繼工業(yè)控制系統(tǒng)信息安全技術國家工程實驗室于日前揭牌成立之后，12月2日，推薦性國家標準GB/T30976.1～2-2014《工業(yè)控制系統(tǒng)信息安全》（2個部分）又在京發(fā)布。

這是我國工控領域首次發(fā)布正式標準，填補了該領域系統(tǒng)和產品評估及驗收時無標可依的空白。

作為國家關鍵生產設施和基礎設施運行的“神經(jīng)中樞”，工業(yè)控制系統(tǒng)的安全關系到國家的戰(zhàn)略安全。但由于基礎薄弱，缺少信息安全防護措施，而且系統(tǒng)產品嚴重依賴進口等，我國的工控安全威脅有增無減。

此次系列標準的發(fā)布，對形成我國自主的工業(yè)控制系統(tǒng)信息安全產業(yè)和標準體系，保障國家經(jīng)濟的穩(wěn)定增長和國家利益的安全，具有很現(xiàn)實的意義。

工控安全威脅增多

由于廣泛應用于冶金、電力、石油石化、核能等工業(yè)生產領域，以及航空、鐵路、公路、地鐵等公共服務領域，工業(yè)控制系統(tǒng)堪稱是國家關鍵生產設施和基礎設施運行的“神經(jīng)中樞”。

“作為國家關鍵基礎設施的重要組成部分，工業(yè)控制系統(tǒng)的安全關系到國家的戰(zhàn)略安全。但隨著兩化深入，工控系統(tǒng)正面臨越來越復雜的信息安全問題。”

在當日的發(fā)布會上，科技部高新司先進制造與自動化處副處長孫權強調說。

隨著計算機和網(wǎng)絡技術的發(fā)展，工控系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件，而通過互聯(lián)網(wǎng)等公共網(wǎng)絡連接的業(yè)務系統(tǒng)也越來越普遍，這就使得傳統(tǒng)信息網(wǎng)絡所面臨的病毒、木馬、入侵攻擊、拒絕服務等安全威脅也向工業(yè)控制系統(tǒng)擴散，而針對工控系統(tǒng)的攻擊行為也大幅度增長，其面臨的信息安全問題也日益突出。

2010年的“震網(wǎng)”病毒、2012年的超級病毒“火焰”等專門針對工控系統(tǒng)的病毒爆發(fā)，不但給用戶帶來了巨大損失，還直接或間接地威脅到了國家的安全。

有數(shù)據(jù)顯示，2012年10月至2013年5月，全球針對關鍵基礎設施的攻擊報告已超過200起，超過了2012年全年。而根據(jù)美國國土安全部的工業(yè)控制系統(tǒng)網(wǎng)絡應急響應小組的統(tǒng)計，目前針對基礎設施的攻擊中，能源領域111起，占53%，關鍵制造業(yè)32起，占17%，而2011年10月至2012年9月一年中，該數(shù)據(jù)為198起，能源82起（41%），關鍵制造8起（4%），呈明顯的上升趨勢。

而當前我國工控系統(tǒng)的信息安全形勢尤為嚴峻。首先，整個工業(yè)控制基本上沒有任何信息安全防護措施；其次，系統(tǒng)產品嚴重依賴進口，產品和維護全靠國外，如大型可編程控制器（PLC）占了中國市場的94.34%，一旦出了問題就要受制于人；此外，還缺少仿真驗證環(huán)境。由于工業(yè)控制領域的應用環(huán)境復雜，一旦發(fā)生系統(tǒng)信息安全事件，將造成不可挽回的嚴重后果。

機械工業(yè)儀器儀表綜合技術經(jīng)濟研究所副所長梅恪告訴記者，傳統(tǒng)的信息系統(tǒng)將“保密性”放在首位，其次是完整性、可用性，而儀控系統(tǒng)的要求則正好相反，這種不同造成了傳統(tǒng)的、成熟的防護手段無法在工業(yè)控制系統(tǒng)中使用。

“目前工業(yè)企業(yè)面對很多類型的信息安全威脅，其中普遍存在的是主機惡意代碼防護問題。”北京和利時系統(tǒng)工程有限公司技術中心高工王弢表示，但常規(guī)的查毒軟件并不適用于工業(yè)控制系統(tǒng)，工控系統(tǒng)不可能隨時升級病毒庫。目前殺毒軟件誤殺造成工控軟件運行不正常的事件也在不斷涌現(xiàn)。

