發言人:機械工業儀器儀表綜合技術經濟研究所(ITEI),全國工業過程測量控制和自動化標準化技術委員會(SAC/TC124),趙艷領博士
(本文根據作者在2016世界互聯網工業大會“智能制造工控信息安全”論壇的發言摘錄整理)
什么是工業控制系統?
要談論工控信息安全,我們首先要明白,什么是工業控制系統。
工業控制系統(GB/T 30976)是指對工業生產過程安全(safety)、信息安全(security)和可靠運行產生作用和影響的人員、硬件和軟件的集合。
工業控制系統包括但不限于:
1) 工業控制系統包括分布式控制系統(DCS)、可編程邏輯控制器(PLC)、智能電子設備(IED)、監視控制與數據采集(SCADA)系統,運動控制(MC)系統、網絡電子傳感和控制,監視和診斷系統。(在本標準中,不論物理上是分開的還是集成的,過程控制系統(PCS)包括基本過程控制系統和安全儀表系統(SIS))
2)相關的信息系統,例如先進控制或者多變量控制、在線優化器、專用設備監視器、圖形界面、過程歷史記錄、制造執行系統(MES)和企業資源計劃(ERP)管理系統。
3)相關的部門、人員、網絡或機器接口,為連續的、批處理、離散的和其他過程提供控制、安全和制造操作功能。
工業控制系統信息安全已經成為全世界共同關注的大命題
信息化程度越來越高,信息安全問題成為企業開展遠程維護、管控一體化等工作的主要障礙之一。很多工業控制系統設計之初側重可用性和實時性,忽略了系統架構上的信息安全,隨著互聯網的不斷發展,很多系統越來越需要互聯互通,標準開放的通信協議及軟硬件系統的采用,以及與其他網絡的互聯打破了系統原有的相對封閉性,系統面臨各種信息安全攻擊。近年來,安全事件和公開漏洞都呈快速增長趨勢。工控信息安全引起全世界的重視。
習近平主席說過:“沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。”網絡要發展,更要安全,國家政府現在對網絡安全非常重視,已經將網絡安全上升到主權的層次。
國際工控系統安全行業發展情況
就美國來說,2003年將工控系統安全視為國家安全優先事項,2008年將其列入國家需重點保護的關鍵基礎設施,2009年頒布《保護工業控制系統戰略》,涵蓋能源、電力、交通等14個行業;2009年成立ICS-CERT,Industrial Control Systems Cyber Emergency Response Team,隸屬美國國土部,專注于工控系統相關的安全事故監控、分析執行漏洞和惡意代碼、為事故響應和取證分析提供現場支持,美國國土安全部(DHS)啟動控制系統安全計劃(CSSP),美國國家標準與技術研究院、能源局分別發布了《工業控制系統安全指南》(SP800-82)[NIST]、《改進SCADA網絡安全的21項措施》。
在歐洲,主流控制系統制造商西門子及施耐德均為用戶提供相應的安全產品、服務及解決方案,西門子建有工控安全實驗室。
在中國,工控信息安全問題也已經引起各個行業的高度重視,例如,工信部發布了關于工控安全的451號文,電監會制定了《電力二次系統安全防護規定》,《電力工控信息安全專項監管工作方案》,國家煙草局制定了《煙草工業企業生產區與管理區網絡互聯安全規范》等。
工控信息安全標準現狀
國際工控信息安全標準現狀:
國際上的工控信息安全標準和相關機構有很多, IEC 62443/ISA-99等都是美國TEC和ISA做的標準,其他國家有諸如NIST: SP800-82《工業控制系統信息安全指南》、WIB M2784《過程控制領域中對供應商的信息安全要求》等,其中有很多在我們國家也有使用。以IEC 62443/ISA-99標準為例,工控信息安全標準體系主要包含四塊內容,一部分側重基礎,一部分針對管理,一部分是針對中控和集成商,一部分針對設備制造商。
現在還有一個趨勢,功能安全和信息安全的融合和互相影響,針對這一問題,國際上一些機構做了很多工作。
在工控信息行業標準方面,我國已發布國家標準(2項),行業標準(3項),國家計劃標準項目6項,智能制造與工控信息安全方向上,《數字化車間信息安全要求》、《數字化車間功能安全要求》,《安全一體化設計》、《安全一體化運行管理》等標準正在制定當中。
工控信息安全標準
工控信息安全標準化建設
工控信息安全具有很強的動態性,在標準化的制定上,要從各個層次來建立標準體系。
層域劃分:將工控系統按功能劃分層次,按工藝劃分區域;
要求映射:將技術要求與管理要求映射到不同的層域;
定性定量:安全等級、量化風險評估結果等;
標準體系:
領域:適應工控系統所有應用領域;
層次:現場設備層到MES層;
系統:產品全生命周期;
結語:
工控信息安全是一項長期而艱巨的任務,需要各個領域的專家共同努力,建立政策+管理+技術的模式,逐步實現工控信息安全從防護到自主安全的跨越。
