今日頭條
官方微信
官方抖音
資訊頻道 12月2日,一場推薦性國家標(biāo)準(zhǔn)發(fā)布會(huì)在北京召開,發(fā)布的正是《工業(yè)控制系統(tǒng)信息安全》標(biāo)準(zhǔn)(GB/T 30976.1~2-2014,包括第1部分評(píng)估規(guī)范和第2部分驗(yàn)收規(guī)范)。該系列國家標(biāo)準(zhǔn)是我國工控領(lǐng)域首次發(fā)布的正式標(biāo)準(zhǔn),填補(bǔ)了我國針對(duì)工控領(lǐng)域無標(biāo)準(zhǔn)做依據(jù)進(jìn)行系統(tǒng)和產(chǎn)品評(píng)估和驗(yàn)收的空白。
全球互聯(lián)、嵌入式智能、自組織現(xiàn)象……在智能制造、互聯(lián)網(wǎng)革命的大潮下,原本封閉的工控系統(tǒng)正在變得越來越開放。
而這些工業(yè)控制系統(tǒng)廣泛用于冶金、電力、石油石化、核能等工業(yè)生產(chǎn)領(lǐng)域,以及航空、鐵路、公路、地鐵等公共服務(wù)領(lǐng)域,是國家關(guān)鍵生產(chǎn)設(shè)施和基礎(chǔ)設(shè)施運(yùn)行的“中樞”。
一臺(tái)辦公電腦的崩潰尚且會(huì)讓使用者陷入工作難以進(jìn)行的境地,這些中樞系統(tǒng)一旦被摧毀或者被控制,造成的影響更是不敢想象。工控系統(tǒng)的安全防護(hù)必不可少。
2014年12月2日,一場推薦性國家標(biāo)準(zhǔn)發(fā)布會(huì)在北京召開,發(fā)布的正是《工業(yè)控制系統(tǒng)信息安全》標(biāo)準(zhǔn)(GB/T 30976.1~2-2014,包括第1部分評(píng)估規(guī)范和第2部分驗(yàn)收規(guī)范)。該系列國家標(biāo)準(zhǔn)是我國工控領(lǐng)域首次發(fā)布的正式標(biāo)準(zhǔn),填補(bǔ)了我國針對(duì)工控領(lǐng)域無標(biāo)準(zhǔn)做依據(jù)進(jìn)行系統(tǒng)和產(chǎn)品評(píng)估和驗(yàn)收的空白。
工控安全形勢嚴(yán)峻
如今,工業(yè)控制系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件,通過互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接的業(yè)務(wù)系統(tǒng)也越來越普遍,這使得針對(duì)工業(yè)控制系統(tǒng)的攻擊行為大幅度增長,也使得工業(yè)控制系統(tǒng)的脆弱性正在逐漸顯現(xiàn),面臨的信息安全問題日益突出。
在國外,2010年的伊朗核電站感染“震網(wǎng)”病毒,嚴(yán)重威脅核反應(yīng)堆安全運(yùn)營;2011年,黑客入侵?jǐn)?shù)據(jù)采集與監(jiān)控系統(tǒng),使美國伊利諾伊州城市供水系統(tǒng)的供水泵遭到破壞;2012年,人們發(fā)現(xiàn)攻擊多個(gè)中東國家的惡意程序超級(jí)病毒“火焰”,它能收集各行業(yè)的敏感信息……
在我國,齊魯石化、大慶石化煉油廠在2010年和2011年也曾經(jīng)發(fā)生過某裝置控制系統(tǒng)感染Conficker蠕蟲病毒,造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷。
各種專門針對(duì)工業(yè)控制系統(tǒng)的病毒爆發(fā)和網(wǎng)絡(luò)攻擊給用戶帶來了巨大損失,同時(shí)也直接或間接地威脅到國家安全。因此,世界各國都高度重視工業(yè)控制系統(tǒng)的信息安全。
美國、德國等發(fā)達(dá)國家紛紛加大力度研發(fā)涉及工業(yè)生產(chǎn)運(yùn)行的相關(guān)設(shè)備和網(wǎng)絡(luò)的安全防護(hù)技術(shù)。我國則出臺(tái)了多項(xiàng)政策,要求加強(qiáng)重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)的信息安全管理。《“十二五”國家戰(zhàn)略性新興產(chǎn)業(yè)發(fā)展規(guī)劃》、《標(biāo)準(zhǔn)化事業(yè)發(fā)展“十二五”規(guī)劃》都將網(wǎng)絡(luò)信息安全作為新一代信息技術(shù)產(chǎn)業(yè)的重點(diǎn)內(nèi)容。2011年9月,工信部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》;2012年6月,國務(wù)院又發(fā)布了《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》;2014年2月,中央網(wǎng)信領(lǐng)導(dǎo)小組正式亮相,國家主席習(xí)近平任組長,其任務(wù)就包括發(fā)展與安全兩個(gè)方面。這些都充分說明我國對(duì)信息安全越來越重視。
