【亚信安全】-【2022年6月15日】今日,亚信安全联合施耐德电气商业价值研究院出品的《工业信息安全技术洞察》正式发布。《工业信息安全技术洞察》从工业信息安全建设的需求出发,基于线上线下超过两百家工业企业用户调研,全面分析了我国工业信息安全的挑战与现状,并通过总结亚信安全与施耐德电气数字化工厂的建设经验,以及配套信息安全服务实践,透过大量真实数据和案例剖析,为工业用户提供了构建工业信息安全未来路径的专业建议。
《工业信息安全技术洞察》正式发布
外紧内驱工业信息安全需求日益凸显
数字化进程的推进可以有效帮助工业企业提升生产运营效率,但随之产生的工业信息安全问题也愈加严峻,亟待解决。近些年来,工业信息安全事件频发并有逐步增多的趋势,为工业领域的发展敲响了警钟。
对于工业企业来说,工业信息安全(ics cybersecurity)比仅有it系统的传统信息安全更加复杂,尤其是在“震网”事件后,工业信息安全地位越发得到关注与重视。在国家层面,《工业控制系统信息安全防护指南》、《网络安全法》、《信息安全技术网络安全等级保护基本要求》、《工业互联网行动发展计划》、《关键信息基础设施安全保护条例》、《工业信息安全标准化白皮书》陆续出台。《工业信息安全技术洞察》全面梳理了相关法规和标准,并以此为背景对工业系统网络的演变,以及信息安全的护航作用进行了阐述。
迎难而上工业信息安全建设的挑战和现状
据《工业信息安全技术洞察》数据,在工业信息安全建设的四大挑战中, 约54%的受访企业表示,资金、人力投入不足成为建设的首要问题;约33%的受访者认为工业领域暴露出的信息基础设施陈旧不容忽视;与此同时,近年来工业攻击针对性升级和it/ot融合协同的复杂性,更进一步加大了工业信息安全建设的难度。
通过对工业信息安全实践现状的分析,得出两点结论:
· 综合管理亟待完备
ot领域信息安全成熟度整体仍处在较低水平,尤其是“轻管理、轻运营”的现象较为严重,人员整体安全意识薄弱,距离形成基本完备,且兼具持续改进的成熟体系尚有一定时日。
· 信息安全投入转向混合驱动
虽然“安全事件”仍是ot领域信息安全投入最重要的驱动,但来源于监管合规压力和自身业务需要的维度同样拉大了需求快速增长。
《工业信息安全技术洞察》指出,数据安全、控制主机和终端安全方面,广泛认同的最佳实践取得一定效果,并且已经有头部企业开始进入综合态势感知能力建设的高峰期。其中,超过70%的主机已经定义安全控制基线,并进行了标准化配置;尤其是移动介质使用所造成的恶意代码传输问题,业界普遍认为其是ot环境重要的风险因素,已基本都通过物理手段或基线配置,实施了移动介质访问封禁的配置。其次,补丁管理工作也受到了较多企业的关注,通过对先行使用者的反馈,新兴的虚拟化补丁技术效果甚佳。
躬行实践以专业能力构筑工业信息安全保障
作为工业先锋之一,施耐德电气充分借鉴国际和业界工业信息安全最佳实践,结合国内监管要求,形成了具有中国特色的工业信息安全实践范例。而亚信安全则作为国内综合型网络安全厂商的代表企业和5g安全研究应用的先行者,为大量客户提供完备的工业信息安全凯发k8官网下载的解决方案和服务支撑。
《工业信息安全技术洞察》中详细介绍的典型案例,均结合了亚信安全与施耐德电气自身在工业领域深耕多年的实践经验,旨在帮助工业企业在充分了解目前工业信息安全发展现状的基础上吸收更多经验,从而提高信息安全的建设效率,切实地为企业数字化转型提供坚实有力的保障。
在实际应用场景中,亚信安全“信桨”工业安全纵深防护体系,基于“3 2 1”工业安全防护理念,以终端、区域、边界为三重防护重点,形成it&ot流量及防病毒二级联动,实现风险感知的一体化处置;并以集中管理、流量检测、终端安全、区域保护、区域审计、安全运维等全系工业安全产品为支撑,打造全方位工业安全凯发k8官网下载的解决方案,全力保障工业控制系统安全。
图:“信桨”工业安全纵深防护体系
循序渐进以最优路径支撑工业信息安全未来
《工业信息安全技术洞察》得到了来自200位工业企业高管和信息安全相关负责人,对于工业信息安全发展的反馈。参与调研的高管及信息安全负责人表示,尽管工业信息安全发展驱动力正在逐步增强,工业信息安全建设却仍处在“从初步合规开始迈向全面合规”的发展阶段。为此,报告给出了“自知、合规、着力、迭代”四个步骤,从合规监管、行业挑战、企业经验、专业服务最佳实践等方面,为企业工业信息安全建设厘清了发展路径。
图:四大价值主张赋能最优实施路径
在当今愈来愈复杂多变的网络空间中,随着云、大数据、物联网等开放式的技术在实际运用中不断普及和发展完善,信息安全所面临的挑战已不再是保护某个封闭区域内的资产设备,而是转变为对整体网络安全生态系统的体系化协同保障。因此,只有整个生态链上下游的参加者协同合作,才能让我们应对层出不穷、复杂多变的信息安全威胁。未来,亚信安全将与施耐德电气等厂商共同发力,有效协助工业企业用户进行信息安全升级、信息安全维护等部署工作,满足合规及业务连续性的需求,携手共筑安全保障,共建安全未来!