12月2日,一場推薦性國家標(biāo)準(zhǔn)發(fā)布會在北京召開,發(fā)布的正是《工業(yè)控制系統(tǒng)信息安全》標(biāo)準(zhǔn)(GB/T 30976.1~2-2014,包括第1部分評估規(guī)范和第2部分驗收規(guī)范)。該系列國家標(biāo)準(zhǔn)是我國工控領(lǐng)域首次發(fā)布的正式標(biāo)準(zhǔn),填補了我國針對工控領(lǐng)域無標(biāo)準(zhǔn)做依據(jù)進行系統(tǒng)和產(chǎn)品評估和驗收的空白。
全球互聯(lián)、嵌入式智能、自組織現(xiàn)象……在智能制造、互聯(lián)網(wǎng)革命的大潮下,原本封閉的工控系統(tǒng)正在變得越來越開放。
而這些工業(yè)控制系統(tǒng)廣泛用于冶金、電力、石油石化、核能等工業(yè)生產(chǎn)領(lǐng)域,以及航空、鐵路、公路、地鐵等公共服務(wù)領(lǐng)域,是國家關(guān)鍵生產(chǎn)設(shè)施和基礎(chǔ)設(shè)施運行的“中樞”。
一臺辦公電腦的崩潰尚且會讓使用者陷入工作難以進行的境地,這些中樞系統(tǒng)一旦被摧毀或者被控制,造成的影響更是不敢想象。工控系統(tǒng)的安全防護必不可少。
2014年12月2日,一場推薦性國家標(biāo)準(zhǔn)發(fā)布會在北京召開,發(fā)布的正是《工業(yè)控制系統(tǒng)信息安全》標(biāo)準(zhǔn)(GB/T 30976.1~2-2014,包括第1部分評估規(guī)范和第2部分驗收規(guī)范)。該系列國家標(biāo)準(zhǔn)是我國工控領(lǐng)域首次發(fā)布的正式標(biāo)準(zhǔn),填補了我國針對工控領(lǐng)域無標(biāo)準(zhǔn)做依據(jù)進行系統(tǒng)和產(chǎn)品評估和驗收的空白。
工控安全形勢嚴(yán)峻
如今,工業(yè)控制系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件,通過互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接的業(yè)務(wù)系統(tǒng)也越來越普遍,這使得針對工業(yè)控制系統(tǒng)的攻擊行為大幅度增長,也使得工業(yè)控制系統(tǒng)的脆弱性正在逐漸顯現(xiàn),面臨的信息安全問題日益突出。
在國外,2010年的伊朗核電站感染“震網(wǎng)”病毒,嚴(yán)重威脅核反應(yīng)堆安全運營;2011年,黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng),使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;2012年,人們發(fā)現(xiàn)攻擊多個中東國家的惡意程序超級病毒“火焰”,它能收集各行業(yè)的敏感信息……
在我國,齊魯石化、大慶石化煉油廠在2010年和2011年也曾經(jīng)發(fā)生過某裝置控制系統(tǒng)感染Conficker蠕蟲病毒,造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
各種專門針對工業(yè)控制系統(tǒng)的病毒爆發(fā)和網(wǎng)絡(luò)攻擊給用戶帶來了巨大損失,同時也直接或間接地威脅到國家安全。因此,世界各國都高度重視工業(yè)控制系統(tǒng)的信息安全。
美國、德國等發(fā)達國家紛紛加大力度研發(fā)涉及工業(yè)生產(chǎn)運行的相關(guān)設(shè)備和網(wǎng)絡(luò)的安全防護技術(shù)。我國則出臺了多項政策,要求加強重點領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理。《“十二五”國家戰(zhàn)略性新興產(chǎn)業(yè)發(fā)展規(guī)劃》、《標(biāo)準(zhǔn)化事業(yè)發(fā)展“十二五”規(guī)劃》都將網(wǎng)絡(luò)信息安全作為新一代信息技術(shù)產(chǎn)業(yè)的重點內(nèi)容。2011年9月,工信部發(fā)布了《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》;2012年6月,國務(wù)院又發(fā)布了《關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》;2014年2月,中央網(wǎng)信領(lǐng)導(dǎo)小組正式亮相,國家主席習(xí)近平任組長,其任務(wù)就包括發(fā)展與安全兩個方面。這些都充分說明我國對信息安全越來越重視。
