工业企业的工控安全如今作的怎么样了？

一、       工控企业在信息安全领域的现状：
 

1）、目前工业企业在工控安全建设中，没有具体对应的企业分级建设指南或标准，企业无从知道安全建设的临界点，而且各部委安全管理职能相互交叉，测评的标准不一，致使企业基本上出于被动状态，只有依靠购买专业安全设备来保证一些基本的安全框架。所以建设和撰写出具备实用意义的指导指南和标准，企业照此执行是有必要的。在防御指南中，应该具备工控企业的安全分级，以及每种分级所须要作到的安全防御级别。

2）、工业企业自己内部对信息安全的忽视和侥幸心理。企业自己认为自身被***以后对***者无任何意义，价值不大；或者市面上工业企业众多，不必定就***到自身。所以内部也忽视和存在侥幸心理，安全制度以及排查落实不到位。

3）、工业企业自己制度问题。企业管理人员未配置专职的信息安全人员或IT技术人员中并没有具有安全技能的管理人员，致使企业内部须要依靠第三方提供安全服务，因为第三方没法作到对企业内部的业务系统无缝结合，所以建议和测评老是存在漏洞。而且，企业自身对于应付检查和测评的须要，购买的工控安全设备大部分都只是一个摆设，并未真正用于生产中，就算用于生产环境中，其安全策略也未配置或只配置部分，未起到真正的防御效果。

4）、工业IT管理人员话语权不大。从整个工业企业的生产流程来讲，生产部门才是最具备话语权的强势部门，一切影响生产为前提的都会被生产部门强势限制或拒绝。所以，从总体作好企业安全出发，工业企业的安全管理须要将工控安全提高到最高管理层，实现一把手负责制，才可能作到作好工控企业的安全管理和建设工做。

5)、工业企业的主要职责是生产，有完善的安全生产管理制度。安全生产管理制度是一系列为了保障安全生产而制定的条文。它创建的目的主要是为了控制风险，将危害降到最小，安全生产管理制度目前由于严格的实施条文和处罚制度，安全生产管理落实比较到位。而工控安全处于比较尴尬的地位，只有将工控安全整合到工业企业的安全生产管理里面，成为工业生产安全管理的一部分，工控企业的信息安全才可以扭转现有的脆弱状态。

二、整个行业的安全意识问题：

1）、实施人员安全意识不到位。国内某厂商的工控安全设备部署到某工控企业以后，配置了部分安全策略，可是却忽视了最为重要的默认口令，及进入设备的安全权限。一旦***进入内网，使用默认口令登陆安全设备，那么全部的防御措施都会当即失效。所以，在进行一个项目实施上线过程当中，一是实施人员必须具备安全意识和必要的安全配置基线，相似默认口令这种最基本的安全意识应该在实施人员层级进行有效防控，二是企业的进行项目验收的时候，须要在验收的条款中强调安全的测试和安全的配置基线，只有测试经过才予以验收。从制度上保证项目实施的安全配置基线。

2）、软件开发人员安全意识不强。软件公司给企业开发的各大应用系统，其使用的数据库口令、应用系统口令等均为了省事和方便，好比数据库SA帐户密码为sa等，开发完成后系统上线，所致使的问题就是该系统在后期即便发现这个弱口令问题，但已经不可以再修改了，除非从新进行系统升级或开发。同时，软件系统的不可升级以及后续维护等，其自己漏洞说引起的安全风险也没法进行有效防御。同上，软件开发也必须进行安全基线配置核查和验收测试。

三、除此以外，工控安全设备厂商的防御设备部署到现场是否真正的防御到***，目前并无测评标准或未经测评，目前已有的测评标准看，大部分都是侧重于功能性的测评，只有少部分针对已知安全***的简单测评，彻底没法知足真实的抵御***的需求。

上述是针对大部分工控企业来讲，相似国家电网的工控安全，固然是走在全部工控企业的前面，但也仅仅是少部分而已；大部分的工控企业安全现状仍是很难堪的。

信息安全是一个相对的过程，只有处于整个行业生态链的每一环节都注重安全基线及标准，才可能作到相对的安全。