推薦性國家標準《工業控制系統信息安全》發布——中國工業報 |
文章來源:管理員 添加時間:2015/7/9 23:10:34 |
繼工業控制系統信息安全技術國家工程實驗室于日前揭牌成立之后,12月2日,推薦性國家標準GB/T30976.1~2-2014《工業控制系統信息安全》(2個部分)又在京發布。
這是我國工控領域首次發布正式標準,填補了該領域系統和產品評估及驗收時無標可依的空白。
作為國家關鍵生產設施和基礎設施運行的“神經中樞”,工業控制系統的安全關系到國家的戰略安全。但由于基礎薄弱,缺少信息安全防護措施,而且系統產品嚴重依賴進口等,我國的工控安全威脅有增無減。
此次系列標準的發布,對形成我國自主的工業控制系統信息安全產業和標準體系,保障國家經濟的穩定增長和國家利益的安全,具有很現實的意義。
工控安全威脅增多
由于廣泛應用于冶金、電力、石油石化、核能等工業生產領域,以及航空、鐵路、公路、地鐵等公共服務領域,工業控制系統堪稱是國家關鍵生產設施和基礎設施運行的“神經中樞”。
“作為國家關鍵基礎設施的重要組成部分,工業控制系統的安全關系到國家的戰略安全。但隨著兩化深入,工控系統正面臨越來越復雜的信息安全問題。”
在當日的發布會上,科技部高新司先進制造與自動化處副處長孫權強調說。
隨著計算機和網絡技術的發展,工控系統越來越多地采用通用協議、通用硬件和通用軟件,而通過互聯網等公共網絡連接的業務系統也越來越普遍,這就使得傳統信息網絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也向工業控制系統擴散,而針對工控系統的攻擊行為也大幅度增長,其面臨的信息安全問題也日益突出。
2010年的“震網”病毒、2012年的超級病毒“火焰”等專門針對工控系統的病毒爆發,不但給用戶帶來了巨大損失,還直接或間接地威脅到了國家的安全。
有數據顯示,2012年10月至2013年5月,全球針對關鍵基礎設施的攻擊報告已超過200起,超過了2012年全年。而根據美國國土安全部的工業控制系統網絡應急響應小組的統計,目前針對基礎設施的攻擊中,能源領域111起,占53%,關鍵制造業32起,占17%,而2011年10月至2012年9月一年中,該數據為198起,能源82起(41%),關鍵制造8起(4%),呈明顯的上升趨勢。
而當前我國工控系統的信息安全形勢尤為嚴峻。首先,整個工業控制基本上沒有任何信息安全防護措施;其次,系統產品嚴重依賴進口,產品和維護全靠國外,如大型可編程控制器(PLC)占了中國市場的94.34%,一旦出了問題就要受制于人;此外,還缺少仿真驗證環境。由于工業控制領域的應用環境復雜,一旦發生系統信息安全事件,將造成不可挽回的嚴重后果。
機械工業儀器儀表綜合技術經濟研究所副所長梅恪告訴記者,傳統的信息系統將“保密性”放在首位,其次是完整性、可用性,而儀控系統的要求則正好相反,這種不同造成了傳統的、成熟的防護手段無法在工業控制系統中使用。
“目前工業企業面對很多類型的信息安全威脅,其中普遍存在的是主機惡意代碼防護問題。”北京和利時系統工程有限公司技術中心高工王弢表示,但常規的查毒軟件并不適用于工業控制系統,工控系統不可能隨時升級病毒庫。目前殺毒軟件誤殺造成工控軟件運行不正常的事件也在不斷涌現。
國標首次發布
近年來,世界各國都高度重視工業控制系統的信息安全。據悉,美國、德國等發達國家紛紛加大力度研發涉及工業生產運行的相關設備和網絡的安全防護技術,美國還發布了《工業控制系統信息安全指南》等。而我國也對工控系統的信息安全越來越重視。
《“十二五”國家戰略性新興產業發展規劃》、《標準化事業發展“十二五”規劃》都將網絡信息安全作為新一代信息技術產業的重點內容;2011年9月,工業和信息化部《關于加強工業控制系統信息安全管理的通知》,要求加強國家主要工業領域基礎設施與工業控制系統的安全保護工作;2012年6月《國務院關于大力推進信息化發展和切實保障信息安全的若干意見》發布,也將保障工控系統等重點領域的信息安全作為一個重要方面來強調。
今年2月27日,由習近平任組長,李克強、劉云山為副組長的中央網信領導小組正式亮相;而到8月26日,國務院授權重新組建的國家互聯網信息辦公室負責全國互聯網信息內容管理工作,并負責監督管理執法。
據梅恪介紹,目前,我國通過了11項國家/行業標準的制定,已經初步建立了系統級的安全要求標準體系,在頂層設計上建立了基于技術與管理方法的評估規范和驗收規范;系統設計上建立了DCS、現場總線、PLC系統安全設計規范等。
與此同時,隨著國內外工業控制系統信息安全事件的不斷涌現和政府對國家基礎設施信息安全問題的重視程度不斷提高,部分大型工業企業也已對工控系統建立了信息安全意識。“他們首先提出信息安全需求,然后在與工控企業、信息安全服務企業等的互動過程中共同制定解決方案。”王弢表示。
而此次的《工業控制系統信息安全》系列國家標準是我國工控領域首次發布的正式標準,可以說,填補了我國針對工控領域無標準做依據進行系統和產品評估及驗收的空白。
據介紹,該標準主要包括安全分級、安全管理基本要求、技術要求、安全檢查測試方法等基本要求,適用于系統設計方、設備生產商、系統集成商、工程公司、用戶、資產所有人以及評估認證機構等對工業控制系統信息安全的評估和驗收。
業內人士認為,該系列標準的發布,對今后建立國際領先的工業控制系統信息安全評估認證機制,形成我國自主的工業控制系統信息安全產業和標準體系,保障國家經濟的穩定增長和國家利益的安全,具有十分現實的意義。
“希望全國工業過程測量控制和自動化標準化委員會再接再厲,與國家科技攻關項目密切配合,開展重點領域工業控制系統及其關鍵設施的信息安全標準研制工作,逐步完善我國工業控制領域的信息安全標準體系。”孫權表示。
盡管還處于起步階段,但隨著政府和行業的推動,國內的工控安全正逐步發展起來。“但工控信息安全是一項長期艱巨的任務,”梅恪提醒說,它需要建立起政策+管理+技術的模式,還需要工控、IT等各領域專家群策群力,同時在管理和運維方面還應加強安全防護意識,“在工業現場實施安全防護是一項復雜的系統工程,對安全運維人員的技術素質要求很高。” |
[返回首頁] [返回上一頁] [打 印] [關閉窗口] |