1、       工控企業(yè)在信息安全領(lǐng)域的現(xiàn)狀：
 

創(chuàng)新互聯(lián)建站是一家成都網(wǎng)站設計、成都網(wǎng)站制作，提供網(wǎng)頁設計，網(wǎng)站設計，網(wǎng)站制作，建網(wǎng)站，按需搭建網(wǎng)站，網(wǎng)站開發(fā)公司，于2013年創(chuàng)立是互聯(lián)行業(yè)建設者，服務者。以提升客戶品牌價值為核心業(yè)務，全程參與項目的網(wǎng)站策劃設計制作，前端開發(fā)，后臺程序制作以及后期項目運營并提出專業(yè)建議和思路。

1）、目前工業(yè)企業(yè)在工控安全建設中，沒有具體對應的企業(yè)分級建設指南或標準，企業(yè)無從知道安全建設的臨界點，并且各部委安全管理職能相互交叉，測評的標準不一，導致企業(yè)基本上出于被動狀態(tài)，只有依靠購買專業(yè)安全設備來保證一些基本的安全框架。因此建設和撰寫出具有實用意義的指導指南和標準，企業(yè)照此執(zhí)行是有必要的。在防護指南中，應該具有工控企業(yè)的安全分級，以及每種分級所需要做到的安全防護級別。

2）、工業(yè)企業(yè)本身內(nèi)部對信息安全的忽視和僥幸心理。企業(yè)本身認為自身被***之后對***者無任何意義，價值不大；或者市面上工業(yè)企業(yè)眾多，不一定就***到自身。因此內(nèi)部也忽視和存在僥幸心理，安全制度以及排查落實不到位。

3）、工業(yè)企業(yè)本身制度問題。企業(yè)管理人員未配置專職的信息安全人員或IT技術(shù)人員中并無具備安全技能的管理人員，導致企業(yè)內(nèi)部需要依靠第三方提供安全服務，由于第三方無法做到對企業(yè)內(nèi)部的業(yè)務系統(tǒng)無縫結(jié)合，因此建議和測評總是存在漏洞。并且，企業(yè)自身對于應付檢查和測評的需要，購買的工控安全設備大部分都只是一個擺設，并未真正用于生產(chǎn)中，就算用于生產(chǎn)環(huán)境中，其安全策略也未配置或只配置部分，未起到真正的防護效果。

4）、工業(yè)IT管理人員話語權(quán)不大。從整個工業(yè)企業(yè)的生產(chǎn)流程來說，生產(chǎn)部門才是最具有話語權(quán)的強勢部門，一切影響生產(chǎn)為前提的都會被生產(chǎn)部門強勢限制或拒絕。因此，從整體做好企業(yè)安全出發(fā)，工業(yè)企業(yè)的安全管理需要將工控安全提升到最高管理層，實現(xiàn)一把手負責制，才可能做到做好工控企業(yè)的安全管理和建設工作。

5)、工業(yè)企業(yè)的主要職責是生產(chǎn)，有完善的安全生產(chǎn)管理制度。安全生產(chǎn)管理制度是一系列為了保障安全生產(chǎn)而制定的條文。它建立的目的主要是為了控制風險，將危害降到最小，安全生產(chǎn)管理制度目前因為嚴格的實施條文和處罰制度，安全生產(chǎn)管理落實比較到位。而工控安全處于比較尷尬的地位，只有將工控安全整合到工業(yè)企業(yè)的安全生產(chǎn)管理里面，成為工業(yè)生產(chǎn)安全管理的一部分，工控企業(yè)的信息安全才能夠扭轉(zhuǎn)現(xiàn)有的脆弱狀態(tài)。

2、整個行業(yè)的安全意識問題：

1）、實施人員安全意識不到位。國內(nèi)某廠商的工控安全設備部署到某工控企業(yè)之后，配置了部分安全策略，但是卻忽視了最為重要的默認口令，及進入設備的安全權(quán)限。一旦***進入內(nèi)網(wǎng)，使用默認口令登錄安全設備，那么所有的防護措施都會立即失效。因此，在進行一個項目實施上線過程中，一是實施人員必須具有安全意識和必要的安全配置基線，類似默認口令這種最基本的安全意識應該在實施人員層級進行有效防控，二是企業(yè)的進行項目驗收的時候，需要在驗收的條款中強調(diào)安全的測試和安全的配置基線，只有測試通過才予以驗收。從制度上保證項目實施的安全配置基線。

2）、軟件開發(fā)人員安全意識不強。軟件公司給企業(yè)開發(fā)的各大應用系統(tǒng)，其使用的數(shù)據(jù)庫口令、應用系統(tǒng)口令等均為了省事和方便，比如數(shù)據(jù)庫SA賬戶密碼為sa等，開發(fā)完成后系統(tǒng)上線，所導致的問題就是該系統(tǒng)在后期即使發(fā)現(xiàn)這個弱口令問題，但已經(jīng)不能夠再修改了，除非重新進行系統(tǒng)升級或開發(fā)。同時，軟件系統(tǒng)的不可升級以及后續(xù)維護等，其本身漏洞說引發(fā)的安全風險也無法進行有效防護。同上，軟件開發(fā)也必須進行安全基線配置核查和驗收測試。

3、除此之外，工控安全設備廠商的防護設備部署到現(xiàn)場是否真正的防護到***，目前并沒有測評標準或未經(jīng)測評，目前已有的測評標準看，大部分都是側(cè)重于功能性的測評，只有少部分針對已知安全***的簡單測評，完全無法滿足真實的抵御***的需求。

上述是針對大部分工控企業(yè)來說，類似國家電網(wǎng)的工控安全，當然是走在所有工控企業(yè)的前面，但也僅僅是少部分而已；大部分的工控企業(yè)安全現(xiàn)狀還是很難堪的。

信息安全是一個相對的過程，只有處于整個行業(yè)生態(tài)鏈的每一環(huán)節(jié)都注重安全基線及標準，才可能做到相對的安全。

文章標題：工業(yè)企業(yè)的工控安全現(xiàn)在做的怎么樣了？
URL鏈接：http://chinadenli.net/article22/ppsdjc.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站收錄、搜索引擎優(yōu)化、網(wǎng)站導航、定制網(wǎng)站、自適應網(wǎng)站、網(wǎng)頁設計公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)