專家解讀|工控信息安全標(biāo)準(zhǔn)體系介紹

發(fā)言人：機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所（ITEI），全國(guó)工業(yè)過(guò)程測(cè)量控制和自動(dòng)化標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SAC/TC124），趙艷領(lǐng)博士

（本文根據(jù)作者在2016世界互聯(lián)網(wǎng)工業(yè)大會(huì)“智能制造工控信息安全”論壇的發(fā)言摘錄整理）

什么是工業(yè)控制系統(tǒng)？

要談?wù)摴た匦畔踩?，我們首先要明白，什么是工業(yè)控制系統(tǒng)。

工業(yè)控制系統(tǒng)（GB/T 30976）是指對(duì)工業(yè)生產(chǎn)過(guò)程安全（safety）、信息安全(security)和可靠運(yùn)行產(chǎn)生作用和影響的人員、硬件和軟件的集合。

工業(yè)控制系統(tǒng)包括但不限于：

1) 工業(yè)控制系統(tǒng)包括分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、智能電子設(shè)備（IED）、監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)，運(yùn)動(dòng)控制（MC）系統(tǒng)、網(wǎng)絡(luò)電子傳感和控制，監(jiān)視和診斷系統(tǒng)。（在本標(biāo)準(zhǔn)中，不論物理上是分開(kāi)的還是集成的，過(guò)程控制系統(tǒng)（PCS）包括基本過(guò)程控制系統(tǒng)和安全儀表系統(tǒng)（SIS））

2)相關(guān)的信息系統(tǒng)，例如先進(jìn)控制或者多變量控制、在線優(yōu)化器、專用設(shè)備監(jiān)視器、圖形界面、過(guò)程歷史記錄、制造執(zhí)行系統(tǒng)（MES）和企業(yè)資源計(jì)劃（ERP）管理系統(tǒng)。

3)相關(guān)的部門(mén)、人員、網(wǎng)絡(luò)或機(jī)器接口，為連續(xù)的、批處理、離散的和其他過(guò)程提供控制、安全和制造操作功能。

工業(yè)控制系統(tǒng)信息安全已經(jīng)成為全世界共同關(guān)注的大命題

信息化程度越來(lái)越高，信息安全問(wèn)題成為企業(yè)開(kāi)展遠(yuǎn)程維護(hù)、管控一體化等工作的主要障礙之一。很多工業(yè)控制系統(tǒng)設(shè)計(jì)之初側(cè)重可用性和實(shí)時(shí)性，忽略了系統(tǒng)架構(gòu)上的信息安全，隨著互聯(lián)網(wǎng)的不斷發(fā)展，很多系統(tǒng)越來(lái)越需要互聯(lián)互通，標(biāo)準(zhǔn)開(kāi)放的通信協(xié)議及軟硬件系統(tǒng)的采用，以及與其他網(wǎng)絡(luò)的互聯(lián)打破了系統(tǒng)原有的相對(duì)封閉性，系統(tǒng)面臨各種信息安全攻擊。近年來(lái)，安全事件和公開(kāi)漏洞都呈快速增長(zhǎng)趨勢(shì)。工控信息安全引起全世界的重視。

習(xí)近平主席說(shuō)過(guò)：“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，沒(méi)有信息化就沒(méi)有現(xiàn)代化?！本W(wǎng)絡(luò)要發(fā)展，更要安全，國(guó)家政府現(xiàn)在對(duì)網(wǎng)絡(luò)安全非常重視，已經(jīng)將網(wǎng)絡(luò)安全上升到主權(quán)的層次。

國(guó)際工控系統(tǒng)安全行業(yè)發(fā)展情況

就美國(guó)來(lái)說(shuō)，2003年將工控系統(tǒng)安全視為國(guó)家安全優(yōu)先事項(xiàng)，2008年將其列入國(guó)家需重點(diǎn)保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施，2009年頒布《保護(hù)工業(yè)控制系統(tǒng)戰(zhàn)略》，涵蓋能源、電力、交通等14個(gè)行業(yè)；2009年成立ICS-CERT，Industrial Control Systems Cyber Emergency Response Team，隸屬美國(guó)國(guó)土部，專注于工控系統(tǒng)相關(guān)的安全事故監(jiān)控、分析執(zhí)行漏洞和惡意代碼、為事故響應(yīng)和取證分析提供現(xiàn)場(chǎng)支持，美國(guó)國(guó)土安全部（DHS）啟動(dòng)控制系統(tǒng)安全計(jì)劃（CSSP），美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院、能源局分別發(fā)布了《工業(yè)控制系統(tǒng)安全指南》（SP800-82）[NIST]、《改進(jìn)SCADA網(wǎng)絡(luò)安全的21項(xiàng)措施》。

