随着工业领域数字化进程的加速推进,信息安全事件时有发生并带来风险,工业领域的信息安全问题愈发受到关注。国家工业信息安全发展研究中心2021年工业信息安全态势报告显示,国内工业信息安全风险涉及8大领域,其中装备制造、能源、交通等关键行业的风险频次较为突出。随着国家相关法律法规和标准相继出台,企业自身的安全防护意识也日益提升,企业亟需覆盖工业全生产生命周期的信息安全防护。
作为长期在工业自动化及能源管理领域耕耘的专家,施耐德电气联合国内综合型网络安全厂商代表企业亚信安全,期望通过《工业信息安全技术洞察》的联合发布,进一步提升工业企业对信息安全重要性的认知,将洞察转化为战略规划及实践。
《工业信息安全技术洞察》针对电力、石油化工、交通、冶金、建材、市政、电子制造、生命科学、食品饮料等十余个工业行业近200名高管及信息安全负责人开展深入调研访谈,总结出工业信息安全的“三大洞察”及“四大主张”:
洞察一:工业信息安全建设驱动加强,信息安全作为企业数字化转型基础保障、可持续发展韧性源泉的作用日益凸显,保障信息安全上升至企业实现数字化、可持续发展的战略高度;
洞察二:工业信息安全建设面临严峻挑战,在工业领域IT/OT融合的背景下,54%的受访企业面临资金人力投入不足的问题,基础设施陈旧(33%)、工业攻击针对性升级(27%)、IT/OT协同困难(26%)等问题同样明显;
洞察三:工业信息安全建设仍处于起步阶段,当前工业信息安全建设仍处在从初步合规迈向全面合规的前期发展阶段,管理成熟及技术成熟将成为未来发展方向;
综合相关建设运营及服务经验,施耐德电气提出“自知、合规、着力、迭代”四大价值主张,助力工业企业从战略规划、运营管理、平台技术及软硬件解决方案等多层次开启工业信息安全建设的最佳实践:
“自知”:通过信息资产梳理及风险识别,形成战略规划;
“合规”:构筑信息完全管理体系及制度,构建业务保障基础能力;
“着力”:关注IT/OT运营痛点,重点改进;
“迭代”:持续评估检查,主动提升信息安全管理水平。
构建信息安全体系需要循序渐进的路径规划以及覆盖多层面的保障,包括从产品的原生设计安全、系统交付的安全再到覆盖全生命周期的安全保障,施耐德电气致力于将严谨的安全理念政策与方法论融汇至产品开发与解决方案的构建中,使信息安全的基因根植于工业企业IT/OT系统,并通过工业信息安全咨询、设计、监控、维护及培训赋能客户系统生命周期全程。
以某能源集团旗下发电公司电厂和某石油天然气集团旗下液化天然气公司的两个工业控制系统为例,基于施耐德电气EcoStruxureTM端到端安全以及纵深防御的理念,通过对工控系统实施设备加固、主机终端防护、补丁统一更新、网络边界隔离强化、入侵检测、流量审计、灾难备份及恢复 、安全日志审计、安全统一管理等安全控制手段,助力客户高分通过等保2.0三级测评,在有效提升信息安全防护能力的同时树立可靠、负责的企业形象。
目前,施耐德电气基于业界最佳实践及业界认可的包括IEC 62443在内的工业控制系统信息安全标准,指导安全制度流程的建立、安全风险评估和安全措施手段的部署,并积极与包括亚信安全在内的国内领先信息安全厂商展开合作,携手构筑有力保障,构建数字化时代的安全未来。