标准化工作保障工控信息安全

   日期:2015-08-03     评论:0    
核心提示:工控网络安全绝非是简单的信息安全技术的一个小分支,它更像是一个集成了信息安全技术与工业自动化控制技术的更复杂的跨领域新兴学科。伴随着信息化浪潮涌现的工控信息安全,大多数人对它还较为陌生,关于它的发展与规划也处于“摸着石头过河”的阶段。

在中国制造2025发布的大时代背景下,随着工业自动化领域的发展和延伸,业内对于工控信息安全的重视程度与日俱增。针对工控信息安全领域的推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》“评估规范”、“验收规范”的发布,填补了行业标准空白,使工控系统和产品在安全评估和验收方面有据可依。尽管工控信息安全还处于起步阶段,在政府和各方的助推下,我国的工控信息安全标准正逐步发展起来。

我国现有的工控系统在设计之初,并未考虑工控系统信息安全的防护。传统工控系统信息安全防护基本靠物理隔离来实现。随着“工业4.0”与“两化融合”的进程推进,工业控制系统与传统信息系统互联融通,在大大提高生产效率和领导决策能力的同时,大量网络安全隐患被带入原本封闭的、闭环状态的工业控制网络,物理隔离的办法已无法满足当下工控信息安全发展的需求。

虽然目前信息安全技术发展已较为成熟,因工控系统广泛应用于与国计民生相关行业的基础设施中,应用群体、应用环境、应用需求上的差异,以及它的复杂性、独特性决定了传统信息安全技术不能有效防护工控系统安全。目前,行业现状是工控系统自身安全防护较为脆弱,传统信息安全技术无法有效防御针对工控领域的网络攻击,百花齐放的、现有的攻防产品和解决方案仍需现实的磨砺。

工控网络安全绝非是简单的信息安全技术的一个小分支,它更像是一个集成了信息安全技术与工业自动化控制技术的更复杂的跨领域新兴学科。伴随着信息化浪潮涌现的工控信息安全,大多数人对它还较为陌生,关于它的发展与规划也处于“摸着石头过河”的阶段。相较而言,美国起步较早。我国自2011年起,也开始发力工控信息安全,并将其列入国家发展的战略中。我国的工控信息安全仍处于起步阶段,在政策与各方的积极推动下,正逐步发展起来。

2011年,是中国工控信息安全发展史上的分水岭。工信部于当年发布的工信部协〔2011〕451号文《关于加强工业控制系统信息安全管理的通知》明确了加强工业控制系统信息安全管理的重要性和紧迫性、具体管理要求以及制度的建设、组织领导方面的迫切需要,从多方面提出对工业控制系统的信息安全管理要求。

2014年12月,推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》的发布,定义了国内工业控制系统安全评估规范和验收规范要求。除此外,与工控信息安全相关国标和具体行标也在酝酿制定中,工控系统信息安全的顶层设计也日渐清晰,行业标准验证手段和工具、工业控制安全防护检测方法也将日渐完善。

在工控系统安全产业化、体系化发展上,美国起步较早。早在2003年,在中国信息安全技术起步之时,美国已将工控系统安全视为国家安全优先事项;2008年则将其列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。同年,成立工业控制系统网络应急相应小组(ICS-CERT)。并组织发布《工业控制系统安全指南》(SP800-82。2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控系统的安全建设标准指南或最佳实践文档。

自工信部451号文发布之后,国内各行各业对工控信息安全的认知度和重视程度不断提升,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作。

随着“互联网+”计划的提速,我国工控系统信息安全也将乘势蓬勃发展,工控安全标准体系也正在日臻完善。在相关国标发布后,工控信息安全其他标准仍在酝酿、制定之中,行业标准验证手段和工具,及有效的工控安全防护检测方法也在不断完善中。

就目前而言,工业控制系统还在延用传统IT领域的标准。传统信息安全领域和传统工业控制系统,两者网络协议应用不同、整体建设体系方法论不同、评估目标、评估环境限制、评估手段均存在差异。工控网络系统因其独特性和复杂性,传统信息安全的防护方法不适用于工控领域。因此,丰源金盛网络主张建筑物理隔离的基础上,加入工业控制网络安全监测平台,参照具体行业标准、规范,形成从点到面、从被动防护到主动防御的防护、评估验证体系。

评估工控网络安全防护能力首先要从结构安全入手,并且针对在装系统的特殊性,提供创造性的全桟解决方案。再通过对设备本体安全性评估、网络行为安全性评估、工控网络安全的可持续性评估建立工控信息安全标准验证和评估机制,从而形成主动、有效的综合防御体系。

 
标签: 工控 信息
  
  
  
  
 
更多>同类资讯
0相关评论
 
全年征稿 / 资讯合作
 
 
 
推荐资讯
可能喜欢