ICS高峰对话:工控系统信息安全的掣肘与突破策略
- 来源:中国工控网 原标题:2016ICS高峰论坛:6大掌门带你畅聊工控安全
- 2016/8/15 9:24:32
- 31198
ICS高峰对话:工控系统信息安全的掣肘与突破策略
在今年的2016ICS论坛上,紧张、精彩的环节就是“高峰对话”环节了!唇枪舌战,思维碰撞,谁也不放过谁。那么,他们到底都说了啥?潘英章:先说现实问题,经过几年的市场宣传,工控系统信息安全的认知已有较好基础,大家都知道系统有风险,而且也有反面案例,但是受制于众多现实约束,市场仍未进入爆发期。请各位分析个中原因,并分享您的突破策略。
龙国东:市场推广的几年间,从一开始举步维艰,到现在跟客户交流理念达成一致,我们发现工控安全的需求逐步趋于合规性,整个工业信息安全推广过程逐步透明化正面化。这时,厂商发挥自身优势,不管是基于传统工控产品销售渠道还是利用传统信息化产品销售渠道推广业务都将有比较良好的发展态势。我预测,未来工控安全市场或许会有井喷式发展。
孙博文:基于电力系统网状结构的特性,所以必须重视信息安全,尤其是2000年“二滩事件”又将安全问题上升到全新的高度。目前在工控安全市场推广上,像龙总所说,市场趋于合规性的市场模式,国家推出标准,工控系统安全标准场上希望看到,决策,产业的影响,设备防御系统需要提升迭代,基于不同的行业和领域政府政策出台也是循序渐进而并非一蹴而就。除了政府在落实政策之外,厂家立预防性思维很重要,所以还是需要将厂商安全意识激发出来。
井柯:今天主题是智能制造,匡恩从14年到现在发展飞快,但在之中也发现问题。设计院、集成商、厂商、业主和用户是几座市场大山。与电力系统相比,市政网络相对简单但是离散,SCAD系统较多。所以安全厂商不要拘泥于产品,要基于设备系统的特性上来考虑安全问题并提出解决方案,顺应时代,厂商眼界要放宽。这样才有优势。因此,工控安全要基于用户需求,业务场景和环境。脱离用户设备而之谈安全产品和服务的话,会令用户感到头痛。
许鑫:以前安全是个敏感的话题,很多厂商不敢太多涉足,更多想把问题寄托在政府制定标准,但我认为光依靠政策的推动有点“偷懒”的嫌疑,关键还是要培育用户及厂商关于安全的前瞻性意识,因为设备安全问题是固有的,工业化信息化的融合系统的脆弱性逐步放大,包括制造业在内的各个行业是。政府制定政策带有宏观视角,所以它有前瞻性。我在想为什么业主和设计院不能有点前瞻性呢?这样减产、停产的情况就会减少。可能是因为用户还没遇到过类似的问题,客户想的是如果万一出现问题,但是这里防御的成本和潜在的损失没有有效地被量化。
赵捷:考虑到市政行业网络安全设施的特殊性——它们比较分散,如污水厂,那些散布的污水厂就像一座座孤岛。后来通过信息化网络通过工业控制,这些孤岛被连接入网了。但是问题也随着网络化和信息化的步伐而到来。现在大家都在提智慧水务,但是水务管理的智能化管理很还不够。这是因为市政行业没有经济效益只有社会效益,所以包括设计院在内的行业从业方还是趋于保守,这时候就需要国家能够强制要求、提高相应的标准。
潘英章:再说未来,随着智能制造进入实施阶段,互联互通将不再局限于控制层和企业内部,因此未来面临的信息安全风险会越来越大。请各位畅想,在未来的智能环境下,我们的安全风险相比现在有哪些新特点,又该如何预防?
井柯:为什么我在讲拨云见雾,因为,谈大数据云计算技术发展同时要切实考虑安全性。智能制造不局限于O2O模式,所以做安全不能聚焦在一个点,安全领域涉猎广泛,要在工厂所有设备都安全的情况下来保证可靠生产。在安全技术普及过程中要做到生产过程上下互联贯通,纵向集成。同时我认为安全领域起步阶段想已经过了,现在是爬坡阶段,而工控安全不同于互联网安全,它需要长久性的研发和付出,包括与制造业的匹配,关注前瞻性技术,贴和用户需求及满足用户需要。工控市场虽好,大家一拥而上,但后贴近客户的才是,才能有好口碑。
龙国东:我从工作实例来说:日韩企业生产线PC终端就有防护措施,这是他们的内生需求,因为优势生产线会停工。包括去年我们合作的企业,曾经也出现机床设备不联网设备数据无法协同的问题。云数据库太过庞大,网络终端安全,边界安全……问题层出不穷。因此智能制造的安全方案选择不拘泥于单一产品,、智能制造下的安全可以根据用户行为习惯进行考量和分析,是综合的且动态的。
孙博文:刚才大家谈到一些关于安全技术、包括加密、网络审计、漏洞修复等技术,这些固然重要。但是除了技术之外更重要因素是人。航向隔离纵向加密。现在测试结果来看,有经验攻击者可以很短时间拿下电厂,在于运行人员技术性薄弱。操作人员对于密码及漏洞问题不是很懂,所以无论制造企业的制度及信息安全培训很重要。给基层员工普及安全意识,加上制度健全了,我们的安全解决措施才能落地。
王玉敏:标准制定的时候经过了充分调研。由于国内并没有现成的经验,我们编制组只好横向参考方面的经验。其实,我们所做的评估规范是一个通用的准则,但是如果按照通用原则来做某某具体行业标准行不通,必须根据行业进行细化,当然结合行业制定标准是比较理想的,根据每个行业测试的情况因地制宜。
潘英章:今天在座有信息安全的各个环节的参与者,在一个成长初期的市场中,其实大家不是竞争者,也不是简单的买卖关系,而应该是信息安全生态的共同培育者和合作者。请大家畅谈,我们之间该怎样合作,共同建设好这个生态,服务于我们共同的安全,共同的市场?
赵捷:根据市政行业情况,要从大局化考虑。不急功近利到后就会长远受益。
孙博文:信息安全就是一场战争。谁充电侦察兵先侦查到风险,谁主导战争和战斗。这里面需要做的事很多,因此市场也很大,未来发展潜力也很大。希望大家共同努力,形成合力。
井柯:蛋糕就在那里,但是我们讨论技术及市场环境时候要去解决客户真正关心的那些问题。
许鑫:市场足够大,现状是需求不明确,我们更多需要从厂商推动而不是让用户自发推动,我们希望各种途径来发现市场需求并推动市场。
王玉敏:我们希望把标准体系更完善。让市场倒逼工控安全升级。我们有能力与各方携手打造完善的工控安全。
龙国东:威努特作为工控安全解决方案提供商,“开放”是我们的策略,提供整体的解决方案而非单一产品,是我们未来要做的。
版权与免责声明:凡本网注明“来源:智能制造网”的所有作品,均为浙江兴旺宝明通网络有限公司-智能制造网合法拥有版权或有权使用的作品,未经本网授权不
展开全部
热门评论