文│国家工业信息安全发展研究中心赵冉张晓菲董良遇

为切实提升我国工业企业安全防护水平，工业和信息化部先后发布了《工业控制系统信息安全防护指南》（以下简称《防护指南》）和《工业控制系统信息安全防护能力评估方法》（以下简称《评估方法》）等指导性文件，并在全国范围内主持开展工业控制系统年度企业自查、地区抽查、遴选评估等针对工业企业的多方位、多层次信息安全防护能力评估工作，对我国工业信息安全防护水平的提升起到了实质性推动作用。

参照《评估方法》的有关要求，在执行工业信息安全检查评估工作中，相关工作组以量化评估的方式选取了国内32家具有代表性的工业企业开展了调研评估工作。评估内容针对工业企业工业控制系统的规划、设计、建设、运行、维护等全生命周期安全防护能力等，并形成工业企业信息安全防护评估结果。评估结果表明，大多数工业企业信息安全防护水平已达到“基本合格”的状态，但存在明显短板，亟需进一步提升。

一、工业企业信息安全评估结果分析

通过分析32家重点行业工业企业信息安全评估数据，工业企业信息安全防护水平基本情况反映如下。

（一）近八成工业企业的信息安全防护水平已满足基线要求，但整体防护水平仍有待提升

从整体数据（见图1）来看，21.87%的（7家）工业企业评估结果为“不合格”，46.87%的（15家）工业企业评估结果为“基本合格”，15.63%的（5家）工业企业评估结果为“一般”，15.63%的（5家）工业企业评估结果为“良好”，尚无企业被评估为“优秀”。《防护指南》作为工业企业信息安全评估的基线要求，被评估为“良好”及“优秀”水平的工业企业占比不足两成，工业企业信息安全防护工作有待进一步强化。

图1工业企业信息安全防护能力评估结果

（二）工控安全防护工作存在明显短板

从各项得分情况来看（见图2），工业企业在“配置和补丁管理”和“安全软件选择与管理”两方面得分率不足60%，分别为49.28%和58.70%。“安全监测和应急预案演练”“数据安全”和“供应链管理”得分率分别为60.22%、61.66%和61.96%，均处于较低水平。工业企业在技术防护方面存在明显短板，系统日常安全维护缺失，生产网络安全状态无法确定，终端安全防护不足，在安全策略配置和主机缺陷修复方面未采取有效措施，无法保证工控系统安全稳定运行。

图2各指标项得分结果

（三）工业企业数据安全、供应链管理等管理体系不健全

工业企业在数据安全、供应链等方面管理不足，未对数据按照重要程度进行分级分类管理，无法形成以数据为核心的安全防护体系，在数据安全防护方面存在缺失；供应链管理方面仅在与供应商的合同中体现部分内容，如系统自身功能无法正常使用，企业对因系统、设备缺陷导致的信息安全事件责任划分不明晰，工控系统后期安全维护方面

转载请注明:http://www.aideyishus.com/lkyy/2031.html