1、       工控企業(yè)在信息安全領(lǐng)域的現(xiàn)狀：
 

創(chuàng)新互聯(lián)建站是一家成都網(wǎng)站設(shè)計、成都網(wǎng)站制作，提供網(wǎng)頁設(shè)計，網(wǎng)站設(shè)計，網(wǎng)站制作，建網(wǎng)站，按需搭建網(wǎng)站，網(wǎng)站開發(fā)公司，于2013年創(chuàng)立是互聯(lián)行業(yè)建設(shè)者，服務(wù)者。以提升客戶品牌價值為核心業(yè)務(wù)，全程參與項目的網(wǎng)站策劃設(shè)計制作，前端開發(fā)，后臺程序制作以及后期項目運營并提出專業(yè)建議和思路。

1）、目前工業(yè)企業(yè)在工控安全建設(shè)中，沒有具體對應(yīng)的企業(yè)分級建設(shè)指南或標準，企業(yè)無從知道安全建設(shè)的臨界點，并且各部委安全管理職能相互交叉，測評的標準不一，導(dǎo)致企業(yè)基本上出于被動狀態(tài)，只有依靠購買專業(yè)安全設(shè)備來保證一些基本的安全框架。因此建設(shè)和撰寫出具有實用意義的指導(dǎo)指南和標準，企業(yè)照此執(zhí)行是有必要的。在防護指南中，應(yīng)該具有工控企業(yè)的安全分級，以及每種分級所需要做到的安全防護級別。

2）、工業(yè)企業(yè)本身內(nèi)部對信息安全的忽視和僥幸心理。企業(yè)本身認為自身被***之后對***者無任何意義，價值不大；或者市面上工業(yè)企業(yè)眾多，不一定就***到自身。因此內(nèi)部也忽視和存在僥幸心理，安全制度以及排查落實不到位。

3）、工業(yè)企業(yè)本身制度問題。企業(yè)管理人員未配置專職的信息安全人員或IT技術(shù)人員中并無具備安全技能的管理人員，導(dǎo)致企業(yè)內(nèi)部需要依靠第三方提供安全服務(wù)，由于第三方無法做到對企業(yè)內(nèi)部的業(yè)務(wù)系統(tǒng)無縫結(jié)合，因此建議和測評總是存在漏洞。并且，企業(yè)自身對于應(yīng)付檢查和測評的需要，購買的工控安全設(shè)備大部分都只是一個擺設(shè)，并未真正用于生產(chǎn)中，就算用于生產(chǎn)環(huán)境中，其安全策略也未配置或只配置部分，未起到真正的防護效果。

4）、工業(yè)IT管理人員話語權(quán)不大。從整個工業(yè)企業(yè)的生產(chǎn)流程來說，生產(chǎn)部門才是最具有話語權(quán)的強勢部門，一切影響生產(chǎn)為前提的都會被生產(chǎn)部門強勢限制或拒絕。因此，從整體做好企業(yè)安全出發(fā)，工業(yè)企業(yè)的安全管理需要將工控安全提升到最高管理層，實現(xiàn)一把手負責(zé)制，才可能做到做好工控企業(yè)的安全管理和建設(shè)工作。

5)、工業(yè)企業(yè)的主要職責(zé)是生產(chǎn)，有完善的安全生產(chǎn)管理制度。安全生產(chǎn)管理制度是一系列為了保障安全生產(chǎn)而制定的條文。它建立的目的主要是為了控制風(fēng)險，將危害降到最小，安全生產(chǎn)管理制度目前因為嚴格的實施條文和處罰制度，安全生產(chǎn)管理落實比較到位。而工控安全處于比較尷尬的地位，只有將工控安全整合到工業(yè)企業(yè)的安全生產(chǎn)管理里面，成為工業(yè)生產(chǎn)安全管理的一部分，工控企業(yè)的信息安全才能夠扭轉(zhuǎn)現(xiàn)有的脆弱狀態(tài)。

2、整個行業(yè)的安全意識問題：

1）、實施人員安全意識不到位。國內(nèi)某廠商的工控安全設(shè)備部署到某工控企業(yè)之后，配置了部分安全策略，但是卻忽視了最為重要的默認口令，及進入設(shè)備的安全權(quán)限。一旦***進入內(nèi)網(wǎng)，使用默認口令登錄安全設(shè)備，那么所有的防護措施都會立即失效。因此，在進行一個項目實施上線過程中，一是實施人員必須具有安全意識和必要的安全配置基線，類似默認口令這種最基本的安全意識應(yīng)該在實施人員層級進行有效防控，二是企業(yè)的進行項目驗收的時候，需要在驗收的條款中強調(diào)安全的測試和安全的配置基線，只有測試通過才予以驗收。從制度上保證項目實施的安全配置基線。

2）、軟件開發(fā)人員安全意識不強。軟件公司給企業(yè)開發(fā)的各大應(yīng)用系統(tǒng)，其使用的數(shù)據(jù)庫口令、應(yīng)用系統(tǒng)口令等均為了省事和方便，比如數(shù)據(jù)庫SA賬戶密碼為sa等，開發(fā)完成后系統(tǒng)上線，所導(dǎo)致的問題就是該系統(tǒng)在后期即使發(fā)現(xiàn)這個弱口令問題，但已經(jīng)不能夠再修改了，除非重新進行系統(tǒng)升級或開發(fā)。同時，軟件系統(tǒng)的不可升級以及后續(xù)維護等，其本身漏洞說引發(fā)的安全風(fēng)險也無法進行有效防護。同上，軟件開發(fā)也必須進行安全基線配置核查和驗收測試。

3、除此之外，工控安全設(shè)備廠商的防護設(shè)備部署到現(xiàn)場是否真正的防護到***，目前并沒有測評標準或未經(jīng)測評，目前已有的測評標準看，大部分都是側(cè)重于功能性的測評，只有少部分針對已知安全***的簡單測評，完全無法滿足真實的抵御***的需求。

上述是針對大部分工控企業(yè)來說，類似國家電網(wǎng)的工控安全，當然是走在所有工控企業(yè)的前面，但也僅僅是少部分而已；大部分的工控企業(yè)安全現(xiàn)狀還是很難堪的。

信息安全是一個相對的過程，只有處于整個行業(yè)生態(tài)鏈的每一環(huán)節(jié)都注重安全基線及標準，才可能做到相對的安全。