12月7日，ISC中国行第九站暨千人计划专家研讨会在深圳举行，近30位来自深圳地区的网络安全主管部门、政府机构、院校、大型企业和来自ISC组委会、360企业安全集团的相关领导、技术专家、CIO和CSO，分别就网络安全新时代的挑战和体系建设创新、网络安全人才需求及培养等话题阐述了自己的洞察，并进行了深入讨论。

会上，深圳燃气集团CIO张静就新时代下工控安全建设话题进行分享，他从三方面展开讲述，包括我们对工控安全的认识、目前工控安全存在的一些难点、深圳燃气的思路和做法。

以下为张静的分享内容，文字略有精简。

重新认识工控安全

现在越来越多攻击工控设施的案例，包括乌克兰整个电网已经成了黑客的练兵场，动不动有黑客在那里试验技术，造成大规模断电，给了我们一个非常深刻的认识。

我们以前以为网络安全顶多是影响互联网的安全，但是实际上认知要改变，网络安全会影响到我们的生产安全，甚至影响到城市安全，像我们燃气行业地下都是各种智能的阀门、设备，一旦被控制了很有可能发生非常大的事故。

而包括《网络安全法》以及政府部门各方面文件，对于合规的要求确实越来越严格，这也是驱动我们做好信息安全工作的因素。

工控安全建设落地的难点

我们传统的信息安全实际上更关注于传统IT，包括业务系统、办公网络。对于工控领域，这一部分知识未必能够完全适用，因为它涉及到很多物联网设备，所以我认为我们在这块准备和储备实际上有缺失。

再就是人才，我们现在内部有一些网络安全工程师，但是他们的知识领域仅限于网络安全和应用系统的安全，对于工控领域的安全我觉得确实需要去补课。工控安全很多系统比较封闭，升级也是非常慢，大规模做升级难度非常大，从技术上来说也是一个难度。

深圳燃气的实践之路

我们今年开展了信息安全风险评估，包括漏洞扫描，希望对整个现状有一个非常真实的了解，清楚自身短板在哪里。有了安全评估的结果之后我们会进行相应的安全规划，要分步来，不可能一步到位，规划好最重要的是补哪一块。

再就是做好政府规定的工作，主要是等级保护，我们肯定按照《网络安全法》的要求以及相关政策的要求把它做好。

人才方面，我们加强信息安全工程师的培训，希望大家能够把专业领域朝工控安全领域方面扩展，应对未来可能突发的状况。

之前提到政府做网络安全应急响应体系，我认为单靠企业来应对威胁是不足够的，我们希望政府、行业能有一些协同，大家能共同来应对这种网络威胁，一旦出现网络攻击事件我们能够互相支持。

还有外部的服务，像360有非常专业的专家，他们提供的防护服务，也是我们未来考虑的领域。因为我们给安全工程师的薪水毕竟就这么高，你指望他有很高的水平也不现实，我们希望结合内部和外部力量，共同把我们作为关键基础设施的行业的安全水平做好。

声明：本文来自士冗科技，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。