工业控制系统信息安全领域标准现状及规划

WEIDEID

随着信息化与工业化的深度融合，工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件，以各种方式与企业ERP系统，甚至与互联网等公共网络连接，传统信息网络中的病毒、木马等威胁正在向工业控制系统扩散，SCADA、DCS、PLC等工业控制系统面临前所未有的信息安全威胁。美国早在20年前就开始在政策层面上关注工业控制系统信息安全问题，先后制订了一系列标准规范。我国工业控制系统信息安全工作处于起步阶段，过去只强调系统可靠性而忽视安全性。自从伊朗“震网”病毒发生后，引起了国家的高度重视，相关标准规范制定工作开始启动，任重道远。
一、国外标准现状
2000年，国际电工委员会正式发布了IEC 61508 电气/电子/可编程电子安全系统的功能安全，该标准分七部分，涉及1000多个规范。
2006年，美国国家标准与技术研究院（NIST）制定了NIST SP 800-82 SCADA和工业控制系统安全指南。
2009年，IEC/TC65/WG10（国际电工协会工业过程测量、控制与自动化/网络与系统信息安全工作组）与国际自动化协会ISA99成立联合工作组组织制定了IEC 62443 工业自动化和控制系统信息安全，旨在应对工业自动化和控制系统信息安全挑战的系列标准，以规避工业控制系统在信息安全方面的风险。
2011年，NIST制定了NIST SP 800-82 工业控制系统信息安全指南，旨在指导开发商、集成商建立安全的工业控制系统。
此外，美国、英国、法国、德国、荷兰、瑞典等国家非常重视工业控制系统信息安全标准化工作，在标准法规方面已出台了从国家法规标准到行业规范指南等一系列规范性文件。
二、国内标准现状
2011年，全国工业过程测量和控制标准化技术委员会发布了GB/T 26333-2010工业控制网络安全风险评估规范。
2011年，工信部发布451号文《关于加强工业控制系统信息安全管理的通知》，要求加强国家主要工业领域基础设施控制系统与SCADA系统的安全保护工作。
2012年，国务院发布23号文《关于大力推进信息化发展和切实保障信息安全的若干意见》，明确提出要开展工业控制系统信息安全检查工作。
2014年，全国工业过程测量和控制标准化技术委员会联合全国信息安全标准化技术委员会发布了GB/T 30976.1-2014工业控制系统信息安全 第1部分 评估规范和GB/T 30976.2-2014工业控制系统信息安全 第2部分 验收规范。
在工业行业领域，电力行业一直走在前列，先后于2005年发布了电监会5号令《电力二次系统安全防护规定》，于2014年发布了发改委14号令《电力监控系统安全防护规定》。
三、国内标准规划
传统信息系统在信息系统安全等级保护系列标准的指导下，信息安全工作开展的如火如荼，目前，公安部牵头组织编制工业控制系统信息安全等级保护系列标准，包括基本要求、设计技术指南和测评要求三部分。
针对不同的具体工业控制系统，各项标准也在加紧制定过程中，比如，报至全国工业过程测量和控制标准化技术委员会联合全国信息安全标准化技术委员会的可编程序控制器（PLC）系统信息安全要求、集散控制系统（DCS）安全防护要求等。
在工业行业领域，国家能源局信息中心和北京油气调控中心分别牵头组织编制相关专业领域安全防护标准。
总体来说，国内工业控制系统信息安全领域标准正在逐步建立和完善，在翻译和消化国外类似标准规范的同时，国内工业控制系统制造企业积极参与标准制定工作，在技术要求的国产化方面起到了很大的作用。目前，当务之急是建立切实可行且行之有效的工业控制系统等级保护强制标准，约束新建工业控制系统信息安全的同时，也能对原有工业控制系统起到很好的监督作用，赛迪工控作为国内领先工业控制系统测评机构，也在积极推动标准的规划与制定。此外，各个工业行业应向电力行业看齐，积极制定符合本行业特征的工业控制系统信息安全标准规范，以指导和规范本行业的工业控制系统信息安全工作。