发言人:机械工业仪器仪表综合技术经济研究所(ITEI),全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124),赵艳领博士
(本文根据作者在2016世界互联网工业大会“智能制造工控信息安全”论坛的发言摘录整理)
什么是工业控制系统?
要谈论工控信息安全,我们首先要明白,什么是工业控制系统。
工业控制系统(GB/T 30976)是指对工业生产过程安全(safety)、信息安全(security)和可靠运行产生作用和影响的人员、硬件和软件的集合。
工业控制系统包括但不限于:
1) 工业控制系统包括分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统,运动控制(MC)系统、网络电子传感和控制,监视和诊断系统。(在本标准中,不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS))
2)相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统。
3)相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。
工业控制系统信息安全已经成为全世界共同关注的大命题
信息化程度越来越高,信息安全问题成为企业开展远程维护、管控一体化等工作的主要障碍之一。很多工业控制系统设计之初侧重可用性和实时性,忽略了系统架构上的信息安全,随着互联网的不断发展,很多系统越来越需要互联互通,标准开放的通信协议及软硬件系统的采用,以及与其他网络的互联打破了系统原有的相对封闭性,系统面临各种信息安全攻击。近年来,安全事件和公开漏洞都呈快速增长趋势。工控信息安全引起全世界的重视。
习近平主席说过:“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络要发展,更要安全,国家政府现在对网络安全非常重视,已经将网络安全上升到主权的层次。
国际工控系统安全行业发展情况
就美国来说,2003年将工控系统安全视为国家安全优先事项,2008年将其列入国家需重点保护的关键基础设施,2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业;2009年成立ICS-CERT,Industrial Control Systems Cyber Emergency Response Team,隶属美国国土部,专注于工控系统相关的安全事故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持,美国国土安全部(DHS)启动控制系统安全计划(CSSP),美国国家标准与技术研究院、能源局分别发布了《工业控制系统安全指南》(SP800-82)[NIST]、《改进SCADA网络安全的21项措施》。
在欧洲,主流控制系统制造商西门子及施耐德均为用户提供相应的安全产品、服务及解决方案,西门子建有工控安全实验室。
在中国,工控信息安全问题也已经引起各个行业的高度重视,例如,工信部发布了关于工控安全的451号文,电监会制定了《电力二次系统安全防护规定》,《电力工控信息安全专项监管工作方案》,国家烟草局制定了《烟草工业企业生产区与管理区网络互联安全规范》等。
工控信息安全标准现状
国际工控信息安全标准现状:
国际上的工控信息安全标准和相关机构有很多, IEC 62443/ISA-99等都是美国TEC和ISA做的标准,其他国家有诸如NIST: SP800-82《工业控制系统信息安全指南》、WIB M2784《过程控制领域中对供应商的信息安全要求》等,其中有很多在我们国家也有使用。以IEC 62443/ISA-99标准为例,工控信息安全标准体系主要包含四块内容,一部分侧重基础,一部分针对管理,一部分是针对中控和集成商,一部分针对设备制造商。
现在还有一个趋势,功能安全和信息安全的融合和互相影响,针对这一问题,国际上一些机构做了很多工作。
在工控信息行业标准方面,我国已发布国家标准(2项),行业标准(3项),国家计划标准项目6项,智能制造与工控信息安全方向上,《数字化车间信息安全要求》、《数字化车间功能安全要求》,《安全一体化设计》、《安全一体化运行管理》等标准正在制定当中。
工控信息安全标准
工控信息安全标准化建设
工控信息安全具有很强的动态性,在标准化的制定上,要从各个层次来建立标准体系。
层域划分:将工控系统按功能划分层次,按工艺划分区域;
要求映射:将技术要求与管理要求映射到不同的层域;
定性定量:安全等级、量化风险评估结果等;
标准体系:
领域:适应工控系统所有应用领域;
层次:现场设备层到MES层;
系统:产品全生命周期;
结语:
工控信息安全是一项长期而艰巨的任务,需要各个领域的专家共同努力,建立政策+管理+技术的模式,逐步实现工控信息安全从防护到自主安全的跨越。
