自从2010年震网事件爆发之后,世界各国对自动化工业控制系统的安全问题的关注被提升到一个新的高度。在政策、标准、技术、方案等方面展开了积极应对。自动化工业控制系统安全也成为备受工业和信息安全领域研究机构关注的研究热点。作为信息产业发展的领导者,美国很早就十分重视工控系统的信息安全。2003年将其视为国家安全优先事项;2008年则将其列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。同年,在CERT组织下面成立工业控制系统网络应急响应小组(ICS-CERT),专注于工业控制系统相关的安全事故监控、分析执行漏洞和恶意代码、为事故响应和取证分析提供现场支持;通过信息产品、安全通告以及漏洞及威胁信息的共享提供工业控制系统安全事件监控及行业安全态势分析,并以季度报告的方式公开发布。
在工控安全的国际标准研究方面,美国国家标准与技术研究院、能源局则分别发布了《工业控制系统安全指南》(SP800-82。2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控系统的安全建设标准指南或最佳实践文档。除了美国NIST的NIST800-82之外,IEC62443标准也是工控安全研究者最为关注的工控安全标准,需要与NIST800-82的内容相对照,并结合企业自身的业务特点进行综合考虑的基础上,制定工控企业实用的工控安全防护方案。
针对国外传统信息安全厂商赛门铁克、MCAFEE、思科以及传统工控厂商罗克韦尔、通用电气以及一些新兴的专业工控安全厂商在工控系统的安全防护及产品服务提供方面也都展开了深入研究、实践及产业化工作,并总体上处于领先的地位。在欧洲则以德国西门子、法国施耐德电气为代表的工业控制系统提供商为主,为用户提供相应的安全产品、服务及相应的解决方案。
在专业的工控安全厂商方面,加拿大Tofino(多芬诺)公司曾以其业内著名的工控系统防火墙成为业内领先的工控系统安全的专业厂商,其产品在石化等多个行业应用广泛。Codenomicon(科诺康) 公司则以其用于漏洞发现的fuzzing 测试工具而在工控系统安全领域拥有重要的地位。此外,还有一些开源组织提供相应的工控安全工具,例如Nessue,它分为专业版(收费)和免费评估测试版,其专业版利用相应的工控系统安全插件,对SCADA系统或PLC的控制设备的脆弱性进行检测评估。
自2011年工信部451号文发布之后,国内各行各业都对工控系统安全的认识达到了一个新的高度,电力、石化、制造、烟草等多个行业进行工控安全建设调研、研究,积极进行安全建设的示范试点。
为更好地推动工控安全建设的落地,在工信部、公安部等国家部委以及各行业主管机构,从顶层牵头或主导制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作。
1.政策法规方面如:
● 工信部关于工控安全的451号文
● 电监会的《电力二次系统安全防护规定》
● 电监会2013年50号文,《电力工控信息安全专项监管工作方案》
● 国家烟草局《烟草工业企业生产区与管理区网络互联安全规范》
等等。
2.标准草案方面如:
这两年在信安标委的指导下,正在草拟的工控安全相关标准主要包括:
●《信息安全技术 工业控制系统安全管理基本要求》
●《安全可控信息系统 (电力系统)安全指标体系》
●《信息安全技术 工业控制系统信息安全检查指南》
●《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》
●《信息安全技术 工业控制系统信息安全分级规范》
●《信息安全技术 工业控制系统测控终端安全要求》
另外,其他主管部门牵头制定的标准还有:
●《工业控制系统信息安全等级保护设计技术指南》
等等。
近几年,国内出现了一些以联盟、协会、学会等名义组建的组织,组织展会、论坛、峰会、调研、研讨、示范项目等活动形式进行运作。如“工业控制系统信息安全产业联盟”、“中国仪器仪表协会”、“中国控制网自动化博览”、“边缘计算产业联盟”、“物联网产业联盟”等等,以为搭建政府、用户、企业、科院院校等各方交流平台,更好地推动各行业企业工控安全建设,保障关键基础设施安全稳定运行为方向。
如: “工业控制系统信息安全产业联盟”是2014年4月17日由中国24家单位共同发起,以“搭建政府、用户、企业、科研院所、大专院校之间的交流平台,发挥纽带与桥梁作用,共同推进我国工业控制系统信息安全产业发展,保障关键基础设施安全稳定运行,支撑中国工业健康可持续发展”为宗旨,致力于为我国工业控制系统信息安全在体系建设、等级保护、风险评估、标准制定、产品开发和评测等方面迅速有效地取得积极成效而搭建一个交流平台。
Copyright © 启明星辰 版权所有 京ICP备05032414号 
京公网安备11010802024551号
