2016年4月22日,工业和信息化部电子科学技术情报研究所(电子一所)联合工业控制系统信息安全产业联盟(ICSISIA)在北京组织召开了工业控制系统信息安全风险信息共享研讨会。工业和信息化部信息化和软件服务业司司长谢少锋、系统安全处副处长廖凯,联盟副理事长、电子一所总工程师尹丽波,联盟副理事长、国家能源局信息中心副主任胡红升,国家信息技术安全研究中心副总工宫亚峰、军工保密资格审查认证中心副主任相长军、联盟常务秘书长石红芳出席会议。来自地方工信主管部门、中央企业、研究机构的相关领导、工业控制系统厂商及工控信息安全服务提供商代表参加了会议。
北京乐鱼科技发展作为此次会议的协助方,为本次研讨会带来《工控系统产品漏洞应急处置经验》主题报告,介绍分析了乐鱼科技在漏洞应急处理方面的工作经验,分享了乐鱼多年来产品漏洞处置的案例。例如,美国ICS-CERT的漏洞信息,华盛顿邮报的“特殊报道”,以及KingSCADA弱密码事件。乐鱼科技给出了自己独到的解决方法:
首先,从公司内部着手,严抓质量体系:
·主动投入,自测并修复已发布产品漏洞;
·积极防御,对新研发产品提升软件安全特性优先级;
·制定内部软件安全规范,覆盖软件研发的全生命周期;
·通过培训手段,增强软件安全意识。
其次,积极与用户沟通,消除客户使用隐患
·为客户及时通报事件进展;
·及时向外公布漏洞补丁及相关信息;
·关注行业内安全问题发展情况;
最后,针对安全问题不避讳不隐瞒,及时通报媒体及相关国家安全部门,为提升工控系统安全做力所能及的事情;
乐鱼科技作为国内领先自动化软件企业,充分发挥自身优势,从国家层面、行业、企业三个层面提出问题与建议,为了今后更好的提升工业控制系统运营单位的风险防范意识,加强工业控制系统信息安全相关单位的信息共享与交流,贡献自己的一份力量。