9月24日,2014中國互聯網安全大會(ISC)在京舉行。在下午召開的“工控(ICS)安全論壇”上,來自機械工業儀器儀表綜合技術經濟研究所的安全專家歐陽勁松,發表了名為《工控信息安全—國際標準概況及我國的體系建設》的主題演講。在演講過程中,歐陽勁松詳細介紹了國內工業控制領域面臨的技術問題,以及信息安全標準制情況,并介紹了工控信息安全的改進建議。
圖: 機械工業儀器儀表綜合技術經濟研究所安全專家歐陽勁松
歐陽勁松認為,以智能制造為主導的第四次工業革命正在興起,而工業控制系統存在著信息安全的問題。尤其是近年來,國內外發生許多工業信息系統遭黑客入侵的事件,如2010年齊魯石化、2011年大慶石化煉油廠,某裝置控制系統分別感染Conficker蠕蟲病毒等,都造成控制系統服務器與控制器通訊不同程度地中斷,均造成了一定的損失,且產生惡劣影響。
據歐陽勁松介紹,工業安全涵蓋了已經非常成熟的物理安全、信息安全以及功能安全三方面。針對于信息安全,歐陽勁松進行了詳細解釋:“目前,國際上已制定了工控領域信息安全國際標準,國家及技術組織標準。”兩項標準分別由IEC/TC65/WG10與ISA99聯合工作組和ISA安全符合性研究院ISCI進行認證。
同時,歐陽勁松針對于工控信息安全領域的最新進展做了簡要介紹,在今年6月,國外建立了一個協調Safety和Security的特別工作組(AD-HOC Group),宗旨是提出建議和新項目提案。
而在信息安全標準體系方面,歐陽勁松表示,聯合相關標委會已制定11項國家/行業標準,初步建立了頂層設計、系統設計、產品設計領域三個層次系統標準體系,該體系適應工控系統所有應用領域,涉及現場設備層到MES層系統層次,產品全生命周期。
相較國際標準,我國也建立了相應的行業標準。目前,已發布2項國家標準,3項行業標準,國家標準計劃項目6項,對行規測試標準起到積極作用,結束了行業認證亂象。接下來,歐陽勁松又從管理等級、系統能力等級和信息安全等級三個方面,對我國工業控制領域信息安全標準制定情況和最新動態給予詳細講解。
“相比發達國家,我國工控信息仍面臨著安全防控意識不高、政策+管理+技術的模式不完善、測試技術和測試平臺缺乏、國外機構主導安全的評估項目少四大挑戰。”歐陽勁松總結道,我們必須深入研究我國工業控制系統的行業特點和需求,有針對性地制定相關行業信息安全保障應用行規。
歐陽勁松建議:首先要培育工控信息安全良好生態環境,切合實際的進行風險評估,同時切記泛信息安全化或極端信息安全化;其次,從國家安全的角度考慮,需要加快建立統一、協調、獨立的認證評估體系;中國的信息安全認證要具有自己的特點,不可能實現一個認證全球通行的行業標準。
