1、       工控企業(yè)在信息安全領(lǐng)域的現(xiàn)狀：

十多年專注成都網(wǎng)站制作，成都定制網(wǎng)站，個(gè)人網(wǎng)站制作服務(wù)，為大家分享網(wǎng)站制作知識(shí)、方案，網(wǎng)站設(shè)計(jì)流程、步驟,成功服務(wù)上千家企業(yè)。為您提供網(wǎng)站建設(shè),網(wǎng)站制作,網(wǎng)頁(yè)設(shè)計(jì)及定制高端網(wǎng)站建設(shè)服務(wù),專注于成都定制網(wǎng)站,高端網(wǎng)頁(yè)制作,對(duì)成都水電改造等多個(gè)領(lǐng)域，擁有多年的網(wǎng)站營(yíng)銷經(jīng)驗(yàn)。

1）、目前工業(yè)企業(yè)在工控安全建設(shè)中，沒有具體對(duì)應(yīng)的企業(yè)分級(jí)建設(shè)指南或標(biāo)準(zhǔn)，企業(yè)無從知道安全建設(shè)的臨界點(diǎn)，并且各部委安全管理職能相互交叉，測(cè)評(píng)的標(biāo)準(zhǔn)不一，導(dǎo)致企業(yè)基本上出于被動(dòng)狀態(tài)，只有依靠購(gòu)買專業(yè)安全設(shè)備來保證一些基本的安全框架。因此建設(shè)和撰寫出具有實(shí)用意義的指導(dǎo)指南和標(biāo)準(zhǔn)，企業(yè)照此執(zhí)行是有必要的。在防護(hù)指南中，應(yīng)該具有工控企業(yè)的安全分級(jí)，以及每種分級(jí)所需要做到的安全防護(hù)級(jí)別。

2）、工業(yè)企業(yè)本身內(nèi)部對(duì)信息安全的忽視和僥幸心理。企業(yè)本身認(rèn)為自身被***之后對(duì)***者無任何意義，價(jià)值不大；或者市面上工業(yè)企業(yè)眾多，不一定就***到自身。因此內(nèi)部也忽視和存在僥幸心理，安全制度以及排查落實(shí)不到位。

3）、工業(yè)企業(yè)本身制度問題。企業(yè)管理人員未配置專職的信息安全人員或IT技術(shù)人員中并無具備安全技能的管理人員，導(dǎo)致企業(yè)內(nèi)部需要依靠第三方提供安全服務(wù)，由于第三方無法做到對(duì)企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng)無縫結(jié)合，因此建議和測(cè)評(píng)總是存在漏洞。并且，企業(yè)自身對(duì)于應(yīng)付檢查和測(cè)評(píng)的需要，購(gòu)買的工控安全設(shè)備大部分都只是一個(gè)擺設(shè)，并未真正用于生產(chǎn)中，就算用于生產(chǎn)環(huán)境中，其安全策略也未配置或只配置部分，未起到真正的防護(hù)效果。

4）、工業(yè)IT管理人員話語(yǔ)權(quán)不大。從整個(gè)工業(yè)企業(yè)的生產(chǎn)流程來說，生產(chǎn)部門才是最具有話語(yǔ)權(quán)的強(qiáng)勢(shì)部門，一切影響生產(chǎn)為前提的都會(huì)被生產(chǎn)部門強(qiáng)勢(shì)限制或拒絕。因此，從整體做好企業(yè)安全出發(fā)，工業(yè)企業(yè)的安全管理需要將工控安全提升到最高管理層，實(shí)現(xiàn)一把手負(fù)責(zé)制，才可能做到做好工控企業(yè)的安全管理和建設(shè)工作。

