网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　业内人士表示，由于网络安全事件具有很强的隐蔽性，一个技术漏洞、安全风险可能隐藏了几年都不被发现，结果往往是“谁进来了不知道、是敌是友不知道、干了什么不知道”，隐患长期潜伏。

　　多数工业系统在设计之初是封闭的“单机系统”，没有考虑联网需求，现在随着工业“互联网+”的推进，将必然导致一批系统和设施暴露。很多的系统和设备没有防护软件，也不能安装杀毒系统，一旦上了网就是“裸奔”状态。

　　“我们遇到的很多现场设备比较老旧，有的还在使用十几年前的操作系统，没有任何安全防护软件，这样就可能存在很大的安全风险，而系统维护人员还没有认识到。很多系统带毒运行，有的主机甚至有三千多个病毒。一旦感染的恶意软件在某个特定触发条件下发作，就会对企业造成严重影响。”周鸿祎说。

　　一些重要的企业工控系统还被留下了后门程序，黑客或者恶意人员可以随意进出操作。

　　目前，绝大多数的企业没有能力识别或应对这些入侵和攻击。国家工业信息安全发展研究中心通过安全监测发现，工业企业的信息安全应急手段普遍不足，约70%的被查工业企业缺少完善的应灾备灾体系。

　　技术不足人才匮乏

　　安全防护短板待补

　　随着我国工业领域数字化、网络化、智能化水平提升，安全问题已经逐渐引起重视。高速发展的同时，工业互联网相关法规政策正逐步健全，标准体系建立取得进展，安全检查评估也正有序开展。目前我国还存在安全防护意识薄弱、技术水平偏低、人才匮乏的问题，工业互联网发展亟待补足短板。

　　对工业互联网漏洞不重视、修复不及时的现象普遍存在。360补天漏洞响应平台监测的工控信息系统漏洞中，有25.6%的漏洞未进行修复，一些行业漏洞平均修复时间长达数月之久。不少设备遭受攻击的案例，是由于企业员工私自利用设备上网、使用U盘或在远程维护过程中感染病毒造成的。

　　“从工业互联网整体技术基础上看，国外的技术产品还是主流，我们国家也在逐步用自己的产品进行替代，但还没有完全替代。很多地方既有自己的知识产权，也有国外的知识产权，技术体系复杂，也在一定程度上造成不稳定性和安全隐患。”国家工业信息安全发展研究中心网安部副主任张格说。

　　业内人士认为，CPU、服务器、操作系统等核心产品和技术发展滞后，国产化率低，竞争力不足，是工业互联网实现自主可控过程中的关键症结。《工业信息安全态势白皮书(2017年)》显示，目前我国包括产品、技术和服务在内的工业信息安全产业占整个IT业比重不足2%，远低于欧美发达国家的10%水平。

　　根据白皮书对我国近几年重点领域信息安全检查工作统计，数千个工控系统均由外国厂商提供运行维护，大量企业不具备自主维护能力，缺乏对国外产品和服务的监管。记者在浙江一家企业采访时发现，进口设备厂商对工控系统控制异常严格，系统控制室的门禁卡甚至都掌握在进口厂商的维保人员手中，对于控制室内的情况，中方人员根本无法知晓和干预。

　　“网络安全实质是人与人的对抗，不是购买和部署一批网络安全设备、安装一批软件就能解决的。就像国家安全有了武器，还要有掌握武器的军人和警察。网络安全更需要专业安全运维人员来做分析、规划、态势研判、响应和处置。”周鸿祎认为，网络安全将成为一个智力密集型的服务业，形成巨大的人才需求，但眼下行业人才储备与需求规模相比还存在较大差距。

　　通力协作共同应对

　　织牢织密“安全网”

　　随着IPv6下一代互联网技术的部署和5G时代的到来，工业互联网将面临更为复杂多变的挑战。加强工业信息安全建设、加快构建全方位的安全保障体系，是制造大国迈向制造强国的基础。

　　“从国家到企业，应首先落实责任与分工。企业尤其需要重视并承担起主体责任，工业互联网不仅带来经济利益，也有相应的社会责任。”张格说。

　　“从现实情况看，政企单位还存在遭受网络攻击时不愿及时上报的问题。及时上报网络攻击事件对于早期发现、追踪溯源和防止攻击范围及危害进一步扩大、保障国家网络安全具有重大价值和意义。”周鸿祎认为，应出台鼓励网络攻击事件上报的相关政策，建立起漏洞管理全流程监督处罚制度和监督检查力量。

　　“只有自主可控的产业做强做大，工业互联网才能有安全可言。”多名业内人士表示，应尽快研究制定新一代信息技术在工业领域应用的安全架构，突破工业信息安全关键核心技术，重点发展一批高端产品，形成具有市场竞争力的产品体系。