9月24日，2014中國互聯(lián)網(wǎng)安全大會（ISC）在京舉行。在下午召開的“工控（ICS）安全論壇”上，來自機械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟研究所的安全專家歐陽勁松，發(fā)表了名為《工控信息安全—國際標準概況及我國的體系建設(shè)》的主題演講。在演講過程中，歐陽勁松詳細介紹了國內(nèi)工業(yè)控制領(lǐng)域面臨的技術(shù)問題，以及信息安全標準制情況，并介紹了工控信息安全的改進建議。

歐陽勁松認為，以智能制造為主導的第四次工業(yè)革命正在興起，而工業(yè)控制系統(tǒng)存在著信息安全的問題。尤其是近年來，國內(nèi)外發(fā)生許多工業(yè)信息系統(tǒng)遭黑客入侵的事件，如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker蠕蟲病毒等，都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷，均造成了一定的損失，且產(chǎn)生惡劣影響。

據(jù)歐陽勁松介紹，工業(yè)安全涵蓋了已經(jīng)非常成熟的物理安全、信息安全以及功能安全三方面。針對于信息安全，歐陽勁松進行了詳細解釋：“目前，國際上已制定了工控領(lǐng)域信息安全國際標準，國家及技術(shù)組織標準。”兩項標準分別由IEC/TC65/WG10與ISA99聯(lián)合工作組和ISA安全符合性研究院ISCI進行認證。

同時，歐陽勁松針對于工控信息安全領(lǐng)域的最新進展做了簡要介紹，在今年6月，國外建立了一個協(xié)調(diào)Safety和Security的特別工作組（AD-HOCGroup），宗旨是提出建議和新項目提案。

而在信息安全標準體系方面，歐陽勁松表示，聯(lián)合相關(guān)標委會已制定11項國家/行業(yè)標準，初步建立了頂層設(shè)計、系統(tǒng)設(shè)計、產(chǎn)品設(shè)計領(lǐng)域三個層次系統(tǒng)標準體系，該體系適應(yīng)工控系統(tǒng)所有應(yīng)用領(lǐng)域，涉及現(xiàn)場設(shè)備層到MES層系統(tǒng)層次，產(chǎn)品全生命周期。

相較國際標準，我國也建立了相應(yīng)的行業(yè)標準。目前，已發(fā)布2項國家標準，3項行業(yè)標準，國家標準計劃項目6項，對行規(guī)測試標準起到積極作用，結(jié)束了行業(yè)認證亂象。接下來，歐陽勁松又從管理等級、系統(tǒng)能力等級和信息安全等級三個方面，對我國工業(yè)控制領(lǐng)域信息安全標準制定情況和最新動態(tài)給予詳細講解。

“相比發(fā)達國家，我國工控信息仍面臨著安全防控意識不高、政策+管理+技術(shù)的模式不完善、測試技術(shù)和測試平臺缺乏、國外機構(gòu)主導安全的評估項目少四大挑戰(zhàn)。”歐陽勁松總結(jié)道，我們必須深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點和需求，有針對性地制定相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)。

歐陽勁松建議：首先要培育工控信息安全良好生態(tài)環(huán)境，切合實際的進行風險評估，同時切記泛信息安全化或極端信息安全化；其次，從國家安全的角度考慮，需要加快建立統(tǒng)一、協(xié)調(diào)、獨立的認證評估體系；中國的信息安全認證要具有自己的特點，不可能實現(xiàn)一個認證全球通行的行業(yè)標準。