工業企業的工控安全現在做的怎麽樣了?
1、 工控企業在信息安全領域的現狀:
1)、目前工業企業在工控安全建設中,沒有具體對應的企業分級建設指南或標準,企業無從知道安全建設的臨界點,並且各部委安全管理職能相互交叉,測評的標準不一,導致企業基本上出於被動狀態,只有依靠購買專業安全設備來保證一些基本的安全框架。因此建設和撰寫出具有實用意義的指導指南和標準,企業照此執行是有必要的。在防護指南中,應該具有工控企業的安全分級,以及每種分級所需要做到的安全防護級別。
2)、工業企業本身內部對信息安全的忽視和僥幸心理。企業本身認為自身被攻擊之後對攻擊者無任何意義,價值不大;或者市面上工業企業眾多,不一定就攻擊到自身。因此內部也忽視和存在僥幸心理,安全制度以及排查落實不到位。
3)、工業企業本身制度問題。企業管理人員未配置專職的信息安全人員或IT技術人員中並無具備安全技能的管理人員,導致企業內部需要依靠第三方提供安全服務,由於第三方無法做到對企業內部的業務系統無縫結合,因此建議和測評總是存在漏洞。並且,企業自身對於應付檢查和測評的需要,購買的工控安全設備大部分都只是一個擺設,並未真正用於生產中,就算用於生產環境中,其安全策略也未配置或只配置部分,未起到真正的防護效果。
4)、工業IT管理人員話語權不大。從整個工業企業的生產流程來說,生產部門才是最具有話語權的強勢部門,一切影響生產為前提的都會被生產部門強勢限制或拒絕。因此,從整體做好企業安全出發,工業企業的安全管理需要將工控安全提升到最高管理層,實現一把手負責制,才可能做到做好工控企業的安全管理和建設工作。
5)、工業企業的主要職責是生產,有完善的安全生產管理制度。安全生產管理制度是一系列為了保障安全生產而制定的條文。它建立的目的主要是為了控制風險,將危害降到最小,安全生產管理制度目前因為嚴格的實施條文和處罰制度,安全生產管理落實比較到位。而工控安全處於比較尷尬的地位,只有將工控安全整合到工業企業的安全生產管理裏面,成為工業生產安全管理的一部分,工控企業的信息安全才能夠扭轉現有的脆弱狀態。
2、整個行業的安全意識問題:
1)、實施人員安全意識不到位。國內某廠商的工控安全設備部署到某工控企業之後,配置了部分安全策略,但是卻忽視了最為重要的默認口令,及進入設備的安全權限。一旦黑客進入內網,使用默認口令登錄安全設備,那麽所有的防護措施都會立即失效。因此,在進行一個項目實施上線過程中,一是實施人員必須具有安全意識和必要的安全配置基線,類似默認口令這種最基本的安全意識應該在實施人員層級進行有效防控,二是企業的進行項目驗收的時候,需要在驗收的條款中強調安全的測試和安全的配置基線,只有測試通過才予以驗收。從制度上保證項目實施的安全配置基線。
2)、軟件開發人員安全意識不強。軟件公司給企業開發的各大應用系統,其使用的數據庫口令、應用系統口令等均為了省事和方便,比如數據庫SA賬戶密碼為sa等,開發完成後系統上線,所導致的問題就是該系統在後期即使發現這個弱口令問題,但已經不能夠再修改了,除非重新進行系統升級或開發。同時,軟件系統的不可升級以及後續維護等,其本身漏洞說引發的安全風險也無法進行有效防護。同上,軟件開發也必須進行安全基線配置核查和驗收測試。
3、除此之外,工控安全設備廠商的防護設備部署到現場是否真正的防護到攻擊,目前並沒有測評標準或未經測評,目前已有的測評標準看,大部分都是側重於功能性的測評,只有少部分針對已知安全攻擊的簡單測評,完全無法滿足真實的抵禦攻擊的需求。
上述是針對大部分工控企業來說,類似國家電網的工控安全,當然是走在所有工控企業的前面,但也僅僅是少部分而已;大部分的工控企業安全現狀還是很難堪的。
信息安全是一個相對的過程,只有處於整個行業生態鏈的每一環節都註重安全基線及標準,才可能做到相對的安全。
本文出自 “我拿流年亂了浮生” 博客,請務必保留此出處http://tasnrh.blog.51cto.com/4141731/1982881
工業企業的工控安全現在做的怎麽樣了?