当前位置:工控会员企业> 首页 >新闻中心>专家解读|工控信息安全标准体系介绍

海天炜业用户评论

用户评级:

口碑:59

人气:287247

收藏:2

海天炜业联系我们

名称:青岛海天炜业过程控制技术股份有限公司

地址:青岛市海尔路182-6号财富大厦20层

邮编:266101

电话:+8653288916760

传真:0532-88916272

网址:http://www.mosesceo.com

Email:service@mosesceo.com

在线反馈

本网站信息涉及广告内容!

 

专家解读|工控信息安全标准体系介绍

发言人:机械工业仪器仪表综合技术经济研究所(ITEI),全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124),赵艳领博士

(本文根据作者在2016世界互联网工业大会“智能制造工控信息安全”论坛的发言摘录整理)

什么是工业控制系统?

要谈论工控信息安全,我们首先要明白,什么是工业控制系统。

工业控制系统(GB/T 30976)是指对工业生产过程安全(safety)、信息安全(security)和可靠运行产生作用和影响的人员、硬件和软件的集合。

工业控制系统包括但不限于:

1) 工业控制系统包括分布式控制系统(DCS)、可编程逻辑控制器(PLC)、智能电子设备(IED)、监视控制与数据采集(SCADA)系统,运动控制(MC)系统、网络电子传感和控制,监视和诊断系统。(在本标准中,不论物理上是分开的还是集成的,过程控制系统(PCS)包括基本过程控制系统和安全仪表系统(SIS))

2)相关的信息系统,例如先进控制或者多变量控制、在线优化器、专用设备监视器、图形界面、过程历史记录、制造执行系统(MES)和企业资源计划(ERP)管理系统。

3)相关的部门、人员、网络或机器接口,为连续的、批处理、离散的和其他过程提供控制、安全和制造操作功能。

工业控制系统信息安全已经成为全世界共同关注的大命题

信息化程度越来越高,信息安全问题成为企业开展远程维护、管控一体化等工作的主要障碍之一。很多工业控制系统设计之初侧重可用性和实时性,忽略了系统架构上的信息安全,随着互联网的不断发展,很多系统越来越需要互联互通,标准开放的通信协议及软硬件系统的采用,以及与其他网络的互联打破了系统原有的相对封闭性,系统面临各种信息安全攻击。近年来,安全事件和公开漏洞都呈快速增长趋势。工控信息安全引起全世界的重视。

习近平主席说过:“没有网络安全就没有国家安全,没有信息化就没有现代化。”网络要发展,更要安全,国家政府现在对网络安全非常重视,已经将网络安全上升到主权的层次。

国际工控系统安全行业发展情况

就美国来说,2003年将工控系统安全视为国家安全优先事项,2008年将其列入国家需重点保护的关键基础设施,2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业;2009年成立ICS-CERT,Industrial Control Systems Cyber Emergency Response Team,隶属美国国土部,专注于工控系统相关的安全事故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持,美国国土安全部(DHS)启动控制系统安全计划(CSSP),美国国家标准与技术研究院、能源局分别发布了《工业控制系统安全指南》(SP800-82)[NIST]、《改进SCADA网络安全的21项措施》。

在欧洲,主流控制系统制造商西门子及施耐德均为用户提供相应的安全产品、服务及解决方案,西门子建有工控安全实验室。

在中国,工控信息安全问题也已经引起各个行业的高度重视,例如,工信部发布了关于工控安全的451号文,电监会制定了《电力二次系统安全防护规定》,《电力工控信息安全专项监管工作方案》,国家烟草局制定了《烟草工业企业生产区与管理区网络互联安全规范》等。

工控信息安全标准现状

国际工控信息安全标准现状:

国际上的工控信息安全标准和相关机构有很多, IEC 62443/ISA-99等都是美国TEC和ISA做的标准,其他国家有诸如NIST: SP800-82《工业控制系统信息安全指南》、WIB M2784《过程控制领域中对供应商的信息安全要求》等,其中有很多在我们国家也有使用。以IEC 62443/ISA-99标准为例,工控信息安全标准体系主要包含四块内容,一部分侧重基础,一部分针对管理,一部分是针对中控和集成商,一部分针对设备制造商。

现在还有一个趋势,功能安全和信息安全的融合和互相影响,针对这一问题,国际上一些机构做了很多工作。

在工控信息行业标准方面,我国已发布国家标准(2项),行业标准(3项),国家计划标准项目6项,智能制造与工控信息安全方向上,《数字化车间信息安全要求》、《数字化车间功能安全要求》,《安全一体化设计》、《安全一体化运行管理》等标准正在制定当中。

工控信息安全标准

工控信息安全标准化建设

工控信息安全具有很强的动态性,在标准化的制定上,要从各个层次来建立标准体系。


层域划分:将工控系统按功能划分层次,按工艺划分区域;

要求映射:将技术要求与管理要求映射到不同的层域;

定性定量:安全等级、量化风险评估结果等;

标准体系:

领域:适应工控系统所有应用领域;

层次:现场设备层到MES层;

系统:产品全生命周期;

结语:

工控信息安全是一项长期而艰巨的任务,需要各个领域的专家共同努力,建立政策+管理+技术的模式,逐步实现工控信息安全从防护到自主安全的跨越。

发布时间:2016年10月27日 11:24 人气: 审核编辑:郑益文

我来评价

评价:
一般