亟須從戰(zhàn)略高度重視工控系統(tǒng)安全

時間:2015-01-09

來源:網(wǎng)絡轉載

導語:工業(yè)企業(yè)應用安全解決方案過程中輕視安全管理。面對工控系統(tǒng)的安全隱患,用戶企業(yè)延續(xù)信息安全防護的舊思路,認為工控系統(tǒng)安全屬于純技術問題,要求工控系統(tǒng)廠商提供整改方案,或者轉向第三方廠商購買安全解決方案。

我國正處在從工業(yè)大國向工業(yè)強國的關鍵轉型發(fā)展期,工業(yè)控制系統(tǒng)(簡稱“工控系統(tǒng)”)的安全保障能力是我國打造工業(yè)強國的核心競爭力之一,必須提升到戰(zhàn)略高度予以重視。

工控系統(tǒng)面臨的安全形勢日益嚴峻

我國工控系統(tǒng)存在嚴重安全隱患。根據(jù)綠盟科技結合美國CVE(公共漏洞和暴露)、ICS-CERT(美國國土安全部工業(yè)控制系統(tǒng)和計算機應急響應小組)以及中國國家信息安全漏洞共享平臺所發(fā)布的數(shù)據(jù),截至2014年6月,共有549個與工業(yè)控制系統(tǒng)相關的公開安全漏洞,其中128個涉及西門子產(chǎn)品,占28%;46個涉及施耐德電氣產(chǎn)品,占10%;37個涉及研華科技產(chǎn)品,占8%;31個涉及GE產(chǎn)品,占7%。上述廠商的產(chǎn)品在我國工控系統(tǒng)中有著極為廣泛的應用,甚至部分產(chǎn)品在某些行業(yè)處于市場壟斷地位,我國工控系統(tǒng)的安全脆弱性不容忽視。

我國工控系統(tǒng)安全防護的三大問題

逆向發(fā)展過程中標準難落地。為應對工控系統(tǒng)的安全風險,近年來我國參考國外標準體系,制定并頒布了多項行業(yè)安全管理和技術標準,對產(chǎn)業(yè)的發(fā)展起到了顯著的規(guī)范和引導作用。但國外標準體系是在大量應用實踐基礎上總結而來的,我國則是先有標準,再發(fā)展?jié)M足市場需求且成本合理的解決方案,是一個逆向發(fā)展的過程,突出的挑戰(zhàn)在于標準如何能夠落地,這對于安全廠商的技術能力和用戶企業(yè)的應用水平都有較高要求,需要大量經(jīng)驗豐富、精通工控和安全技術的研發(fā)和應用人才。

工業(yè)企業(yè)應用安全解決方案過程中輕視安全管理。面對工控系統(tǒng)的安全隱患,用戶企業(yè)延續(xù)信息安全防護的舊思路,認為工控系統(tǒng)安全屬于純技術問題,要求工控系統(tǒng)廠商提供整改方案,或者轉向第三方廠商購買安全解決方案。但安全防護不只是技術問題,更重要的是通過流程制度對安全脆弱性進行控制,并保證人員對流程制度的堅決執(zhí)行。很多情況下,安全事故的發(fā)生和關鍵信息的泄露,人的因素至關重要。如何使安全管理融入到日常管理的流程,并強化落實流程的執(zhí)行,加強人員的管理,是工業(yè)企業(yè)必須認真思考和解決的問題。

安全廠商開發(fā)解決方案過程中忽視安全治理體系。在能源、電力等關鍵部門迫切的工控系統(tǒng)安全整改需求推動之下,我國工控系統(tǒng)安全市場快速擴大,吸引了大量傳統(tǒng)IT信息安全廠商的進入。工控系統(tǒng)安全防護是一個綜合治理體系,既強調(diào)保障工控系統(tǒng)的高可用性和高可靠性,還要防范安全事件可能對工業(yè)基礎設施以及人員生命安全帶來的威脅。

對策建議

借鑒德國經(jīng)驗,將工控系統(tǒng)安全保障能力建設上升為國家戰(zhàn)略。一是盡快啟動現(xiàn)有工控系統(tǒng)的系統(tǒng)性安全評估,落實成本經(jīng)濟的安全解決方案。二是把工控系統(tǒng)安全保障能力建設納入到制造業(yè)轉型升級戰(zhàn)略體系當中,同步部署,重點推進,研究制定相關發(fā)展促進政策。三是持續(xù)推進知識產(chǎn)權保護,加強立法和執(zhí)法。

以標準為基礎,以市場為導向,支持工控系統(tǒng)安全技術和解決方案的研發(fā)。一是積極跟蹤并參與國際工控系統(tǒng)安全標準規(guī)范和認證管理等方面的工作,加深對工控系統(tǒng)安全標準體系和管理方法的理解,加快工控系統(tǒng)安全國家標準的制定。二是以市場應用為導向,切合實際需求,支持產(chǎn)學研單位積極研發(fā)技術自主、成本經(jīng)濟的工控系統(tǒng)安全解決方案。三是加快培養(yǎng)一批全面掌握工業(yè)控制技術和相關安全技術知識的專業(yè)人才。

培育工控系統(tǒng)安全生態(tài)體系。一是提高工控系統(tǒng)安全的治理水平。二是規(guī)范工控系統(tǒng)安全風險和脆弱性評估市場,盡快建立統(tǒng)一、獨立的國家評估體系。三是加快建立基于行業(yè)的工控系統(tǒng)安全漏洞,形成工控系統(tǒng)和信息安全廠商的協(xié)同機制,加強對工控事件的監(jiān)測和通報,實現(xiàn)漏洞信息定期更新。

加強信息安全策略體系建設和流程管理。一是要求工業(yè)企業(yè)加快制定安全管理制度,明確職責、權限,提高對工控系統(tǒng)安全的認識水平和重視程度。二是加強安全教育和管理培訓,督促企業(yè)落實安全管理制度,定期組織工控系統(tǒng)安全檢查。

更多資訊請關注PC BASED頻道

中傳動網(wǎng)版權與免責聲明:

凡本網(wǎng)注明[來源:中國傳動網(wǎng)]的所有文字、圖片、音視和視頻文件,版權均為中國傳動網(wǎng)(surachana.com)獨家所有。如需轉載請與0755-82949061聯(lián)系。任何媒體、網(wǎng)站或個人轉載使用時須注明來源“中國傳動網(wǎng)”,違反者本網(wǎng)將追究其法律責任。

本網(wǎng)轉載并注明其他來源的稿件,均來自互聯(lián)網(wǎng)或業(yè)內(nèi)投稿人士,版權屬于原版權人。轉載請保留稿件來源及作者,禁止擅自篡改,違者自負版權法律責任。

如涉及作品內(nèi)容、版權等問題,請在作品發(fā)表之日起一周內(nèi)與本網(wǎng)聯(lián)系,否則視為放棄相關權利。

關注伺服與運動控制公眾號獲取更多資訊

關注直驅與傳動公眾號獲取更多資訊

關注中國傳動網(wǎng)公眾號獲取更多資訊

最新新聞
查看更多資訊

熱搜詞
  • 運動控制
  • 伺服系統(tǒng)
  • 機器視覺
  • 機械傳動
  • 編碼器
  • 直驅系統(tǒng)
  • 工業(yè)電源
  • 電力電子
  • 工業(yè)互聯(lián)
  • 高壓變頻器
  • 中低壓變頻器
  • 傳感器
  • 人機界面
  • PLC
  • 電氣聯(lián)接
  • 工業(yè)機器人
  • 低壓電器
  • 機柜
回頂部
點贊 0
取消 0