但即便如此,我國工控系統(tǒng)的信息安全防護現(xiàn)狀也不容樂觀。
“通過近幾年做工控系統(tǒng)的信息安全工作,我們發(fā)現(xiàn)一些問題。技術(shù)層面的問題包括:工控系統(tǒng)的復(fù)雜性導(dǎo)致不同工廠需要定制不同的安全決策;目前探測與偵別異常信息的手段缺失;多維聯(lián)動報警與故障恢復(fù)技術(shù)還在探索階段;工業(yè)級邊界防護設(shè)備少,尤其是經(jīng)過現(xiàn)場驗證的設(shè)備更少等。”機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所副所長梅恪在此次發(fā)布會上表示,“還有管理、運維層面的問題,如雖然近年很多企業(yè)信息安全防控意識有所提高,但還需要加強;工業(yè)現(xiàn)場實施安全防護是一項復(fù)雜的系統(tǒng)工程,尤其對現(xiàn)場人員的技術(shù)素質(zhì)要求很高,但我國工業(yè)企業(yè)普遍缺乏信息安全人才等。”
可見,對于我國工業(yè)而言,維護工控信息安全是一項長期而艱巨的任務(wù)。
標(biāo)準(zhǔn)逐步出臺
產(chǎn)業(yè)發(fā)展,標(biāo)準(zhǔn)先行。工業(yè)用戶、相關(guān)產(chǎn)品生產(chǎn)企業(yè)等都在期盼有完善的國家和行業(yè)標(biāo)準(zhǔn)指導(dǎo)工控系統(tǒng)的信息安全工作。
據(jù)了解,我國2012年已經(jīng)成立了相關(guān)的標(biāo)準(zhǔn)工作組,包括來自工控、工廠、測評機構(gòu)等部門的成員48個。我國也初步建立了系統(tǒng)級的安全要求標(biāo)準(zhǔn)體系,其中包括此次發(fā)布會上公布的兩項國家標(biāo)準(zhǔn),以及已發(fā)布的《工業(yè)過程測量和控制安全 網(wǎng)絡(luò)和系統(tǒng)安全》等3項行業(yè)標(biāo)準(zhǔn),另外還有《集散控制系統(tǒng)(DCS)安全防護標(biāo)準(zhǔn)》、《集散控制系統(tǒng)(DCS)安全管理標(biāo)準(zhǔn)》、《可編程邏輯控制器(PLC)安全要求》等6項國家標(biāo)準(zhǔn)計劃項目已送審。
兩項國家標(biāo)準(zhǔn)的主要內(nèi)容包括安全分級、安全管理基本要求、技術(shù)要求、安全檢查測試方法等基本要求,適用于系統(tǒng)設(shè)計方、設(shè)備生產(chǎn)商、系統(tǒng)集成商、工程公司、用戶、資產(chǎn)所有人以及評估認(rèn)證機構(gòu)等對工業(yè)控制系統(tǒng)的信息安全進行評估和驗收時使用。
這個系列標(biāo)準(zhǔn)的發(fā)布,對今后建立國際領(lǐng)先的工業(yè)控制系統(tǒng)信息安全評估認(rèn)證機制,形成我國自主的工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)和標(biāo)準(zhǔn)體系,保障國家經(jīng)濟的穩(wěn)定增長和國家利益的安全,具有現(xiàn)實意義。
“工控系統(tǒng)的信息安全需求不同于IT行業(yè),因為其本身邊界比較模糊,軟硬件相結(jié)合后感染通道也有所變化。工控系統(tǒng)的首先需求是功能性,要在不損害功能性的前提下保證信息安全。因此,工控系統(tǒng)信息安全需要開發(fā)廠商和用戶聯(lián)動。”機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所所長歐陽勁松表示。
摘自 機電商報
