一是建立主管部门和工控系统企业的联动工作机制。
政府和工控企业应建立一种联动工作机制,政府提供政策支持,企业自身做好管理和技术支持,二者协调统一。相关企业和科研机构应对出现的安全事件的原因分析总结,及时发现我国现有工控系统的隐患并给出解决方案。同时,政府指导推动工控行业和优势企业,发展具有自主产权的工控系统的核心软硬件,改变目前这种严重依赖关键技术产品进口的不利局面,加速提升我国在工控系统方面的核心竞争力,掌握工控产业发展的主动权。
二是加快制定工控系统信息安全国家标准。
依据工业和信息化部发布《关于加强工业控制系统信息安全管理的通知》(工信部协[2011]451号文)和《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》(国发〔2012〕23号)等相关文件,并结合ISO/IEC JTC1/SC27、IEC 62443、NIST SP800-82等工控安全相关国际国外标准,从工控系统的技术线、管理线出发,以工控系统安全管理标准带动工控系统技术标准制定,统筹工控安全产业发展,建立标准体系,维护工控系统信息安全。
三是加强工控系统安全评估能力建设。
目前,国际上工控系统的物理安全测评认证主要由欧盟、德国、英国主导,工控系统核心安全数据、核心评估工具均被国外企业和评估机构垄断。在工控系统信息安全测评领域,我国也刚刚起步,亟须加强测评技术研究、测评工具开发、测评环境建设等能力提升工作,逐步形成我国独特的工控系统信息安全测评体系和工控系统网络安全审查体系。
四是加强工控系统企业信息安全意识。
当前,很多工控安全事件都是由于企业信息安全管理不当或员工缺乏信息安全意识的误操作引起的,因此,相关企业在对系统进行管理时要对管理人员进行信息安全培训,国家有关主管部门可定期对管理和操作人员进行考核认证,并建立问责机制。此外还可以委托相关信息安全测评机构建立演练模拟平台,定期对企业员工进行信息安全事故演练,模拟在面对工控安全突发事件时的应急响应。