今日頭條
官方微信
官方抖音
資訊頻道 12月2日,一場推薦性國家標準發布會在北京召開,發布的正是《工業控制系統信息安全》標準(GB/T 30976.1~2-2014,包括第1部分評估規范和第2部分驗收規范)。該系列國家標準是我國工控領域首次發布的正式標準,填補了我國針對工控領域無標準做依據進行系統和產品評估和驗收的空白。
全球互聯、嵌入式智能、自組織現象……在智能制造、互聯網革命的大潮下,原本封閉的工控系統正在變得越來越開放。
而這些工業控制系統廣泛用于冶金、電力、石油石化、核能等工業生產領域,以及航空、鐵路、公路、地鐵等公共服務領域,是國家關鍵生產設施和基礎設施運行的“中樞”。
一臺辦公電腦的崩潰尚且會讓使用者陷入工作難以進行的境地,這些中樞系統一旦被摧毀或者被控制,造成的影響更是不敢想象。工控系統的安全防護必不可少。
2014年12月2日,一場推薦性國家標準發布會在北京召開,發布的正是《工業控制系統信息安全》標準(GB/T 30976.1~2-2014,包括第1部分評估規范和第2部分驗收規范)。該系列國家標準是我國工控領域首次發布的正式標準,填補了我國針對工控領域無標準做依據進行系統和產品評估和驗收的空白。
工控安全形勢嚴峻
如今,工業控制系統越來越多地采用通用協議、通用硬件和通用軟件,通過互聯網等公共網絡連接的業務系統也越來越普遍,這使得針對工業控制系統的攻擊行為大幅度增長,也使得工業控制系統的脆弱性正在逐漸顯現,面臨的信息安全問題日益突出。
在國外,2010年的伊朗核電站感染“震網”病毒,嚴重威脅核反應堆安全運營;2011年,黑客入侵數據采集與監控系統,使美國伊利諾伊州城市供水系統的供水泵遭到破壞;2012年,人們發現攻擊多個中東國家的惡意程序超級病毒“火焰”,它能收集各行業的敏感信息……
在我國,齊魯石化、大慶石化煉油廠在2010年和2011年也曾經發生過某裝置控制系統感染Conficker蠕蟲病毒,造成控制系統服務器與控制器通訊不同程度地中斷。
各種專門針對工業控制系統的病毒爆發和網絡攻擊給用戶帶來了巨大損失,同時也直接或間接地威脅到國家安全。因此,世界各國都高度重視工業控制系統的信息安全。
美國、德國等發達國家紛紛加大力度研發涉及工業生產運行的相關設備和網絡的安全防護技術。我國則出臺了多項政策,要求加強重點領域工業控制系統的信息安全管理。《“十二五”國家戰略性新興產業發展規劃》、《標準化事業發展“十二五”規劃》都將網絡信息安全作為新一代信息技術產業的重點內容。2011年9月,工信部發布了《關于加強工業控制系統信息安全管理的通知》;2012年6月,國務院又發布了《關于大力推進信息化發展和切實保障信息安全的若干意見》;2014年2月,中央網信領導小組正式亮相,國家主席習近平任組長,其任務就包括發展與安全兩個方面。這些都充分說明我國對信息安全越來越重視。
但即便如此,我國工控系統的信息安全防護現狀也不容樂觀。
“通過近幾年做工控系統的信息安全工作,我們發現一些問題。技術層面的問題包括:工控系統的復雜性導致不同工廠需要定制不同的安全決策;目前探測與偵別異常信息的手段缺失;多維聯動報警與故障恢復技術還在探索階段;工業級邊界防護設備少,尤其是經過現場驗證的設備更少等。”機械工業儀器儀表綜合技術經濟研究所副所長梅恪在此次發布會上表示,“還有管理、運維層面的問題,如雖然近年很多企業信息安全防控意識有所提高,但還需要加強;工業現場實施安全防護是一項復雜的系統工程,尤其對現場人員的技術素質要求很高,但我國工業企業普遍缺乏信息安全人才等。”
可見,對于我國工業而言,維護工控信息安全是一項長期而艱巨的任務。
標準逐步出臺
產業發展,標準先行。工業用戶、相關產品生產企業等都在期盼有完善的國家和行業標準指導工控系統的信息安全工作。
據了解,我國2012年已經成立了相關的標準工作組,包括來自工控、工廠、測評機構等部門的成員48個。我國也初步建立了系統級的安全要求標準體系,其中包括此次發布會上公布的兩項國家標準,以及已發布的《工業過程測量和控制安全 網絡和系統安全》等3項行業標準,另外還有《集散控制系統(DCS)安全防護標準》、《集散控制系統(DCS)安全管理標準》、《可編程邏輯控制器(PLC)安全要求》等6項國家標準計劃項目已送審。
兩項國家標準的主要內容包括安全分級、安全管理基本要求、技術要求、安全檢查測試方法等基本要求,適用于系統設計方、設備生產商、系統集成商、工程公司、用戶、資產所有人以及評估認證機構等對工業控制系統的信息安全進行評估和驗收時使用。
這個系列標準的發布,對今后建立國際領先的工業控制系統信息安全評估認證機制,形成我國自主的工業控制系統信息安全產業和標準體系,保障國家經濟的穩定增長和國家利益的安全,具有現實意義。
“工控系統的信息安全需求不同于IT行業,因為其本身邊界比較模糊,軟硬件相結合后感染通道也有所變化。工控系統的首先需求是功能性,要在不損害功能性的前提下保證信息安全。因此,工控系統信息安全需要開發廠商和用戶聯動。”機械工業儀器儀表綜合技術經濟研究所所長歐陽勁松表示。
摘自 機電商報
北京市公安局海淀分局備案號:11010802023656號