IIANews原創(chuàng)，轉(zhuǎn)載請注明出處

　　制造業(yè)是一個國家經(jīng)濟的重要基礎(chǔ)。隨著數(shù)字化新基建的發(fā)展，網(wǎng)絡(luò)攻擊或信息安全事件頻發(fā)，不僅嚴重影響制造企業(yè)本身的系統(tǒng)和數(shù)據(jù)安全，造成無形資產(chǎn)的損失，更可能威脅國家層面的公眾安全及社會秩序。這也是工業(yè)物聯(lián)網(wǎng)時代的一大特點。

　　自2017年《網(wǎng)絡(luò)安全法》發(fā)布，以及2019年等保2.0中對于工業(yè)控制系統(tǒng)安全的獨立關(guān)注，越來越多制造企業(yè)的工業(yè)安全意識已經(jīng)逐漸覺醒，但是工業(yè)安全落實到具體的操作或執(zhí)行層面仍存在很多問題。針對這一普遍難點，艾默生系統(tǒng)與方案業(yè)務(wù)全生命周期經(jīng)理韓靖基于艾默生在工業(yè)安全方面的實踐，分享了他的觀點和建議。

一個頗具挑戰(zhàn)的長期過程

　　與IT信息安全相比，工業(yè)信息安全具有其特殊性和復(fù)雜性。工業(yè)安全產(chǎn)品的使用者、管理者、運行的業(yè)務(wù)環(huán)境和生產(chǎn)環(huán)境、面臨的風(fēng)險要素都和傳統(tǒng)的IT信息安全有很大區(qū)別。正因為如此，工業(yè)企業(yè)即使在戰(zhàn)略管理層面上具有工業(yè)安全意識，但如果缺乏專業(yè)的資源和指導(dǎo)，企業(yè)在落實到具體操作或執(zhí)行層面時仍難以達到原本戰(zhàn)略目標。

　　工業(yè)信息安全的實現(xiàn)，需要工業(yè)自動化專業(yè)團隊在原有工控知識和管理體系之上，進一步突破并融和數(shù)字化和信息安全，“這是一個頗具難度和挑戰(zhàn)的過程，也是一個需要多方合作，共同發(fā)展的長期持續(xù)過程，不能只依靠企業(yè)的技術(shù)人員、管理人員或供應(yīng)商等就可以實現(xiàn)?！表n靖認為，這也是工業(yè)信息安全建設(shè)和工業(yè)數(shù)字化轉(zhuǎn)型的主要難點之一。

推進工業(yè)信息安全的若干建議

　　在數(shù)字化升級轉(zhuǎn)型的浪潮下，企業(yè)如何推進工業(yè)信息安全建議?在韓靖看來，任何規(guī)模、任何性質(zhì)的企業(yè)，都需要結(jié)合企業(yè)自身特點和行業(yè)先進實踐，針對性地加強安全風(fēng)控制和管理措施。

　　韓靖結(jié)合艾默生在工業(yè)安全方面的實踐和經(jīng)驗，給出了如下幾條建議：

　　首先，促進廠商共同合作，優(yōu)勢整合。在打造工業(yè)安全環(huán)境的過程中，每個角色都有各自擅長的領(lǐng)域，這就進一步要求各廠家及服務(wù)商之間共同合作，發(fā)揮各自所長，在各自安全領(lǐng)域內(nèi)保證一定的安全基準;同時，企業(yè)主也應(yīng)發(fā)揮管理統(tǒng)籌的作用，促進各行業(yè)，各產(chǎn)品服務(wù)供應(yīng)商的優(yōu)勢整合。

　　其次，以工業(yè)應(yīng)用場景出發(fā)。工業(yè)安全產(chǎn)品的生產(chǎn)和應(yīng)用，不能只停留在產(chǎn)品或軟件層面的漏洞問題，而應(yīng)該更多地考慮用戶的工業(yè)應(yīng)用場景，結(jié)合工業(yè)控制系統(tǒng)的應(yīng)用與管理。從現(xiàn)場生產(chǎn)、控制、運維、響應(yīng)計劃、安全管理等維度出發(fā)，在根本上解決風(fēng)險。

　　第三，管理與實踐結(jié)合。工業(yè)信息安全是一個非常注重實踐的領(lǐng)域。因此企業(yè)用戶對工業(yè)安全人員的培訓(xùn)過程中，除了學(xué)習(xí)理論知識，也必須重視企業(yè)內(nèi)部安全人員的實踐技能培養(yǎng)，將管理與實踐有效結(jié)合，才能為共建工業(yè)生態(tài)安全系統(tǒng)打下基礎(chǔ)。

工控行業(yè)的網(wǎng)絡(luò)安全實踐

　　艾默生是較早將網(wǎng)絡(luò)安全解決方案產(chǎn)品線結(jié)合至工控產(chǎn)品體系的廠家之一，也是首家通過IEC62443 ISA Secure SSA 系統(tǒng)整體認證的廠家，并且一直積極推動IEC62443等國際工業(yè)自動化安全標準體系在行業(yè)的應(yīng)用。

　　據(jù)悉，艾默生所有安全產(chǎn)品和解決方案都經(jīng)過了嚴格兼容性測試和定制化的功能測試，以確保過程運行的穩(wěn)定和兼容性。此外艾默生始終貫徹“網(wǎng)絡(luò)安全防護不僅僅是一系列產(chǎn)品，而是一個為用戶服務(wù)和管理的過程?！惫境藫碛袕姶蟮木W(wǎng)絡(luò)安全顧問、評估和服務(wù)實施團隊，艾默生還緊密地與過程控制系統(tǒng)傳統(tǒng)運維結(jié)合，從整體工廠運營上為用戶帶來更大化的運營性能和效率提升。

　　作為國際石油化工行業(yè)重要的自動化供應(yīng)商，艾默生多年來已經(jīng)為多個國際化工巨頭的生產(chǎn)基地提供涵蓋生產(chǎn)基地的整體安全網(wǎng)絡(luò)架構(gòu)建設(shè)，縱深防御的安全控制及監(jiān)測措施，人員管理與培訓(xùn)，安全評估及事件響應(yīng)服務(wù)等在內(nèi)的全面解決方案。“工業(yè)企業(yè)的信息安全實施應(yīng)避免只停留在應(yīng)付審計要求上，而應(yīng)該通過工業(yè)信息安全確保其生產(chǎn)運營中的價值?！表n靖強調(diào)。

（轉(zhuǎn)載）