RELIANCE ELECTRIC 45C920
在过去十多年间,针对关键基础设施的网络攻击事件一直不断增多。早在Davis-Besse**发电站就曾遭遇网络攻击,使得发电站的安全参数显示系统和工厂计算机处理系统脱机数小时。专门攻击发电站和水厂等基础设施的震网病毒(Stuxnet)被首次检测出来。该病毒**有破坏性的影响是对伊朗布什尔核电站的恶意攻击。国内外多家媒体相继报道了震网病毒,并形容其终于打开了工业系统网络安全的“潘多拉盒子”。
电力企业信息安全整改过程中的三大“安全困境”及对策
相关主管部门及电力企业也早已关注电力行业的信息安全问题。都要求电力企业加强工业控制系统信息安全的防护能力。施耐德电气开始协助国内某大型电力集团,提升其下属企业的信息安全防护水平。在这次信息安全整改的过程中,施耐德电气发现企业内部存在很多措施“无法落地”的现象,并将其总结为电力企业的三大“安全困境”。
困境一:信息安全专责缺失。很多电力企业没有专门负责工业控制系统信息安全的人员。此外信息安全整改过程中的部门之间的协调、配合,以及人员能力等问题都严重影响企业整改工作。
困境二:企业信息安全管理制度的落实和可操作性。一些企业信息安全制度没有落实,而另一些企业则过于苛刻。比如不允许在整改过程中接触现场控制系统,导致信息安全测试、评估和整改工作无法进行。
困境三:生产与安全的矛盾。电力企业更重视安全生产和生产连续性。如果信息安全整改影响到生产的连续性,有的企业就会暂时搁置整改工作。
针对这三个“安全困境”,施耐德电气认为应该通过三个层面推进整改进程:
1. 产品供应商急需加强工控产品的信息安全防护能力。
2.企业信息安全整改时,要尽可能创造相应的整改条件。
3.规范规章制度。尽快制定统一标准、加强落实监管等政策措施。
