12月7日,ISC中国行第九站暨千人计划专家研讨会在深圳举行,近30位来自深圳地区的网络安全主管部门、政府机构、院校、大型企业和来自ISC组委会、360企业安全集团的相关领导、技术专家、CIO和CSO,分别就网络安全新时代的挑战和体系建设创新、网络安全人才需求及培养等话题阐述了自己的洞察,并进行了深入讨论。

会上,深圳燃气集团CIO张静就新时代下工控安全建设话题进行分享,他从三方面展开讲述,包括我们对工控安全的认识、目前工控安全存在的一些难点、深圳燃气的思路和做法。

以下为张静的分享内容,文字略有精简。

重新认识工控安全

现在越来越多攻击工控设施的案例,包括乌克兰整个电网已经成了黑客的练兵场,动不动有黑客在那里试验技术,造成大规模断电,给了我们一个非常深刻的认识。

我们以前以为网络安全顶多是影响互联网的安全,但是实际上认知要改变,网络安全会影响到我们的生产安全,甚至影响到城市安全,像我们燃气行业地下都是各种智能的阀门、设备,一旦被控制了很有可能发生非常大的事故。

而包括《网络安全法》以及政府部门各方面文件,对于合规的要求确实越来越严格,这也是驱动我们做好信息安全工作的因素。

工控安全建设落地的难点

我们传统的信息安全实际上更关注于传统IT,包括业务系统、办公网络。对于工控领域,这一部分知识未必能够完全适用,因为它涉及到很多物联网设备,所以我认为我们在这块准备和储备实际上有缺失。

再就是人才,我们现在内部有一些网络安全工程师,但是他们的知识领域仅限于网络安全和应用系统的安全,对于工控领域的安全我觉得确实需要去补课。工控安全很多系统比较封闭,升级也是非常慢,大规模做升级难度非常大,从技术上来说也是一个难度。

深圳燃气的实践之路

我们今年开展了信息安全风险评估,包括漏洞扫描,希望对整个现状有一个非常真实的了解,清楚自身短板在哪里。有了安全评估的结果之后我们会进行相应的安全规划,要分步来,不可能一步到位,规划好最重要的是补哪一块。

再就是做好政府规定的工作,主要是等级保护,我们肯定按照《网络安全法》的要求以及相关政策的要求把它做好。

人才方面,我们加强信息安全工程师的培训,希望大家能够把专业领域朝工控安全领域方面扩展,应对未来可能突发的状况。

之前提到政府做网络安全应急响应体系,我认为单靠企业来应对威胁是不足够的,我们希望政府、行业能有一些协同,大家能共同来应对这种网络威胁,一旦出现网络攻击事件我们能够互相支持。

还有外部的服务,像360有非常专业的专家,他们提供的防护服务,也是我们未来考虑的领域。因为我们给安全工程师的薪水毕竟就这么高,你指望他有很高的水平也不现实,我们希望结合内部和外部力量,共同把我们作为关键基础设施的行业的安全水平做好。

 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。