對(duì)于工業(yè)控制系統(tǒng)這樣一個(gè)集信息技術(shù)與工業(yè)自動(dòng)化控制技術(shù)于一體的新興領(lǐng)域，系統(tǒng)的頂層設(shè)計(jì)就顯得格外關(guān)鍵。已發(fā)布或計(jì)劃發(fā)布、制定中的相關(guān)標(biāo)準(zhǔn)，便是其中的重要基石。

2014年12月，針對(duì)工控信息安全領(lǐng)域的推薦性國(guó)家標(biāo)準(zhǔn)GB/T30976.1～.2-2014《工業(yè)控制系統(tǒng)信息安全》“評(píng)估規(guī)范”、“驗(yàn)收規(guī)范”發(fā)布，填補(bǔ)了行業(yè)標(biāo)準(zhǔn)空白，使工控系統(tǒng)和產(chǎn)品在安全評(píng)估和驗(yàn)收方面有據(jù)可依。盡管工控信息安全還處于起步階段，在政府和各方的助推下，我國(guó)的工控信息安全標(biāo)準(zhǔn)正逐步發(fā)展起來(lái)。

工控信息安全發(fā)展現(xiàn)狀

我國(guó)現(xiàn)有的工控系統(tǒng)在設(shè)計(jì)之初，并未考慮工控系統(tǒng)信息安全的防護(hù)。傳統(tǒng)工控系統(tǒng)信息安全防護(hù)基本靠物理隔離來(lái)實(shí)現(xiàn)。隨著“工業(yè)4.0”與“兩化融合”的進(jìn)程推進(jìn)，工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)互聯(lián)融通，在大大提高生產(chǎn)效率和領(lǐng)導(dǎo)決策能力的同時(shí)，大量網(wǎng)絡(luò)安全隱患被帶入原本封閉的、閉環(huán)狀態(tài)的工業(yè)控制網(wǎng)絡(luò)，物理隔離的辦法已無(wú)法滿足當(dāng)下工控信息安全發(fā)展的需求。

雖然目前信息安全技術(shù)發(fā)展已較為成熟，因工控系統(tǒng)廣泛應(yīng)用于與國(guó)計(jì)民生相關(guān)行業(yè)的基礎(chǔ)設(shè)施中，應(yīng)用群體、應(yīng)用環(huán)境、應(yīng)用需求上的差異，以及它的復(fù)雜性、獨(dú)特性決定了傳統(tǒng)信息安全技術(shù)不能有效防護(hù)工控系統(tǒng)安全。目前，行業(yè)現(xiàn)狀是工控系統(tǒng)自身安全防護(hù)較為脆弱，傳統(tǒng)信息安全技術(shù)無(wú)法有效防御針對(duì)工控領(lǐng)域的網(wǎng)絡(luò)攻擊，百花齊放的、現(xiàn)有的攻防產(chǎn)品和解決方案仍需現(xiàn)實(shí)的磨礪。

工控網(wǎng)絡(luò)安全絕非是簡(jiǎn)單的信息安全技術(shù)的一個(gè)小分支，它更像是一個(gè)集成了信息安全技術(shù)與工業(yè)自動(dòng)化控制技術(shù)的更復(fù)雜的跨領(lǐng)域新興學(xué)科。伴隨著信息化浪潮涌現(xiàn)的工控信息安全，大多數(shù)人對(duì)它還較為陌生，關(guān)于它的發(fā)展與規(guī)劃也處于“摸著石頭過(guò)河”的階段。相較而言，美國(guó)起步較早。我國(guó)自2011年起，也開(kāi)始發(fā)力工控信息安全，并將其列入國(guó)家發(fā)展的戰(zhàn)略中。我國(guó)的工控信息安全仍處于起步階段，在政策與各方的積極推動(dòng)下，正逐步發(fā)展起來(lái)。

產(chǎn)業(yè)發(fā)展的分水嶺

2011年，是中國(guó)工控信息安全發(fā)展史上的分水嶺。工信部于當(dāng)年發(fā)布的工信部協(xié)〔2011〕451號(hào)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》明確了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性、具體管理要求以及制度的建設(shè)、組織領(lǐng)導(dǎo)方面的迫切需要，從多方面提出對(duì)工業(yè)控制系統(tǒng)的信息安全管理要求。

產(chǎn)業(yè)發(fā)展的新紀(jì)元

2014年12月，推薦性國(guó)家標(biāo)準(zhǔn)GB/T30976.1～.2-2014《工業(yè)控制系統(tǒng)信息安全》的發(fā)布，定義了國(guó)內(nèi)工業(yè)控制系統(tǒng)安全評(píng)估規(guī)范和驗(yàn)收規(guī)范要求。除此外，與工控信息安全相關(guān)國(guó)標(biāo)和具體行標(biāo)也在醞釀制定中，工控系統(tǒng)信息安全的頂層設(shè)計(jì)也日漸清晰，行業(yè)標(biāo)準(zhǔn)驗(yàn)證手段和工具、工業(yè)控制安全防護(hù)檢測(cè)方法也將日漸完善。

