發(fā)言人：機械工業(yè)儀器儀表綜合技術經(jīng)濟研究所（ITEI），全國工業(yè)過程測量控制和自動化標準化技術委員會（SAC/TC124），趙艷領博士

（本文根據(jù)作者在2016世界互聯(lián)網(wǎng)工業(yè)大會“智能制造工控信息安全”論壇的發(fā)言摘錄整理）

什么是工業(yè)控制系統(tǒng)？

要談論工控信息安全，我們首先要明白，什么是工業(yè)控制系統(tǒng)。

工業(yè)控制系統(tǒng)（GB/T 30976）是指對工業(yè)生產(chǎn)過程安全（safety）、信息安全(security)和可靠運行產(chǎn)生作用和影響的人員、硬件和軟件的集合。

工業(yè)控制系統(tǒng)包括但不限于：

1) 工業(yè)控制系統(tǒng)包括分布式控制系統(tǒng)（DCS）、可編程邏輯控制器（PLC）、智能電子設備（IED）、監(jiān)視控制與數(shù)據(jù)采集（SCADA）系統(tǒng)，運動控制（MC）系統(tǒng)、網(wǎng)絡電子傳感和控制，監(jiān)視和診斷系統(tǒng)。（在本標準中，不論物理上是分開的還是集成的，過程控制系統(tǒng)（PCS）包括基本過程控制系統(tǒng)和安全儀表系統(tǒng)（SIS））

2)相關的信息系統(tǒng)，例如先進控制或者多變量控制、在線優(yōu)化器、專用設備監(jiān)視器、圖形界面、過程歷史記錄、制造執(zhí)行系統(tǒng)（MES）和企業(yè)資源計劃（ERP）管理系統(tǒng)。

3)相關的部門、人員、網(wǎng)絡或機器接口，為連續(xù)的、批處理、離散的和其他過程提供控制、安全和制造操作功能。

工業(yè)控制系統(tǒng)信息安全已經(jīng)成為全世界共同關注的大命題

信息化程度越來越高，信息安全問題成為企業(yè)開展遠程維護、管控一體化等工作的主要障礙之一。很多工業(yè)控制系統(tǒng)設計之初側重可用性和實時性，忽略了系統(tǒng)架構上的信息安全，隨著互聯(lián)網(wǎng)的不斷發(fā)展，很多系統(tǒng)越來越需要互聯(lián)互通，標準開放的通信協(xié)議及軟硬件系統(tǒng)的采用，以及與其他網(wǎng)絡的互聯(lián)打破了系統(tǒng)原有的相對封閉性，系統(tǒng)面臨各種信息安全攻擊。近年來，安全事件和公開漏洞都呈快速增長趨勢。工控信息安全引起全世界的重視。

習近平主席說過：“沒有網(wǎng)絡安全就沒有國家安全，沒有信息化就沒有現(xiàn)代化。”網(wǎng)絡要發(fā)展，更要安全，國家政府現(xiàn)在對網(wǎng)絡安全非常重視，已經(jīng)將網(wǎng)絡安全上升到主權的層次。

國際工控系統(tǒng)安全行業(yè)發(fā)展情況

就美國來說，2003年將工控系統(tǒng)安全視為國家安全優(yōu)先事項，2008年將其列入國家需重點保護的關鍵基礎設施，2009年頒布《保護工業(yè)控制系統(tǒng)戰(zhàn)略》，涵蓋能源、電力、交通等14個行業(yè)；2009年成立ICS-CERT，Industrial Control Systems Cyber Emergency Response Team，隸屬美國國土部，專注于工控系統(tǒng)相關的安全事故監(jiān)控、分析執(zhí)行漏洞和惡意代碼、為事故響應和取證分析提供現(xiàn)場支持，美國國土安全部（DHS）啟動控制系統(tǒng)安全計劃（CSSP），美國國家標準與技術研究院、能源局分別發(fā)布了《工業(yè)控制系統(tǒng)安全指南》（SP800-82）[NIST]、《改進SCADA網(wǎng)絡安全的21項措施》。

在歐洲，主流控制系統(tǒng)制造商西門子及施耐德均為用戶提供相應的安全產(chǎn)品、服務及解決方案，西門子建有工控安全實驗室。

在中國，工控信息安全問題也已經(jīng)引起各個行業(yè)的高度重視，例如，工信部發(fā)布了關于工控安全的451號文，電監(jiān)會制定了《電力二次系統(tǒng)安全防護規(guī)定》，《電力工控信息安全專項監(jiān)管工作方案》，國家煙草局制定了《煙草工業(yè)企業(yè)生產(chǎn)區(qū)與管理區(qū)網(wǎng)絡互聯(lián)安全規(guī)范》等。

工控信息安全標準現(xiàn)狀

國際工控信息安全標準現(xiàn)狀：

國際上的工控信息安全標準和相關機構有很多， IEC 62443/ISA-99等都是美國TEC和ISA做的標準，其他國家有諸如NIST: SP800-82《工業(yè)控制系統(tǒng)信息安全指南》、WIB M2784《過程控制領域中對供應商的信息安全要求》等，其中有很多在我們國家也有使用。以IEC 62443/ISA-99標準為例，工控信息安全標準體系主要包含四塊內(nèi)容，一部分側重基礎，一部分針對管理，一部分是針對中控和集成商，一部分針對設備制造商。

現(xiàn)在還有一個趨勢，功能安全和信息安全的融合和互相影響，針對這一問題，國際上一些機構做了很多工作。

在工控信息行業(yè)標準方面，我國已發(fā)布國家標準（2項），行業(yè)標準（3項），國家計劃標準項目6項，智能制造與工控信息安全方向上，《數(shù)字化車間信息安全要求》、《數(shù)字化車間功能安全要求》，《安全一體化設計》、《安全一體化運行管理》等標準正在制定當中。

工控信息安全標準

工控信息安全標準化建設

工控信息安全具有很強的動態(tài)性，在標準化的制定上，要從各個層次來建立標準體系。

層域劃分：將工控系統(tǒng)按功能劃分層次，按工藝劃分區(qū)域；

要求映射：將技術要求與管理要求映射到不同的層域；

定性定量：安全等級、量化風險評估結果等；

標準體系：

領域：適應工控系統(tǒng)所有應用領域；

層次：現(xiàn)場設備層到MES層；

系統(tǒng)：產(chǎn)品全生命周期；

結語：

工控信息安全是一項長期而艱巨的任務，需要各個領域的專家共同努力，建立政策+管理+技術的模式，逐步實現(xiàn)工控信息安全從防護到自主安全的跨越。