定时安排工控系统安全查看。
