高科科技制造企業(yè)該如何做到未雨綢繆?

“ 工控企業(yè)中病毒事件不乏先例，然而此次臺(tái)積電染毒事件造成2億元人民幣（這還是官方公布的數(shù)字，真實(shí)數(shù)字應(yīng)該元比這個(gè)高）損失，確實(shí)令業(yè)界吃驚。臺(tái)積電染毒事件將該芯片加工企業(yè)被推到風(fēng)口浪尖，而這一高精尖行業(yè)的工控信息安全事故，引起了安全領(lǐng)域的專家注意。”

政委連線了工業(yè)控制系統(tǒng)信息安全技術(shù)國(guó)家工程實(shí)驗(yàn)室的王紹杰，行業(yè)專家從一個(gè)工控安全咨詢服務(wù)人員的角度解讀了事件事件的過程與應(yīng)對(duì)方案。

此次事件發(fā)生后，臺(tái)積電經(jīng)過一日調(diào)查，對(duì)外發(fā)布事件原因是新機(jī)臺(tái)并未事先進(jìn)行隔離處理，而是直接接入公司內(nèi)部網(wǎng)絡(luò)，然后發(fā)生病毒擴(kuò)散。

臺(tái)積電官方認(rèn)為屬于操作不當(dāng)引起（可能事發(fā)前并沒有形成正確操作程序）。

王紹杰認(rèn)為，事件反應(yīng)了臺(tái)積電的應(yīng)急響應(yīng)水平還是很不錯(cuò)的，只是付出代價(jià)太大。

工欲善其事，必先利其器。

王紹杰專家進(jìn)一步談及高科科技制造企業(yè)該如何做到未雨綢繆。

第一，領(lǐng)導(dǎo)層和員工的重視程度。

看得出事件發(fā)生后領(lǐng)導(dǎo)層還是非常重視的（損失這么大，能不重視嗎），這里我們談日常安全管理的重視程度，我們沒有證據(jù)不能妄加評(píng)論，只提一點(diǎn)，是否領(lǐng)導(dǎo)層和基層員工都同樣重視？如何做到呢？下面來談這個(gè)兩個(gè)問題。

第二，企業(yè)安全管理制度建設(shè)（日常工作績(jī)效&考核），基層員工和領(lǐng)導(dǎo)層崗位職責(zé)中明確安全責(zé)任，形成自上而下考核和自下而上績(jī)效實(shí)現(xiàn)。

人人有義務(wù)，安全靠大家。建議企業(yè)形成每個(gè)安全工序的tips，這樣員工可以對(duì)照?qǐng)?zhí)行。記住，安全工作必須按程序辦事。

第三，人員安全意識(shí)和技術(shù)水平（培訓(xùn)和持證上崗）。

崗位職責(zé)和能力要保持匹配，目前工控企業(yè)普遍沒有專業(yè)崗位維持原本脆弱的防事，因此崗位能力培訓(xùn)和意識(shí)教育顯得尤為重要，是急需解決的問題。企業(yè)對(duì)安全崗位的培訓(xùn)教育很關(guān)鍵。

第四，技術(shù)手段可以提高安全運(yùn)維效率。

面對(duì)龐大的數(shù)據(jù)資產(chǎn)，如何能快速識(shí)別威脅和脆弱性，是我們需要迫切解決的。目前安全產(chǎn)品市場(chǎng)上感知類產(chǎn)品較多，王紹杰專家認(rèn)為像臺(tái)積電這樣的企業(yè)可以考慮將數(shù)據(jù)資產(chǎn)和安全評(píng)估關(guān)聯(lián)起來形成適合自身安全技術(shù)。當(dāng)然可以借助一些安全企業(yè)的技術(shù)優(yōu)勢(shì)。

王紹杰專家最后建議，許多企業(yè)沒有發(fā)生重大事故，不代表沒有風(fēng)險(xiǎn)。前事不忘后事之師，讓我們以適當(dāng)?shù)耐度?，將風(fēng)險(xiǎn)降低到可以接受的程度。