工控网首页
>

新闻中心

>

业界动态

>

NIST发布新标准对工控系统安全影响

NIST发布新标准对工控系统安全影响

2014/9/15 15:40:48

棱镜门事件后,信息安全一再触动国家信息安全的敏感神经。而作为国家关键基础设施的神经中枢,工业控制系统的信息安全问题被一波又一波的黑客攻击事件推到一个新的高度。今年2月,美国国家标准和技术研究院(NIST)发布了《增强关键基础设施网络安全的框架规范》(以下简称《规范》)第1版。这是棱镜门事件后美国政府首次对国家关键基础设施提出安全标准,也是奥巴马政府2013年启动保护关键基础设施信息安全战略以来的第一个基础性框架文件。

《规范》以业务驱动指导网络安全行动,将网络安全风险纳入到企业风险管理程序当中。《规范》核心包括识别、保护、检测、响应和恢复五项功能,提供全生命周期的网络安全风险管理战略。

在实施层,《规范》将网络安全风险管理能力分为部分实施、风险告知、可重复和自适应四个级别。在内容安排上,《规范》按照功能、类和子类的顺序展开,并为每个子类提供了与之对应的标准、指南和最佳实践等资料性参考文献。

《规范》索引了6部标准、指南和实践,其中,与工控信息安全直接相关的有两部,分别是ANSI/ISA-62443-2-199.02.01-2009《工业自动化和控制系统安全:建立工业自动化和控制系统安全计划》和ANSI/ISA-62443-3-399.03.03-2013《工业自动化和控制系统安全:系统安全要求和安全等级》。

近年来,美国ICS-CERT接到的工控系统漏洞上报数量持续增加,从2010年的41个上升到了2013年的181个。其中,2013181个漏洞报告中有177个被确认为是真实的工控系统漏洞,87%的漏洞可通过网络远程被操作利用。

《规范》的发布无疑代表了关键基础设施网络安全特别是工控系统安全标准的走向。特别是信息化与工业化深度融合,物联网云计算产业的蓬勃发展,工业控制系统产品越来越多地采用通用协议、通用硬件和通用软件,并以各种方式与互联网等公共网络连接。《规范》亦是针对这一趋势制定了统一的、涵盖传统信息系统与工控系统的网络安全标准。

工业互联时代已到来,但因各国调整信息安全战略导致的全球性“贸易技术壁垒”却难以回避。中国正在加速研发制造自主可控的工控信息安全国产替代产品。目前,青岛海天炜业、北京东土科技、深圳三旺通信、中科网威、上海三零卫士、匡恩网络等工业控制系统供应商与通信安全设备提供商在为用户提供各具特色的工控信息安全产品及解决方案。

gongkong市场研究部研究分析,2008年到2013年,中国信息安全相关市场规模增长率一直维持在18%以上,2013年约为194亿元。相比之下,工业控制系统信息安全市场正处于导入期,当前市场规模不到2亿元。从行业应用角度分析,油气、石化、化工、电力、冶金、烟草为工业控制系统信息安全的核心应用行业,其它行业规模相对较小。工业控制系统信息安全涉及的硬件、软件、安全服务三大类市场中,大部分细分市场的相关信息安全服务还处于空白阶段,未来有很大发展空间和广阔前景。(GK-zly

投诉建议

提交

查看更多评论
其他资讯

查看更多

直播定档!见证西门子与中科摩通联手打造汽车电子智能制造新范式

重磅议程抢先看|揭秘行业热点,引领技术潮流

光亚论坛·2024 智能产业聚合高峰论坛举办!

新讯受邀参加华为Redcap产业峰会,并荣获RedCap生态合作奖!

2024年斯凯孚创新峰会暨新产品发布会召开,以创新产品矩阵重构旋转