他山之石

在工控系統(tǒng)安全產(chǎn)業(yè)化、體系化發(fā)展上，美國(guó)起步較早。早在2003年，在中國(guó)信息安全技術(shù)起步之時(shí)，美國(guó)已將工控系統(tǒng)安全視為國(guó)家安全優(yōu)先事項(xiàng)；2008年則將其列入國(guó)家需重點(diǎn)保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施范疇。2009年頒布《保護(hù)工業(yè)控制系統(tǒng)戰(zhàn)略》，涵蓋能源、電力、交通等14個(gè)行業(yè)工控系統(tǒng)的安全。同年，成立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急相應(yīng)小組(ICS-CERT)。并組織發(fā)布《工業(yè)控制系統(tǒng)安全指南》(SP800-82。2013年推出最新修訂版本)[NIST]、《改進(jìn)SCADA網(wǎng)絡(luò)安全的21項(xiàng)措施》等相關(guān)的工控系統(tǒng)的安全建設(shè)標(biāo)準(zhǔn)指南或最佳實(shí)踐文檔。

現(xiàn)行已發(fā)布的國(guó)標(biāo)、行標(biāo)

自工信部451號(hào)文發(fā)布之后，國(guó)內(nèi)各行各業(yè)對(duì)工控信息安全的認(rèn)知度和重視程度不斷提升，電力、石化、制造、煙草等多個(gè)行業(yè)，陸續(xù)制定了相應(yīng)的指導(dǎo)性文件，來(lái)指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動(dòng)。國(guó)家標(biāo)準(zhǔn)相關(guān)的組織TC260、TC124等標(biāo)準(zhǔn)組也已經(jīng)啟動(dòng)了相應(yīng)標(biāo)準(zhǔn)的研究制定工作。

截止目前，發(fā)布相關(guān)標(biāo)準(zhǔn)如下：

TC124:

GB/T26333-2010 工業(yè)控制網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T30976-2014 工業(yè)控制系統(tǒng)信息安全

第1部分：評(píng)估規(guī)范

第2部分：驗(yàn)收規(guī)范

TC82：

《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第1部分：通信網(wǎng)絡(luò)和系統(tǒng)安全安全問(wèn)題介紹》(GB/Z25320.1-2010)

《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第3部分：通信網(wǎng)絡(luò)和系統(tǒng)安全包括TCP/IP的協(xié)議集》(GB/Z25320.3-2010)

《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第4部分：包含MMS的協(xié)議集》(GB/Z25320.4-2010)

《電力系統(tǒng)管理及其信息交換數(shù)據(jù)和通信安全第6部分：IEC61850的安全》(GB/Z25320.6-2011)

工控安全始于行標(biāo)、體系的完善

隨著“互聯(lián)網(wǎng)+”計(jì)劃的提速，我國(guó)工控系統(tǒng)信息安全也將乘勢(shì)蓬勃發(fā)展，工控安全標(biāo)準(zhǔn)體系也正在日臻完善。在相關(guān)國(guó)標(biāo)發(fā)布后，工控信息安全其他標(biāo)準(zhǔn)仍在醞釀、制定之中，行業(yè)標(biāo)準(zhǔn)驗(yàn)證手段和工具，及有效的工控安全防護(hù)檢測(cè)方法也在不斷完善中。

就目前而言，工業(yè)控制系統(tǒng)還在延用傳統(tǒng)IT領(lǐng)域的標(biāo)準(zhǔn)。傳統(tǒng)信息安全領(lǐng)域和傳統(tǒng)工業(yè)控制系統(tǒng)，兩者網(wǎng)絡(luò)協(xié)議應(yīng)用不同、整體建設(shè)體系方法論不同、評(píng)估目標(biāo)、評(píng)估環(huán)境限制、評(píng)估手段均存在差異。工控網(wǎng)絡(luò)系統(tǒng)因其獨(dú)特性和復(fù)雜性，傳統(tǒng)信息安全的防護(hù)方法不適用于工控領(lǐng)域。因此，匡恩網(wǎng)絡(luò)主張建筑物理隔離的基礎(chǔ)上，加入工業(yè)控制網(wǎng)絡(luò)安全監(jiān)測(cè)平臺(tái)，參照具體行業(yè)標(biāo)準(zhǔn)、規(guī)范，形成從點(diǎn)到面、從被動(dòng)防護(hù)到主動(dòng)防御的防護(hù)、評(píng)估驗(yàn)證體系。

評(píng)估工控網(wǎng)絡(luò)安全防護(hù)能力首先要從結(jié)構(gòu)安全入手，并且針對(duì)在裝系統(tǒng)的特殊性，提供創(chuàng)造性的全桟解決方案。再通過(guò)對(duì)設(shè)備本體安全性評(píng)估、網(wǎng)絡(luò)行為安全性評(píng)估、工控網(wǎng)絡(luò)安全的可持續(xù)性評(píng)估建立工控信息安全標(biāo)準(zhǔn)驗(yàn)證和評(píng)估機(jī)制，從而形成主動(dòng)、有效的綜合防御體系。