专家解读|工控信息安全标准体系介绍
发言人:机械工业仪器仪表综合技术经济研究所(ITEI),全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124),赵艳领博士
(本文根据作者在2016世界互联网工业大会“智能制造工控信息安全”论坛的发言摘录整理)
什么是工业控制系统?
要谈论工控信息安全,我们首先要明白,什么是工业控制系统。
工业控制系统(GB/T 30976)是指对工业生产过程安全(safety)、信息安全(security)和可靠运行产生作用和影响的人员、硬件和软件的集合。
工业控制系统包括但不限于:
1) 工业控制系统包括分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统,运动控制(MC)系统、网络电子传感和控制,监视和诊断系统。(在本标准中,不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS))
2)相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统。
3)相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。
工业控制系统信息安全已经成为全世界共同关注的大命题
信息化程度越来越高,信息安全问题成为企业开展远程维护、管控一体化等工作的主要障碍之一。很多工业控制系统设计之初侧重可用性和实时性,忽略了系统架构上的信息安全,随着互联网的不断发展,很多系统越来越需要互联互通,标准开放的通信协议及软硬件系统的采用,以及与其他网络的互联打破了系统原有的相对封闭性,系统面临各种信息安全攻击。近年来,安全事件和公开漏洞都呈快速增长趋势。工控信息安全引起全世界的重视。
习近平主席说过:“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络要发展,更要安全,国家政府现在对网络安全非常重视,已经将网络安全上升到主权的层次。
国际工控系统安全行业发展情况
就美国来说,2003年将工控系统安全视为国家安全优先事项,2008年将其列入国家需重点保护的关键基础设施,2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业;2009年成立ICS-CERT,Industrial Control Systems Cyber Emergency Response Team,隶属美国国土部,专注于工控系统相关的安全事故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持,美国国土安全部(DHS)启动控制系统安全计划(CSSP),美国国家标准与技术研究院、能源局分别发布了《工业控制系统安全指南》(SP800-82)[NIST]、《改进SCADA网络安全的21项措施》。
在欧洲,主流控制系统制造商西门子及施耐德均为用户提供相应的安全产品、服务及解决方案,西门子建有工控安全实验室。
在中国,工控信息安全问题也已经引起各个行业的高度重视,例如,工信部发布了关于工控安全的451号文,电监会制定了《电力二次系统安全防护规定》,《电力工控信息安全专项监管工作方案》,国家烟草局制定了《烟草工业企业生产区与管理区网络互联安全规范》等。
工控信息安全标准现状
国际工控信息安全标准现状:
国际上的工控信息安全标准和相关机构有很多, IEC 62443/ISA-99等都是美国TEC和ISA做的标准,其他国家有诸如NIST: SP800-82《工业控制系统信息安全指南》、WIB M2784《过程控制领域中对供应商的信息安全要求》等,其中有很多在我们国家也有使用。以IEC 62443/ISA-99标准为例,工控信息安全标准体系主要包含四块内容,一部分侧重基础,一部分针对管理,一部分是针对中控和集成商,一部分针对设备制造商。
现在还有一个趋势,功能安全和信息安全的融合和互相影响,针对这一问题,国际上一些机构做了很多工作。
在工控信息行业标准方面,我国已发布国家标准(2项),行业标准(3项),国家计划标准项目6项,智能制造与工控信息安全方向上,《数字化车间信息安全要求》、《数字化车间功能安全要求》,《安全一体化设计》、《安全一体化运行管理》等标准正在制定当中。
工控信息安全标准
工控信息安全标准化建设
工控信息安全具有很强的动态性,在标准化的制定上,要从各个层次来建立标准体系。
层域划分:将工控系统按功能划分层次,按工艺划分区域;
要求映射:将技术要求与管理要求映射到不同的层域;
定性定量:安全等级、量化风险评估结果等;
标准体系:
领域:适应工控系统所有应用领域;
层次:现场设备层到MES层;
系统:产品全生命周期;
结语:
工控信息安全是一项长期而艰巨的任务,需要各个领域的专家共同努力,建立政策+管理+技术的模式,逐步实现工控信息安全从防护到自主安全的跨越。
提交
中国化学品安全协会关于举办第六期安全仪表系统功能安全培训班的通知
海天炜业顺利完成山东某石化2017年控制系统检修工作
典型案例 | 海天炜业为某煤化工企业排除运行故障
海天炜业Guard工业防火墙保障江苏某石化工控网络安全
中国特检院“石油化工装置维护保运工程师(控制系统)培训班”在海天炜业开班