在歐洲，主流控制系統(tǒng)制造商西門(mén)子及施耐德均為用戶提供相應(yīng)的安全產(chǎn)品、服務(wù)及解決方案，西門(mén)子建有工控安全實(shí)驗(yàn)室。

在中國(guó)，工控信息安全問(wèn)題也已經(jīng)引起各個(gè)行業(yè)的高度重視，例如，工信部發(fā)布了關(guān)于工控安全的451號(hào)文，電監(jiān)會(huì)制定了《電力二次系統(tǒng)安全防護(hù)規(guī)定》，《電力工控信息安全專項(xiàng)監(jiān)管工作方案》，國(guó)家煙草局制定了《煙草工業(yè)企業(yè)生產(chǎn)區(qū)與管理區(qū)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》等。

工控信息安全標(biāo)準(zhǔn)現(xiàn)狀

國(guó)際工控信息安全標(biāo)準(zhǔn)現(xiàn)狀：

國(guó)際上的工控信息安全標(biāo)準(zhǔn)和相關(guān)機(jī)構(gòu)有很多， IEC 62443/ISA-99等都是美國(guó)TEC和ISA做的標(biāo)準(zhǔn)，其他國(guó)家有諸如NIST: SP800-82《工業(yè)控制系統(tǒng)信息安全指南》、WIB M2784《過(guò)程控制領(lǐng)域中對(duì)供應(yīng)商的信息安全要求》等，其中有很多在我們國(guó)家也有使用。以IEC 62443/ISA-99標(biāo)準(zhǔn)為例，工控信息安全標(biāo)準(zhǔn)體系主要包含四塊內(nèi)容，一部分側(cè)重基礎(chǔ)，一部分針對(duì)管理，一部分是針對(duì)中控和集成商，一部分針對(duì)設(shè)備制造商。

現(xiàn)在還有一個(gè)趨勢(shì)，功能安全和信息安全的融合和互相影響，針對(duì)這一問(wèn)題，國(guó)際上一些機(jī)構(gòu)做了很多工作。

在工控信息行業(yè)標(biāo)準(zhǔn)方面，我國(guó)已發(fā)布國(guó)家標(biāo)準(zhǔn)（2項(xiàng)），行業(yè)標(biāo)準(zhǔn)（3項(xiàng)），國(guó)家計(jì)劃標(biāo)準(zhǔn)項(xiàng)目6項(xiàng)，智能制造與工控信息安全方向上，《數(shù)字化車(chē)間信息安全要求》、《數(shù)字化車(chē)間功能安全要求》，《安全一體化設(shè)計(jì)》、《安全一體化運(yùn)行管理》等標(biāo)準(zhǔn)正在制定當(dāng)中。

工控信息安全標(biāo)準(zhǔn)

工控信息安全標(biāo)準(zhǔn)化建設(shè)

工控信息安全具有很強(qiáng)的動(dòng)態(tài)性，在標(biāo)準(zhǔn)化的制定上，要從各個(gè)層次來(lái)建立標(biāo)準(zhǔn)體系。

層域劃分：將工控系統(tǒng)按功能劃分層次，按工藝劃分區(qū)域；

要求映射：將技術(shù)要求與管理要求映射到不同的層域；

定性定量：安全等級(jí)、量化風(fēng)險(xiǎn)評(píng)估結(jié)果等；

標(biāo)準(zhǔn)體系：

領(lǐng)域：適應(yīng)工控系統(tǒng)所有應(yīng)用領(lǐng)域；

層次：現(xiàn)場(chǎng)設(shè)備層到MES層；

系統(tǒng)：產(chǎn)品全生命周期；

結(jié)語(yǔ)：

工控信息安全是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)，需要各個(gè)領(lǐng)域的專家共同努力，建立政策+管理+技術(shù)的模式，逐步實(shí)現(xiàn)工控信息安全從防護(hù)到自主安全的跨越。