5)、工業(yè)企業(yè)的主要職責(zé)是生產(chǎn)，有完善的安全生產(chǎn)管理制度。安全生產(chǎn)管理制度是一系列為了保障安全生產(chǎn)而制定的條文。它建立的目的主要是為了控制風(fēng)險(xiǎn)，將危害降到最小，安全生產(chǎn)管理制度目前因?yàn)閲?yán)格的實(shí)施條文和處罰制度，安全生產(chǎn)管理落實(shí)比較到位。而工控安全處于比較尷尬的地位，只有將工控安全整合到工業(yè)企業(yè)的安全生產(chǎn)管理里面，成為工業(yè)生產(chǎn)安全管理的一部分，工控企業(yè)的信息安全才能夠扭轉(zhuǎn)現(xiàn)有的脆弱狀態(tài)。

2、整個(gè)行業(yè)的安全意識(shí)問題：

1）、實(shí)施人員安全意識(shí)不到位。國(guó)內(nèi)某廠商的工控安全設(shè)備部署到某工控企業(yè)之后，配置了部分安全策略，但是卻忽視了最為重要的默認(rèn)口令，及進(jìn)入設(shè)備的安全權(quán)限。一旦***進(jìn)入內(nèi)網(wǎng)，使用默認(rèn)口令登錄安全設(shè)備，那么所有的防護(hù)措施都會(huì)立即失效。因此，在進(jìn)行一個(gè)項(xiàng)目實(shí)施上線過程中，一是實(shí)施人員必須具有安全意識(shí)和必要的安全配置基線，類似默認(rèn)口令這種最基本的安全意識(shí)應(yīng)該在實(shí)施人員層級(jí)進(jìn)行有效防控，二是企業(yè)的進(jìn)行項(xiàng)目驗(yàn)收的時(shí)候，需要在驗(yàn)收的條款中強(qiáng)調(diào)安全的測(cè)試和安全的配置基線，只有測(cè)試通過才予以驗(yàn)收。從制度上保證項(xiàng)目實(shí)施的安全配置基線。

2）、軟件開發(fā)人員安全意識(shí)不強(qiáng)。軟件公司給企業(yè)開發(fā)的各大應(yīng)用系統(tǒng)，其使用的數(shù)據(jù)庫(kù)口令、應(yīng)用系統(tǒng)口令等均為了省事和方便，比如數(shù)據(jù)庫(kù)SA賬戶密碼為sa等，開發(fā)完成后系統(tǒng)上線，所導(dǎo)致的問題就是該系統(tǒng)在后期即使發(fā)現(xiàn)這個(gè)弱口令問題，但已經(jīng)不能夠再修改了，除非重新進(jìn)行系統(tǒng)升級(jí)或開發(fā)。同時(shí)，軟件系統(tǒng)的不可升級(jí)以及后續(xù)維護(hù)等，其本身漏洞說引發(fā)的安全風(fēng)險(xiǎn)也無法進(jìn)行有效防護(hù)。同上，軟件開發(fā)也必須進(jìn)行安全基線配置核查和驗(yàn)收測(cè)試。

3、除此之外，工控安全設(shè)備廠商的防護(hù)設(shè)備部署到現(xiàn)場(chǎng)是否真正的防護(hù)到***，目前并沒有測(cè)評(píng)標(biāo)準(zhǔn)或未經(jīng)測(cè)評(píng)，目前已有的測(cè)評(píng)標(biāo)準(zhǔn)看，大部分都是側(cè)重于功能性的測(cè)評(píng)，只有少部分針對(duì)已知安全***的簡(jiǎn)單測(cè)評(píng)，完全無法滿足真實(shí)的抵御***的需求。

上述是針對(duì)大部分工控企業(yè)來說，類似國(guó)家電網(wǎng)的工控安全，當(dāng)然是走在所有工控企業(yè)的前面，但也僅僅是少部分而已；大部分的工控企業(yè)安全現(xiàn)狀還是很難堪的。

信息安全是一個(gè)相對(duì)的過程，只有處于整個(gè)行業(yè)生態(tài)鏈的每一環(huán)節(jié)都注重安全基線及標(biāo)準(zhǔn)，才可能做到相對(duì)的安全。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

文章標(biāo)題：工業(yè)企業(yè)的工控安全現(xiàn)在做的怎么樣了？-創(chuàng)新互聯(lián)
瀏覽地址：http://weahome.cn/article/dgicch.html