在殷国强看来,管理上,目前工控网络信息安全主要有五个方面的问题。一是组织不健全。现有的工业自动化管理体系和信息安全管理体系尚未完成有机结合,难以有效应对工业控制网络安全挑战;二是工业信息安全管理制度缺失。没有可以参照的安全标准规范,缺乏经过实践检验的工业控制系统网络安全管理制度流程,从而难以有效实现工业控制系统网络的安全规范管理;三是相关人员缺乏安全培训。面对全新的课题,从管理人员到一线操作人员普遍缺乏对工业信息安全的认识,更谈不上有效的针对性培训,一旦出现问题,往往无力应对;四是监管执行不力。由于组织不健全、安全管理标准和制度缺失,加上技术方面原因,直接导致监管措施难以落实,从而使高层管理人员对安全风险难以把控;五是技术措施不到位。在缺乏标准规范的情况下,无法安排有效的技术措施,也无法确保技术措施真正发挥作用。
同时在技术上也存在一系列问题,首先是缺乏对攻击手段的研究和工业信息安全防护及检测手段,对攻击手段的一无所知直接造成了防护的无从下手。其次,缺乏对技术设备的控制,我国的工业控制系统中的关键设备95%以上都是进口的,对于其内部结构、组成、隐藏功能都缺乏了解,也没有有效的技术和法律控制措施,很难保证没有暗藏的后门、病毒、木马、逻辑炸弹等破坏手段。最重要的是,缺乏信息安全设计,没有安全模块设计就谈不上安全保障。据殷国强透露,目前,所谓的安全防护大都是通过“打补丁”的方式进行,这种方式可以暂时取得防护效果,但是从长远来看,治标不治本,或许还会带来更大的风险。
