作為國(guó)內(nèi)最早從事工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全信息安全研究的安全廠商。由中科網(wǎng)威研制推出的工業(yè)防火墻、網(wǎng)絡(luò)資產(chǎn)安全風(fēng)險(xiǎn)異常監(jiān)測(cè)平臺(tái)的工業(yè)網(wǎng)絡(luò)安全產(chǎn)品以及“網(wǎng)威工業(yè)控制系統(tǒng)網(wǎng)絡(luò)信息安全時(shí)空防御模型”解決方案已被廣泛應(yīng)用于電力、軍工、工控等領(lǐng)域。對(duì)于工控信息網(wǎng)絡(luò)安全存在的諸多安全隱患,殷國(guó)強(qiáng)表示,工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全是一個(gè)新的課題。根據(jù)我們的研究,目前我國(guó)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題頻發(fā)原因主要有兩方面,一方面是管理,另一方面是技術(shù)。”
管理上,目前工控網(wǎng)絡(luò)信息安全主要有五個(gè)方面的問題。一是組織不健全。現(xiàn)有的工業(yè)自動(dòng)化管理體系和信息安全管理體系尚未完成有機(jī)結(jié)合,難以有效應(yīng)對(duì)工業(yè)控制網(wǎng)絡(luò)安全挑戰(zhàn);二是工業(yè)信息安全管理制度缺失。沒有可以參照的安全標(biāo)準(zhǔn)規(guī)范,缺乏經(jīng)過實(shí)踐檢驗(yàn)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全管理制度流程,從而難以有效實(shí)現(xiàn)工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的安全規(guī)范管理;三是相關(guān)人員缺乏安全培訓(xùn)。面對(duì)全新的課題,從管理人員到一線操作人員普遍缺乏對(duì)工業(yè)信息安全的認(rèn)識(shí),更談不上有效的針對(duì)性培訓(xùn),一旦出現(xiàn)問題,往往無力應(yīng)對(duì);四是監(jiān)管執(zhí)行不力。由于組織不健全、安全管理標(biāo)準(zhǔn)和制度缺失,加上技術(shù)方面原因,直接導(dǎo)致監(jiān)管措施難以落實(shí),從而使高層管理人員對(duì)安全風(fēng)險(xiǎn)難以把控;五是技術(shù)措施不到位。在缺乏標(biāo)準(zhǔn)規(guī)范的情況下,無法安排有效的技術(shù)措施,也無法確保技術(shù)措施真正發(fā)揮作用。
同時(shí)在技術(shù)上也存在一系列問題,首先是缺乏對(duì)攻擊手段的研究和工業(yè)信息安全防護(hù)及檢測(cè)手段,對(duì)攻擊手段的一無所知直接造成了防護(hù)的無從下手。其次,缺乏對(duì)技術(shù)設(shè)備的控制,我國(guó)的工業(yè)控制系統(tǒng)中的關(guān)鍵設(shè)備95%以上都是進(jìn)口的,對(duì)于其內(nèi)部結(jié)構(gòu)、組成、隱藏功能都缺乏了解,也沒有有效的技術(shù)和法律控制措施,很難保證沒有暗藏的后門、病毒、木馬、邏輯炸彈等破壞手段。
最重要的是,缺乏信息安全設(shè)計(jì),沒有安全模塊設(shè)計(jì)就談不上安全保障。據(jù)殷國(guó)強(qiáng)透露,目前,所謂的安全防護(hù)大都是通過“打補(bǔ)丁”的方式進(jìn)行,這種方式可以暫時(shí)取得防護(hù)效果,但是從長(zhǎng)遠(yuǎn)來看,治標(biāo)不治本,或許還會(huì)帶來更大的風(fēng)險(xiǎn)。