IIANews原创，转载请注明出处

　　制造业是一个国家经济的重要基础。随着数字化新基建的发展，网络攻击或信息安全事件频发，不仅严重影响制造企业本身的系统和数据安全，造成无形资产的损失，更可能威胁国家层面的公众安全及社会秩序。这也是工业物联网时代的一大特点。

　　自2017年《网络安全法》发布，以及2019年等保2.0中对于工业控制系统安全的独立关注，越来越多制造企业的工业安全意识已经逐渐觉醒，但是工业安全落实到具体的操作或执行层面仍存在很多问题。针对这一普遍难点，艾默生系统与方案业务全生命周期经理韩靖基于艾默生在工业安全方面的实践，分享了他的观点和建议。

一个颇具挑战的长期过程

　　与IT信息安全相比，工业信息安全具有其特殊性和复杂性。工业安全产品的使用者、管理者、运行的业务环境和生产环境、面临的风险要素都和传统的IT信息安全有很大区别。正因为如此，工业企业即使在战略管理层面上具有工业安全意识，但如果缺乏专业的资源和指导，企业在落实到具体操作或执行层面时仍难以达到原本战略目标。

　　工业信息安全的实现，需要工业自动化专业团队在原有工控知识和管理体系之上，进一步突破并融和数字化和信息安全，“这是一个颇具难度和挑战的过程，也是一个需要多方合作，共同发展的长期持续过程，不能只依靠企业的技术人员、管理人员或供应商等就可以实现。”韩靖认为，这也是工业信息安全建设和工业数字化转型的主要难点之一。

推进工业信息安全的若干建议

　　在数字化升级转型的浪潮下，企业如何推进工业信息安全建议?在韩靖看来，任何规模、任何性质的企业，都需要结合企业自身特点和行业先进实践，针对性地加强安全风控制和管理措施。

　　韩靖结合艾默生在工业安全方面的实践和经验，给出了如下几条建议：

　　首先，促进厂商共同合作，优势整合。在打造工业安全环境的过程中，每个角色都有各自擅长的领域，这就进一步要求各厂家及服务商之间共同合作，发挥各自所长，在各自安全领域内保证一定的安全基准;同时，企业主也应发挥管理统筹的作用，促进各行业，各产品服务供应商的优势整合。

　　其次，以工业应用场景出发。工业安全产品的生产和应用，不能只停留在产品或软件层面的漏洞问题，而应该更多地考虑用户的工业应用场景，结合工业控制系统的应用与管理。从现场生产、控制、运维、响应计划、安全管理等维度出发，在根本上解决风险。

　　第三，管理与实践结合。工业信息安全是一个非常注重实践的领域。因此企业用户对工业安全人员的培训过程中，除了学习理论知识，也必须重视企业内部安全人员的实践技能培养，将管理与实践有效结合，才能为共建工业生态安全系统打下基础。

工控行业的网络安全实践

　　艾默生是较早将网络安全解决方案产品线结合至工控产品体系的厂家之一，也是首家通过IEC62443 ISA Secure SSA 系统整体认证的厂家，并且一直积极推动IEC62443等国际工业自动化安全标准体系在行业的应用。

　　据悉，艾默生所有安全产品和解决方案都经过了严格兼容性测试和定制化的功能测试，以确保过程运行的稳定和兼容性。此外艾默生始终贯彻“网络安全防护不仅仅是一系列产品，而是一个为用户服务和管理的过程。”公司除了拥有强大的网络安全顾问、评估和服务实施团队，艾默生还紧密地与过程控制系统传统运维结合，从整体工厂运营上为用户带来更大化的运营性能和效率提升。

　　作为国际石油化工行业重要的自动化供应商，艾默生多年来已经为多个国际化工巨头的生产基地提供涵盖生产基地的整体安全网络架构建设，纵深防御的安全控制及监测措施，人员管理与培训，安全评估及事件响应服务等在内的全面解决方案。“工业企业的信息安全实施应避免只停留在应付审计要求上，而应该通过工业信息安全确保其生产运营中的价值。”韩靖强调。