國標首次發(fā)布

近年來，世界各國都高度重視工業(yè)控制系統(tǒng)的信息安全。據(jù)悉，美國、德國等發(fā)達國家紛紛加大力度研發(fā)涉及工業(yè)生產運行的相關設備和網(wǎng)絡的安全防護技術，美國還發(fā)布了《工業(yè)控制系統(tǒng)信息安全指南》等。而我國也對工控系統(tǒng)的信息安全越來越重視。

《“十二五”國家戰(zhàn)略性新興產業(yè)發(fā)展規(guī)劃》、《標準化事業(yè)發(fā)展“十二五”規(guī)劃》都將網(wǎng)絡信息安全作為新一代信息技術產業(yè)的重點內容；2011年9月，工業(yè)和信息化部《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》，要求加強國家主要工業(yè)領域基礎設施與工業(yè)控制系統(tǒng)的安全保護工作；2012年6月《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》發(fā)布，也將保障工控系統(tǒng)等重點領域的信息安全作為一個重要方面來強調。

今年2月27日，由習近平任組長，李克強、劉云山為副組長的中央網(wǎng)信領導小組正式亮相；而到8月26日，國務院授權重新組建的國家互聯(lián)網(wǎng)信息辦公室負責全國互聯(lián)網(wǎng)信息內容管理工作，并負責監(jiān)督管理執(zhí)法。

據(jù)梅恪介紹，目前，我國通過了11項國家/行業(yè)標準的制定，已經(jīng)初步建立了系統(tǒng)級的安全要求標準體系，在頂層設計上建立了基于技術與管理方法的評估規(guī)范和驗收規(guī)范；系統(tǒng)設計上建立了DCS、現(xiàn)場總線、PLC系統(tǒng)安全設計規(guī)范等。

與此同時，隨著國內外工業(yè)控制系統(tǒng)信息安全事件的不斷涌現(xiàn)和政府對國家基礎設施信息安全問題的重視程度不斷提高，部分大型工業(yè)企業(yè)也已對工控系統(tǒng)建立了信息安全意識。“他們首先提出信息安全需求，然后在與工控企業(yè)、信息安全服務企業(yè)等的互動過程中共同制定解決方案。”王弢表示。

而此次的《工業(yè)控制系統(tǒng)信息安全》系列國家標準是我國工控領域首次發(fā)布的正式標準，可以說，填補了我國針對工控領域無標準做依據(jù)進行系統(tǒng)和產品評估及驗收的空白。

據(jù)介紹，該標準主要包括安全分級、安全管理基本要求、技術要求、安全檢查測試方法等基本要求，適用于系統(tǒng)設計方、設備生產商、系統(tǒng)集成商、工程公司、用戶、資產所有人以及評估認證機構等對工業(yè)控制系統(tǒng)信息安全的評估和驗收。

業(yè)內人士認為，該系列標準的發(fā)布，對今后建立國際領先的工業(yè)控制系統(tǒng)信息安全評估認證機制，形成我國自主的工業(yè)控制系統(tǒng)信息安全產業(yè)和標準體系，保障國家經(jīng)濟的穩(wěn)定增長和國家利益的安全，具有十分現(xiàn)實的意義。

“希望全國工業(yè)過程測量控制和自動化標準化委員會再接再厲，與國家科技攻關項目密切配合，開展重點領域工業(yè)控制系統(tǒng)及其關鍵設施的信息安全標準研制工作，逐步完善我國工業(yè)控制領域的信息安全標準體系。”孫權表示。

盡管還處于起步階段，但隨著政府和行業(yè)的推動，國內的工控安全正逐步發(fā)展起來。“但工控信息安全是一項長期艱巨的任務，”梅恪提醒說，它需要建立起政策＋管理＋技術的模式，還需要工控、IT等各領域專家群策群力，同時在管理和運維方面還應加強安全防護意識，“在工業(yè)現(xiàn)場實施安全防護是一項復雜的系統(tǒng)工程，對安全運維人員的技術素質要求很高。”

更多資訊請關注PC BASED頻道