12月2日，一場(chǎng)推薦性國家標準發(fā)布會(huì )在北京召開(kāi)，發(fā)布的正是《工業(yè)控制系統信息安全》標準（GB/T 30976.1~2-2014，包括第1部分評估規范和第2部分驗收規范）。該系列國家標準是我國工控領(lǐng)域首次發(fā)布的正式標準，填補了我國針對工控領(lǐng)域無(wú)標準做依據進(jìn)行系統和產(chǎn)品評估和驗收的空白。

    全球互聯(lián)、嵌入式智能、自組織現象……在智能制造、互聯(lián)網(wǎng)革命的大潮下，原本封閉的工控系統正在變得越來(lái)越開(kāi)放。 

    而這些工業(yè)控制系統廣泛用于冶金、電力、石油石化、核能等工業(yè)生產(chǎn)領(lǐng)域，以及航空、鐵路、公路、地鐵等公共服務(wù)領(lǐng)域，是國家關(guān)鍵生產(chǎn)設施和基礎設施運行的“中樞”。 

    一臺辦公電腦的崩潰尚且會(huì )讓使用者陷入工作難以進(jìn)行的境地，這些中樞系統一旦被摧毀或者被控制，造成的影響更是不敢想象。工控系統的安全防護必不可少。 

    2014年12月2日，一場(chǎng)推薦性國家標準發(fā)布會(huì )在北京召開(kāi)，發(fā)布的正是《工業(yè)控制系統信息安全》標準（GB/T 30976.1~2-2014，包括第1部分評估規范和第2部分驗收規范）。該系列國家標準是我國工控領(lǐng)域首次發(fā)布的正式標準，填補了我國針對工控領(lǐng)域無(wú)標準做依據進(jìn)行系統和產(chǎn)品評估和驗收的空白。 

    工控安全形勢嚴峻 

    如今，工業(yè)控制系統越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，通過(guò)互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接的業(yè)務(wù)系統也越來(lái)越普遍，這使得針對工業(yè)控制系統的攻擊行為大幅度增長(cháng)，也使得工業(yè)控制系統的脆弱性正在逐漸顯現，面臨的信息安全問(wèn)題日益突出。 

    在國外，2010年的伊朗核電站感染“震網(wǎng)”病毒，嚴重威脅核反應堆安全運營(yíng)；2011年，黑客入侵數據采集與監控系統，使美國伊利諾伊州城市供水系統的供水泵遭到破壞；2012年，人們發(fā)現攻擊多個(gè)中東國家的惡意程序超級病毒“火焰”，它能收集各行業(yè)的敏感信息…… 

    在我國，齊魯石化、大慶石化煉油廠(chǎng)在2010年和2011年也曾經(jīng)發(fā)生過(guò)某裝置控制系統感染Conficker蠕蟲(chóng)病毒，造成控制系統服務(wù)器與控制器通訊不同程度地中斷。 

    各種專(zhuān)門(mén)針對工業(yè)控制系統的病毒爆發(fā)和網(wǎng)絡(luò )攻擊給用戶(hù)帶來(lái)了巨大損失，同時(shí)也直接或間接地威脅到國家安全。因此，世界各國都高度重視工業(yè)控制系統的信息安全。 

    美國、德國等發(fā)達國家紛紛加大力度研發(fā)涉及工業(yè)生產(chǎn)運行的相關(guān)設備和網(wǎng)絡(luò )的安全防護技術(shù)。我國則出臺了多項政策，要求加強重點(diǎn)領(lǐng)域工業(yè)控制系統的信息安全管理?！?ldquo;十二五”國家戰略性新興產(chǎn)業(yè)發(fā)展規劃》、《標準化事業(yè)發(fā)展“十二五”規劃》都將網(wǎng)絡(luò )信息安全作為新一代信息技術(shù)產(chǎn)業(yè)的重點(diǎn)內容。2011年9月，工信部發(fā)布了《關(guān)于加強工業(yè)控制系統信息安全管理的通知》；2012年6月，國務(wù)院又發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》；2014年2月，中央網(wǎng)信領(lǐng)導小組正式亮相，國家主席習近平任組長(cháng)，其任務(wù)就包括發(fā)展與安全兩個(gè)方面。這些都充分說(shuō)明我國對信息安全越來(lái)越重視。 

    但即便如此，我國工控系統的信息安全防護現狀也不容樂(lè )觀(guān)。 

    “通過(guò)近幾年做工控系統的信息安全工作，我們發(fā)現一些問(wèn)題。技術(shù)層面的問(wèn)題包括：工控系統的復雜性導致不同工廠(chǎng)需要定制不同的安全決策；目前探測與偵別異常信息的手段缺失；多維聯(lián)動(dòng)報警與故障恢復技術(shù)還在探索階段；工業(yè)級邊界防護設備少，尤其是經(jīng)過(guò)現場(chǎng)驗證的設備更少等。”機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所副所長(cháng)梅恪在此次發(fā)布會(huì )上表示，“還有管理、運維層面的問(wèn)題，如雖然近年很多企業(yè)信息安全防控意識有所提高，但還需要加強；工業(yè)現場(chǎng)實(shí)施安全防護是一項復雜的系統工程，尤其對現場(chǎng)人員的技術(shù)素質(zhì)要求很高，但我國工業(yè)企業(yè)普遍缺乏信息安全人才等。” 

    可見(jiàn)，對于我國工業(yè)而言，維護工控信息安全是一項長(cháng)期而艱巨的任務(wù)。 

    標準逐步出臺 

    產(chǎn)業(yè)發(fā)展，標準先行。工業(yè)用戶(hù)、相關(guān)產(chǎn)品生產(chǎn)企業(yè)等都在期盼有完善的國家和行業(yè)標準指導工控系統的信息安全工作。 

    據了解，我國2012年已經(jīng)成立了相關(guān)的標準工作組，包括來(lái)自工控、工廠(chǎng)、測評機構等部門(mén)的成員48個(gè)。我國也初步建立了系統級的安全要求標準體系，其中包括此次發(fā)布會(huì )上公布的兩項國家標準，以及已發(fā)布的《工業(yè)過(guò)程測量和控制安全 網(wǎng)絡(luò )和系統安全》等3項行業(yè)標準，另外還有《集散控制系統（DCS）安全防護標準》、《集散控制系統（DCS）安全管理標準》、《可編程邏輯控制器（PLC）安全要求》等6項國家標準計劃項目已送審。 

    兩項國家標準的主要內容包括安全分級、安全管理基本要求、技術(shù)要求、安全檢查測試方法等基本要求，適用于系統設計方、設備生產(chǎn)商、系統集成商、工程公司、用戶(hù)、資產(chǎn)所有人以及評估認證機構等對工業(yè)控制系統的信息安全進(jìn)行評估和驗收時(shí)使用。 

    這個(gè)系列標準的發(fā)布，對今后建立國際領(lǐng)先的工業(yè)控制系統信息安全評估認證機制，形成我國自主的工業(yè)控制系統信息安全產(chǎn)業(yè)和標準體系，保障國家經(jīng)濟的穩定增長(cháng)和國家利益的安全，具有現實(shí)意義。 

     “工控系統的信息安全需求不同于IT行業(yè)，因為其本身邊界比較模糊，軟硬件相結合后感染通道也有所變化。工控系統的首先需求是功能性，要在不損害功能性的前提下保證信息安全。因此，工控系統信息安全需要開(kāi)發(fā)廠(chǎng)商和用戶(hù)聯(lián)動(dòng)。”機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所所長(cháng)歐陽(yáng)勁松表示。 

    摘自 機電商報