工控安全是一項系統(tǒng)工程,需要多方協(xié)同參與,在整個工控系統(tǒng)生命周期中持續(xù)實施、不斷改進。企業(yè)應(yīng)充分理解工控安全防護的重要性,在工控安全方面負起主體責任,可從以下四個方面著手:
1.建立健全的工控安全生產(chǎn)責任制,不斷完善企業(yè)工控安全管理制度、加強企業(yè)人員管理、供應(yīng)鏈管理及系統(tǒng)運維管理。
2.企業(yè)應(yīng)認真研究和討論IEC 62443標準和《工業(yè)控制系統(tǒng)信息安全防護指南》,檢查工廠的自動化系統(tǒng),對工廠整體的運行情況進行評估,發(fā)現(xiàn)可能存在的隱含漏洞,和有關(guān)團隊一起討論信息安全策略和解決方案。
3.從工控系統(tǒng)全生命周期做好安全防護。由于工業(yè)生產(chǎn)各業(yè)務(wù)環(huán)節(jié)及相關(guān)系統(tǒng)之間的連接越來越緊密,工業(yè)控制系統(tǒng)在設(shè)計、選型、建設(shè)、測試、運行、檢修、廢棄各階段均需要做好防護工作,防護措施應(yīng)當貫穿工控系統(tǒng)整個生命周期。
4.從系統(tǒng)與設(shè)備安全、網(wǎng)絡(luò)安全、主機安全和數(shù)據(jù)安全方面建立綜合防護能力。傳統(tǒng)的單點防護已經(jīng)不能應(yīng)對日益嚴峻的安全形勢,企業(yè)要在工控系統(tǒng)與設(shè)備、工業(yè)網(wǎng)絡(luò)、工業(yè)主機、工業(yè)數(shù)據(jù)各核心要素上都建立防護能力,大幅提高黑客攻擊工控系統(tǒng)的難度。
從國家和行業(yè)角度來說,要加快培養(yǎng)工控安全專業(yè)技術(shù)隊伍,當前我國在工控安全方面的風險評估、防護方案規(guī)劃與實施方面的人才存在較大缺口。相關(guān)主管部門要通過專業(yè)建設(shè)、人才培育等多種措施,加快工控安全人才力量建設(shè),力爭實現(xiàn)安全管理水平提升、態(tài)勢感知能力提升、安全防護能力提升、應(yīng)急處置能力提升和產(chǎn)業(yè)發(fā)展能力提升。