工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟

隨著(zhù)越來(lái)越多的工控系統接入信息網(wǎng)，工控系統的信息安全成為了日益突出的問(wèn)題。工控系統在電力行業(yè)、交通運輸、石油石化等重要領(lǐng)域有廣泛應用，這些領(lǐng)域的安全問(wèn)題關(guān)乎國家安全；另外工控系統較多地采用了通用協(xié)議、通用硬件和通用軟件等，急需相關(guān)規范文件的約束。在這種情況下，《GB/T 32919-2016信息安全技術(shù) 工業(yè)控制系統安全控制應用指南》應運而生，它專(zhuān)門(mén)針對各領(lǐng)域各行業(yè)的工控系統編寫(xiě)，規范工業(yè)控制系統的安全需求，從工業(yè)企業(yè)的方方面面指導工業(yè)企業(yè)信息安全建設，為我國工控系統信息安全相關(guān)工作奠定基礎。本期專(zhuān)刊中，工業(yè)控制系統信息安全產(chǎn)業(yè)聯(lián)盟就針對這一標準進(jìn)行解讀。

Q：GB/T 32919-2016適用范圍是什么？

A：工控企業(yè)行業(yè)眾多，不同行業(yè)之間的工控系統存在較大差異，32919-2016適用于工業(yè)領(lǐng)域的各個(gè)行業(yè)，整個(gè)標準規約了工業(yè)企業(yè)從設計到建設到運行，從人員安全到設備安全到環(huán)境安全等各個(gè)方面。作為包含了800余個(gè)控制點(diǎn)的標準，它可作為工業(yè)控制系統信息安全體系建設評估依據，也可指導企業(yè)工控系統的安全整改。另一方面，可作為政府工控安全檢查的技術(shù)性規范，亦可作為企業(yè)工控安全自查的指導性文件。

Q：GB/T 32919-2016有哪些亮點(diǎn)？

A：32919-2016亮點(diǎn)很多。第一，它是國內首個(gè)覆蓋工業(yè)企業(yè)全生命周期的工控安全標準；第二，標準包括了18個(gè)控制族、近900項工控系統安全控制點(diǎn)，從技術(shù)、管理、運維三方面規約工業(yè)企業(yè)的信息安全設計建設；第三，32919-2016作為工業(yè)控制系統安全通用標準，可通過(guò)裁剪形成各行業(yè)的工控安全標準，為工控領(lǐng)域各行業(yè)規范細則的制定奠定有力的基礎。

Q：GB/T 32919-2016在哪些方面對開(kāi)展工控安全保障相關(guān)工作提供了指導依據？

A：首先，該標準作為首個(gè)可應用于工業(yè)控制系統信息安全測評工作、多行業(yè)通用的國家標準，為后續工控系統信息安全測評相關(guān)標準奠定基礎。其次，從標準本身來(lái)說(shuō)，該標準從技術(shù)、管理、運維的18個(gè)方面開(kāi)展工控安全保障工作，覆蓋了企業(yè)生產(chǎn)運營(yíng)的全生命周期。比如：技術(shù)上的訪(fǎng)問(wèn)控制、系統和通信保護，管理上的安全評估、規劃管理，運維上的事件響應、介質(zhì)保護等。為評估機構的測評工作以及工業(yè)企業(yè)的自查工作提供了指導依據。

Q：GB/T 32919-2016對于我國工控信息安全保障工作的意義是什么？

A：隨著(zhù)“工業(yè)4.0”、工業(yè)互聯(lián)網(wǎng)、《中國制造2025》的不斷推進(jìn)，我國傳統的工業(yè)企業(yè)逐漸從自成體系且封閉獨立的系統走向了開(kāi)放，這就造成了工業(yè)領(lǐng)域的信息安全形勢日趨嚴峻。工業(yè)企業(yè)一旦出現信息安全問(wèn)題，輕則帶來(lái)經(jīng)濟損失，重則關(guān)乎公眾權益，社會(huì )穩定，國家安全。本標準有力支撐工控系統信息安全評估工作，確保我國工業(yè)企業(yè)的正常生產(chǎn)運營(yíng)，保障信息安全，維護國家利益。標準一方面可作為工業(yè)企業(yè)的信息安全評估規范性文件，另外可作為工業(yè)企業(yè)日常自查時(shí)的指導文件。

Q：目前國外在工控信息安全標準的具體情況，與國內有哪些不同？

A：國外標準化機構、應急響應機構針對工業(yè)控制系統發(fā)布了若干的指導標準。他們從信息網(wǎng)絡(luò )的角度，將信息網(wǎng)絡(luò )的安全思路自然延伸到工業(yè)控制領(lǐng)域，制定相關(guān)的安全標準，典型的代表為NIST發(fā)布的SP800-82指南。

我國標準化機構針對工業(yè)控制系統也發(fā)布了若干標準，是在前期的企業(yè)調研、研究分析的基礎上制定的。通過(guò)調研，深刻分析工控信息安全與傳統信息安全的差異性，制定出專(zhuān)門(mén)針對工控系統信息安全的標準。另外，通過(guò)對工控系統多行業(yè)的分析研究，找出各行業(yè)間的差異性，在通用標準的基礎上又推動(dòng)制定了不同行業(yè)的工控信息安全標準。

Q：未來(lái)，針對于工控信息安全領(lǐng)域還會(huì )有哪些標準相繼出臺？

A：就工業(yè)控制系統信息安全標準體系來(lái)說(shuō)，目前在安全等級、安全測評、安全實(shí)施三方面的標準已較為完善，但在安全要求方面的標準仍需加強。未來(lái)將會(huì )出臺《工業(yè)控制系統安全技術(shù)基本要求》、《工業(yè)控制系統安全管理基本要求》以及針對工控產(chǎn)品的系列標準等，都是針對工控系統的安全要求。

摘自《工業(yè)控制系統信息安全》專(zhuān)刊第四輯