安全事件的“万恶之源”是一个“误会”

近期，阿根廷、乌拉圭、巴拉圭等拉美国家接连遭遇大规模停电，具体原因一直没有查明。

有俄罗斯专家表示，这很有可能是有目的的恶性网络攻击。

加上当前紧张的国际贸易关系，一时间，关于基础设施信息安全的话题被再度推上风口浪尖。

这早已不是第一起网络攻击基础设施的安全事件，针对此类信息基础设施的安全问题，我国一直也是非常重视。

就在上个月，网络安全等保2.0“千呼万唤始出来”，将标准范围从信息技术扩展到新技术、新应用，当前火热发展的云计算、工业互联、物联网、工业控制，以及大数据安全等话题均被列入标准范围。

在互联网融入工业的2.0时代下，信息基础设施安全终于有了更加明确具体的标准要求。

然而，等保2.0和工控安全就像是一道“先有鸡还是先有蛋”的命题。

等保2.0的发布让更多用户向前一步，让生产安全更加规范，相关问题也更加明确；但“事在人为”，早在2.0标准发布之前，已经有了工控安全的概念，安全问题也频频暴露，等保2.0的内容覆盖了一些问题，但并不是解决问题。

对此，我们特别访问了相关企业，一起探讨在等保2.0发布过后，如何真正帮助用户实现工控安全。在交流的过程中我们发现，供需两端其实存在“误会”。

安全平台：用户对于工控安全的重视远远不够。

其实在早前谈及工控安全时，我们在与一众安全平台企业交流时就曾得出过这一结论：工业制造领域的用户企业对于安全问题不够重视。

因此，最初安全平台在进军工业的时候，合规性业务的占比要远远超过网络安全监测维护等相关业务。

等保2.0的相关内容更加符合当前用户企业的生产情况，对于很多问题也有了更加明确、具体的要求，这能大大督促用户企业落实相关安全标准。而且对于一部分不了解工控安全的用户来说，明确的标准规范不至于让其“无从下手”。

然而要求明确过后就能够避免“应付检查”式的工控安全了吗？

来自控安的工控安全专家 倪华指出：“等保2.0将工控安全系统化，但在很多行业，用户企业对于安全产品依旧是抵触的。”

不同于IT领域，工控行业对于生产的连续性要求很高，安全产品的引入势必会对原有系统造成影响。而且，高成本投入也让企业在工控安全门前踌躇不前，他们无法看到令人满意的投资回报率。

对此，倪华表示：“安全平台企业应当深入到工控行业当中，从成本到产品安全稳定性，再结合工控系统功能安全需求，为用户提供适用于工控行业发展的安全产品。”

在等保2.0明确方向的前提下，用“趁手的工具”才能快速开拓出一条开阔平坦的工控安全之路。

用户：偏重IT的安全平台无法满足我们的需求。

然而，用户和“安全平台方”的观点似乎不大相同。来自工业通讯领域的供应商就等保2.0，与我们分享了当前用户端对于工控安全的态度。

Moxa中国区产品经理 张杰指出：“等保2.0与此前相比细分了更多领域，新增了工业控制系统的相关标准。在与用户接触的过程中，我们发现用户对于工业系统的安全问题非常关注。”

这其实与有线网络、无线网乃至5G等在生产当中的应用密不可分。互联网引入系统过后，“软攻击”很有可能造成“硬伤害”。

那么问题来了，既然如此重视，用户企业为什么会抵触安全平台呢？

张杰表示：“一般来说，工业控制系统的内网已经可以规避相当一部分的安全隐患了，在工业网络的部署过程中，也会加入安全功能，因此用户并不会花费高成本再部署安全平台。而且，安全平台的引入往往会对工控系统的连续性、稳定性和可靠性造成影响，这也会给用户企业造成不少麻烦。”

对此，Moxa从用户企业需求的角度出发，选择积极与安全平台厂商合作，能够在帮助用户进行数字化转型升级的过程中，将安全问题考虑在内，为用户提供“一站式”解决方案。

到这里，供需双方的“误会”一目了然，但殊途同归，双方对于问题的认识倒是非常准确和一致的。

用户企业对于自身系统安全性的自信以及处于成本的考虑，往往会造成安全误区，例如一些企业在不断发展，增加设备以及网络过程中非常容易遭受恶意病毒的入侵。

而安全平台供应商由于缺乏工控行业know-how，无法交出令用户满意的方案，从通用的角度考虑工控安全不仅造成资源浪费，也会打破企业生产的连续性，反而引发更多麻烦。

结语：等保2.0发布过后，对于工控安全的内容有了更明确的要求推进意义重大。立足当前行业发展，专业的人做专业的事儿，更可取。

对于安全平台厂商来说，由于发源于互联网技术的崛起，其IT经验往往更“占上风”，因此要拓展工控安全市场，加深对OT的理解至关重要，由此才能深入行业需求，直达痛点。

对于用户企业来说，提升安全意识是非常有必要的，随着网络越来越多地引入，安全隐患无孔不入，特别是对一些体量不大的企业来说，安全问题导致的损失并不是谁都承担得起，切忌“讳疾忌医”。

安全平台+know-how才是2.0时代工控安全的“正确答案”。

截止发稿前，我们从2019年中国工业信息安全大会中获悉，工信部正在抓紧制定《关于加强工业互联网安全工作的指导意见》，目前已经完成了意见征求，近日即将正式出台，这将是中国工业互联网安全方面的顶层设计。

工业和信息化部总经济师王新哲透露，未来工信部在工业互联网安全方面重点工作的头一项就是完善制度规范，推动出台《关于加强工业互联网安全工作的指导意见》，完善工业互联网安全管理制度机制，构建起企业负主体责任、政府监管的安全管理体系。加快重点领域的标准研制，完善工业互联网安全标准体系。

关于工控安全以及等保2.0，大家有什么想说的，欢迎留言来聊~

声明：本文为中国工控网原创，欢迎转发、转载。若转载者为团体，务必注明“本文转载自中国工控网(www.gongkong.com)，版权归中国工控网所有。”