在中國制造2025發(fā)布的大時(shí)代背景下,隨著(zhù)工業(yè)自動(dòng)化領(lǐng)域的發(fā)展和延伸,業(yè)內對于工控信息安全的重視程度與日俱增。針對工控信息安全領(lǐng)域的推薦性國家標準GB/T30976.1~.2-2014《工業(yè)控制系統信息安全》“評估規范”、“驗收規范”的發(fā)布,填補了行業(yè)標準空白,使工控系統和產(chǎn)品在安全評估和驗收方面有據可依。盡管工控信息安全還處于起步階段,在政府和各方的助推下,我國的工控信息安全標準正逐步發(fā)展起來(lái)。
我國現有的工控系統在設計之初,并未考慮工控系統信息安全的防護。傳統工控系統信息安全防護基本靠物理隔離來(lái)實(shí)現。隨著(zhù)“工業(yè)4.0”與“兩化融合”的進(jìn)程推進(jìn),工業(yè)控制系統與傳統信息系統互聯(lián)融通,在大大提高生產(chǎn)效率和領(lǐng)導決策能力的同時(shí),大量網(wǎng)絡(luò )安全隱患被帶入原本封閉的、閉環(huán)狀態(tài)的工業(yè)控制網(wǎng)絡(luò ),物理隔離的辦法已無(wú)法滿(mǎn)足當下工控信息安全發(fā)展的需求。
雖然目前信息安全技術(shù)發(fā)展已較為成熟,因工控系統廣泛應用于與國計民生相關(guān)行業(yè)的基礎設施中,應用群體、應用環(huán)境、應用需求上的差異,以及它的復雜性、獨特性決定了傳統信息安全技術(shù)不能有效防護工控系統安全。目前,行業(yè)現狀是工控系統自身安全防護較為脆弱,傳統信息安全技術(shù)無(wú)法有效防御針對工控領(lǐng)域的網(wǎng)絡(luò )攻擊,百花齊放的、現有的攻防產(chǎn)品和解決方案仍需現實(shí)的磨礪。
工控網(wǎng)絡(luò )安全絕非是簡(jiǎn)單的信息安全技術(shù)的一個(gè)小分支,它更像是一個(gè)集成了信息安全技術(shù)與工業(yè)自動(dòng)化控制技術(shù)的更復雜的跨領(lǐng)域新興學(xué)科。伴隨著(zhù)信息化浪潮涌現的工控信息安全,大多數人對它還較為陌生,關(guān)于它的發(fā)展與規劃也處于“摸著(zhù)石頭過(guò)河”的階段。相較而言,美國起步較早。我國自2011年起,也開(kāi)始發(fā)力工控信息安全,并將其列入國家發(fā)展的戰略中。我國的工控信息安全仍處于起步階段,在政策與各方的積極推動(dòng)下,正逐步發(fā)展起來(lái)。
2011年,是中國工控信息安全發(fā)展史上的分水嶺。工信部于當年發(fā)布的工信部協(xié)〔2011〕451號文《關(guān)于加強工業(yè)控制系統信息安全管理的通知》明確了加強工業(yè)控制系統信息安全管理的重要性和緊迫性、具體管理要求以及制度的建設、組織領(lǐng)導方面的迫切需要,從多方面提出對工業(yè)控制系統的信息安全管理要求。
2014年12月,推薦性國家標準GB/T30976.1~.2-2014《工業(yè)控制系統信息安全》的發(fā)布,定義了國內工業(yè)控制系統安全評估規范和驗收規范要求。除此外,與工控信息安全相關(guān)國標和具體行標也在醞釀制定中,工控系統信息安全的頂層設計也日漸清晰,行業(yè)標準驗證手段和工具、工業(yè)控制安全防護檢測方法也將日漸完善。
在工控系統安全產(chǎn)業(yè)化、體系化發(fā)展上,美國起步較早。早在2003年,在中國信息安全技術(shù)起步之時(shí),美國已將工控系統安全視為國家安全優(yōu)先事項;2008年則將其列入國家需重點(diǎn)保護的關(guān)鍵基礎設施范疇。2009年頒布《保護工業(yè)控制系統戰略》,涵蓋能源、電力、交通等14個(gè)行業(yè)工控系統的安全。同年,成立工業(yè)控制系統網(wǎng)絡(luò )應急相應小組(ICS-CERT)。并組織發(fā)布《工業(yè)控制系統安全指南》(SP800-82。2013年推出最新修訂版本)[NIST]、《改進(jìn)SCADA網(wǎng)絡(luò )安全的21項措施》等相關(guān)的工控系統的安全建設標準指南或最佳實(shí)踐文檔。
自工信部451號文發(fā)布之后,國內各行各業(yè)對工控信息安全的認知度和重視程度不斷提升,電力、石化、制造、煙草等多個(gè)行業(yè),陸續制定了相應的指導性文件,來(lái)指導相應行業(yè)的安全檢查與整改活動(dòng)。國家標準相關(guān)的組織TC260、TC124等標準組也已經(jīng)啟動(dòng)了相應標準的研究制定工作。
隨著(zhù)“互聯(lián)網(wǎng)+”計劃的提速,我國工控系統信息安全也將乘勢蓬勃發(fā)展,工控安全標準體系也正在日臻完善。在相關(guān)國標發(fā)布后,工控信息安全其他標準仍在醞釀、制定之中,行業(yè)標準驗證手段和工具,及有效的工控安全防護檢測方法也在不斷完善中。
就目前而言,工業(yè)控制系統還在延用傳統IT領(lǐng)域的標準。傳統信息安全領(lǐng)域和傳統工業(yè)控制系統,兩者網(wǎng)絡(luò )協(xié)議應用不同、整體建設體系方法論不同、評估目標、評估環(huán)境限制、評估手段均存在差異。工控網(wǎng)絡(luò )系統因其獨特性和復雜性,傳統信息安全的防護方法不適用于工控領(lǐng)域。因此,豐源金盛網(wǎng)絡(luò )主張建筑物理隔離的基礎上,加入工業(yè)控制網(wǎng)絡(luò )安全監測平臺,參照具體行業(yè)標準、規范,形成從點(diǎn)到面、從被動(dòng)防護到主動(dòng)防御的防護、評估驗證體系。
評估工控網(wǎng)絡(luò )安全防護能力首先要從結構安全入手,并且針對在裝系統的特殊性,提供創(chuàng )造性的全桟解決方案。再通過(guò)對設備本體安全性評估、網(wǎng)絡(luò )行為安全性評估、工控網(wǎng)絡(luò )安全的可持續性評估建立工控信息安全標準驗證和評估機制,從而形成主動(dòng)、有效的綜合防御體系。