1、 工控企业在信息安全领域的现状:
1)、目前工业企业在工控安全建设中,没有具体对应的企业分级建设指南或标准,企业无从知道安全建设的临界点,并且各部委安全管理职能相互交叉,测评的标准不一,导致企业基本上出于被动状态,只有依靠购买专业安全设备来保证一些基本的安全框架。因此建设和撰写出具有实用意义的指导指南和标准,企业照此执行是有必要的。在防护指南中,应该具有工控企业的安全分级,以及每种分级所需要做到的安全防护级别。
2)、工业企业本身内部对信息安全的忽视和侥幸心理。企业本身认为自身被攻击之后对攻击者无任何意义,价值不大;或者市面上工业企业众多,不一定就攻击到自身。因此内部也忽视和存在侥幸心理,安全制度以及排查落实不到位。
3)、工业企业本身制度问题。企业管理人员未配置专职的信息安全人员或IT技术人员中并无具备安全技能的管理人员,导致企业内部需要依靠第三方提供安全服务,由于第三方无法做到对企业内部的业务系统无缝结合,因此建议和测评总是存在漏洞。并且,企业自身对于应付检查和测评的需要,购买的工控安全设备大部分都只是一个摆设,并未真正用于生产中,就算用于生产环境中,其安全策略也未配置或只配置部分,未起到真正的防护效果。
4)、工业IT管理人员话语权不大。从整个工业企业的生产流程来说,生产部门才是最具有话语权的强势部门,一切影响生产为前提的都会被生产部门强势限制或拒绝。因此,从整体做好企业安全出发,工业企业的安全管理需要将工控安全提升到最高管理层,实现一把手负责制,才可能做到做好工控企业的安全管理和建设工作。
5)、工业企业的主要职责是生产,有完善的安全生产管理制度。安全生产管理制度是一系列为了保障安全生产而制定的条文。它建立的目的主要是为了控制风险,将危害降到最小,安全生产管理制度目前因为严格的实施条文和处罚制度,安全生产管理落实比较到位。而工控安全处于比较尴尬的地位,只有将工控安全整合到工业企业的安全生产管理里面,成为工业生产安全管理的一部分,工控企业的信息安全才能够扭转现有的脆弱状态。
2、整个行业的安全意识问题:
1)、实施人员安全意识不到位。国内某厂商的工控安全设备部署到某工控企业之后,配置了部分安全策略,但是却忽视了最为重要的默认口令,及进入设备的安全权限。一旦黑客进入内网,使用默认口令登录安全设备,那么所有的防护措施都会立即失效。因此,在进行一个项目实施上线过程中,一是实施人员必须具有安全意识和必要的安全配置基线,类似默认口令这种最基本的安全意识应该在实施人员层级进行有效防控,二是企业的进行项目验收的时候,需要在验收的条款中强调安全的测试和安全的配置基线,只有测试通过才予以验收。从制度上保证项目实施的安全配置基线。
2)、软件开发人员安全意识不强。软件公司给企业开发的各大应用系统,其使用的数据库口令、应用系统口令等均为了省事和方便,比如数据库SA账户密码为sa等,开发完成后系统上线,所导致的问题就是该系统在后期即使发现这个弱口令问题,但已经不能够再修改了,除非重新进行系统升级或开发。同时,软件系统的不可升级以及后续维护等,其本身漏洞说引发的安全风险也无法进行有效防护。同上,软件开发也必须进行安全基线配置核查和验收测试。
3、除此之外,工控安全设备厂商的防护设备部署到现场是否真正的防护到攻击,目前并没有测评标准或未经测评,目前已有的测评标准看,大部分都是侧重于功能性的测评,只有少部分针对已知安全攻击的简单测评,完全无法满足真实的抵御攻击的需求。
上述是针对大部分工控企业来说,类似国家电网的工控安全,当然是走在所有工控企业的前面,但也仅仅是少部分而已;大部分的工控企业安全现状还是很难堪的。
信息安全是一个相对的过程,只有处于整个行业生态链的每一环节都注重安全基线及标准,才可能做到相对的安全。