但即便如此,我國工控系統(tǒng)的信息安全防護(hù)現(xiàn)狀也不容樂觀。
“通過近幾年做工控系統(tǒng)的信息安全工作,我們發(fā)現(xiàn)一些問題。技術(shù)層面的問題包括:工控系統(tǒng)的復(fù)雜性導(dǎo)致不同工廠需要定制不同的安全決策;目前探測與偵別異常信息的手段缺失;多維聯(lián)動(dòng)報(bào)警與故障恢復(fù)技術(shù)還在探索階段;工業(yè)級(jí)邊界防護(hù)設(shè)備少,尤其是經(jīng)過現(xiàn)場驗(yàn)證的設(shè)備更少等。”機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所副所長梅恪在此次發(fā)布會(huì)上表示,“還有管理、運(yùn)維層面的問題,如雖然近年很多企業(yè)信息安全防控意識(shí)有所提高,但還需要加強(qiáng);工業(yè)現(xiàn)場實(shí)施安全防護(hù)是一項(xiàng)復(fù)雜的系統(tǒng)工程,尤其對(duì)現(xiàn)場人員的技術(shù)素質(zhì)要求很高,但我國工業(yè)企業(yè)普遍缺乏信息安全人才等。”
可見,對(duì)于我國工業(yè)而言,維護(hù)工控信息安全是一項(xiàng)長期而艱巨的任務(wù)。
標(biāo)準(zhǔn)逐步出臺(tái)
產(chǎn)業(yè)發(fā)展,標(biāo)準(zhǔn)先行。工業(yè)用戶、相關(guān)產(chǎn)品生產(chǎn)企業(yè)等都在期盼有完善的國家和行業(yè)標(biāo)準(zhǔn)指導(dǎo)工控系統(tǒng)的信息安全工作。
據(jù)了解,我國2012年已經(jīng)成立了相關(guān)的標(biāo)準(zhǔn)工作組,包括來自工控、工廠、測評(píng)機(jī)構(gòu)等部門的成員48個(gè)。我國也初步建立了系統(tǒng)級(jí)的安全要求標(biāo)準(zhǔn)體系,其中包括此次發(fā)布會(huì)上公布的兩項(xiàng)國家標(biāo)準(zhǔn),以及已發(fā)布的《工業(yè)過程測量和控制安全 網(wǎng)絡(luò)和系統(tǒng)安全》等3項(xiàng)行業(yè)標(biāo)準(zhǔn),另外還有《集散控制系統(tǒng)(DCS)安全防護(hù)標(biāo)準(zhǔn)》、《集散控制系統(tǒng)(DCS)安全管理標(biāo)準(zhǔn)》、《可編程邏輯控制器(PLC)安全要求》等6項(xiàng)國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目已送審。
兩項(xiàng)國家標(biāo)準(zhǔn)的主要內(nèi)容包括安全分級(jí)、安全管理基本要求、技術(shù)要求、安全檢查測試方法等基本要求,適用于系統(tǒng)設(shè)計(jì)方、設(shè)備生產(chǎn)商、系統(tǒng)集成商、工程公司、用戶、資產(chǎn)所有人以及評(píng)估認(rèn)證機(jī)構(gòu)等對(duì)工業(yè)控制系統(tǒng)的信息安全進(jìn)行評(píng)估和驗(yàn)收時(shí)使用。
這個(gè)系列標(biāo)準(zhǔn)的發(fā)布,對(duì)今后建立國際領(lǐng)先的工業(yè)控制系統(tǒng)信息安全評(píng)估認(rèn)證機(jī)制,形成我國自主的工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)和標(biāo)準(zhǔn)體系,保障國家經(jīng)濟(jì)的穩(wěn)定增長和國家利益的安全,具有現(xiàn)實(shí)意義。
“工控系統(tǒng)的信息安全需求不同于IT行業(yè),因?yàn)槠浔旧磉吔绫容^模糊,軟硬件相結(jié)合后感染通道也有所變化。工控系統(tǒng)的首先需求是功能性,要在不損害功能性的前提下保證信息安全。因此,工控系統(tǒng)信息安全需要開發(fā)廠商和用戶聯(lián)動(dòng)。”機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所所長歐陽勁松表示。
摘自 機(jī)電商報(bào)
北京市公安局海淀分局備案號(hào):11010802023656號(hào)