近日,我国工业和信息化部先后发布了《工业控制系统信息安全防护指南》和《工业控制系统信息安全防护能力评估方法》,该评估选取了国内 32 家具有代表性的工业企业开展了调研评估工作。评估结果表明,大多数工业企业信息安全防护水平仅达到“基本合格”的状态,存在明显短板,亟需进一步提升。
工业企业信息安全评估结果如下。
近五分之一的工业企业评估“不合格”,信息安全防护工作有待加强
结果显示:21.87% 的(7 家)工业企业评估结果为“不合格”,46.87% 的(15 家)工业企业评估结果为“基本合格”,15.63% 的(5 家)工业企业评估结果为“一般”,15.63% 的(5 家)工业企业评估结果为“良好”,尚无企业被评估为“优秀”。《防护指南》作为工业企业信息安全评估的基线要求,被评估为“良好”水平的工业企业占比不足两成,工业企业信息安全防护工作有待进一步强化。
工控安全防护工作存在明显短板
工业企业在“配置和补丁管理”和“安全软件选择与管理”两方面得分率不足 60%,分别为 49.28% 和 58.70%。工业企业在技术防护方面存在明显短板,系统日常安全维护缺失,生产网络安全状态无法确定,终端安全防护不足,在安全策略配置和主机缺陷修复方面未采取有效措施,无法保证工控系统安全稳定运行。
关于工作建议
1、定期开展多层次的工控安全防护能力评估贯标工作,增强企业安全责任意识,针对企业安全短板整理归纳安全解决方案,全面提升企业安全防护能力。
2、按照信息系统安全“三同步”原则,推动工业控制系统与安全保障措施同步设计、 同步建设、同步运行,完善工业控制系统安全防护体系;在工业控制系统上线前进行安全评估,检验系统上线前的安全状态,健全系统因无法维护或漏洞修复引起的安全隐患;根据工业控制系统业务持续情况,合理安排维护管理策略,针对系统运行特点,在停车检修期间修复系统内存在的安全缺陷,完善系统内设备、终端等安全策略,健全系统的安全防护体系。
3、推动国内安全厂商与工控企业的深度合作,集中力量加强安全软件的研发及测试,完善工控控制系统安全软件的兼容性,提升安全软件在不同工控环境下的可靠性和可用性,切实解决工业企业安全软件供给不足的问题。同时,建立国产安全软件的供应链管理体系,在安全软件投入使用前需经过第三方权威机构的安全测试,从供应链源头保障工业控制系统的安全。
