近日,我國工業和資訊化部先后發布了《工業控制系統資訊安全防護指南》和《工業控制系統資訊安全防護能力評估方法》,該評估選取了國內 32 家具有代表性的工業企業開展了調研評估作業,評估結果表明,大多數工業企業資訊安全防護水平僅達到“基本合格”的狀態,存在明顯短板,亟需進一步提升,
工業企業資訊安全評估結果如下,
近五分之一的工業企業評估“不合格”,資訊安全防護作業有待加強
結果顯示:21.87% 的(7 家)工業企業評估結果為“不合格”,46.87% 的(15 家)工業企業評估結果為“基本合格”,15.63% 的(5 家)工業企業評估結果為“一般”,15.63% 的(5 家)工業企業評估結果為“良好”,尚無企業被評估為“優秀”,《防護指南》作為工業企業資訊安全評估的基線要求,被評估為“良好”水平的工業企業占比不足兩成,工業企業資訊安全防護作業有待進一步強化,
工控安全防護作業存在明顯短板
工業企業在“配置和補丁管理”和“安全軟體選擇與管理”兩方面得分率不足 60%,分別為 49.28% 和 58.70%,工業企業在技術防護方面存在明顯短板,系統日常安全維護缺失,生產網路安全狀態無法確定,終端安全防護不足,在安全策略配置和主機缺陷修復方面未采取有效措施,無法保證工控系統安全穩定運行,
關于作業建議
1、定期開展多層次的工控安全防護能力評估貫標作業,增強企業安全責任意識,針對企業安全短板整理歸納安全解決方案,全面提升企業安全防護能力,
2、按照資訊系統安全“三同步”原則,推動工業控制系統與安全保障措施同步設計、 同步建設、同步運行,完善工業控制系統安全防護體系;在工業控制系統上線前進行安全評估,檢驗系統上線前的安全狀態,健全系統因無法維護或漏洞修復引起的安全隱患;根據工業控制系統業務持續情況,合理安排維護管理策略,針對系統運行特點,在停車檢修期間修復系統記憶體在的安全缺陷,完善系統內設備、終端等安全策略,健全系統的安全防護體系,
3、推動國內安全廠商與工控企業的深度合作,集中力量加強安全軟體的研發及測驗,完善工控控制系統安全軟體的兼容性,提升安全軟體在不同工控環境下的可靠性和可用性,切實解決工業企業安全軟體供給不足的問題,同時,建立國產安全軟體的供應鏈管理體系,在安全軟體投入使用前需經過第三方權威機構的安全測驗,從供應鏈源頭保障工業控制系統的安全,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/312057.html
標籤:其他