在中國制造2025發(fā)布的大時代背景下,隨著工業(yè)自動化領(lǐng)域的發(fā)展和延伸,業(yè)內(nèi)對于工控信息安全的重視程度與日俱增。針對工控信息安全領(lǐng)域的推薦性國家標準GB/T30976.1~.2-2014《工業(yè)控制系統(tǒng)信息安全》“評估規(guī)范”、“驗收規(guī)范”的發(fā)布,填補了行業(yè)標準空白,使工控系統(tǒng)和產(chǎn)品在安全評估和驗收方面有據(jù)可依。盡管工控信息安全還處于起步階段,在政府和各方的助推下,我國的工控信息安全標準正逐步發(fā)展起來。
我國現(xiàn)有的工控系統(tǒng)在設計之初,并未考慮工控系統(tǒng)信息安全的防護。傳統(tǒng)工控系統(tǒng)信息安全防護基本靠物理隔離來實現(xiàn)。隨著“工業(yè)4.0”與“兩化融合”的進程推進,工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)互聯(lián)融通,在大大提高生產(chǎn)效率和領(lǐng)導決策能力的同時,大量網(wǎng)絡安全隱患被帶入原本封閉的、閉環(huán)狀態(tài)的工業(yè)控制網(wǎng)絡,物理隔離的辦法已無法滿足當下工控信息安全發(fā)展的需求。
雖然目前信息安全技術(shù)發(fā)展已較為成熟,因工控系統(tǒng)廣泛應用于與國計民生相關(guān)行業(yè)的基礎(chǔ)設施中,應用群體、應用環(huán)境、應用需求上的差異,以及它的復雜性、獨特性決定了傳統(tǒng)信息安全技術(shù)不能有效防護工控系統(tǒng)安全。目前,行業(yè)現(xiàn)狀是工控系統(tǒng)自身安全防護較為脆弱,傳統(tǒng)信息安全技術(shù)無法有效防御針對工控領(lǐng)域的網(wǎng)絡攻擊,百花齊放的、現(xiàn)有的攻防產(chǎn)品和解決方案仍需現(xiàn)實的磨礪。
工控網(wǎng)絡安全絕非是簡單的信息安全技術(shù)的一個小分支,它更像是一個集成了信息安全技術(shù)與工業(yè)自動化控制技術(shù)的更復雜的跨領(lǐng)域新興學科。伴隨著信息化浪潮涌現(xiàn)的工控信息安全,大多數(shù)人對它還較為陌生,關(guān)于它的發(fā)展與規(guī)劃也處于“摸著石頭過河”的階段。相較而言,美國起步較早。我國自2011年起,也開始發(fā)力工控信息安全,并將其列入國家發(fā)展的戰(zhàn)略中。我國的工控信息安全仍處于起步階段,在政策與各方的積極推動下,正逐步發(fā)展起來。
2011年,是中國工控信息安全發(fā)展史上的分水嶺。工信部于當年發(fā)布的工信部協(xié)〔2011〕451號文《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》明確了加強工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性、具體管理要求以及制度的建設、組織領(lǐng)導方面的迫切需要,從多方面提出對工業(yè)控制系統(tǒng)的信息安全管理要求。
2014年12月,推薦性國家標準GB/T30976.1~.2-2014《工業(yè)控制系統(tǒng)信息安全》的發(fā)布,定義了國內(nèi)工業(yè)控制系統(tǒng)安全評估規(guī)范和驗收規(guī)范要求。除此外,與工控信息安全相關(guān)國標和具體行標也在醞釀制定中,工控系統(tǒng)信息安全的頂層設計也日漸清晰,行業(yè)標準驗證手段和工具、工業(yè)控制安全防護檢測方法也將日漸完善。
在工控系統(tǒng)安全產(chǎn)業(yè)化、體系化發(fā)展上,美國起步較早。早在2003年,在中國信息安全技術(shù)起步之時,美國已將工控系統(tǒng)安全視為國家安全優(yōu)先事項;2008年則將其列入國家需重點保護的關(guān)鍵基礎(chǔ)設施范疇。2009年頒布《保護工業(yè)控制系統(tǒng)戰(zhàn)略》,涵蓋能源、電力、交通等14個行業(yè)工控系統(tǒng)的安全。同年,成立工業(yè)控制系統(tǒng)網(wǎng)絡應急相應小組(ICS-CERT)。并組織發(fā)布《工業(yè)控制系統(tǒng)安全指南》(SP800-82。2013年推出最新修訂版本)[NIST]、《改進SCADA網(wǎng)絡安全的21項措施》等相關(guān)的工控系統(tǒng)的安全建設標準指南或最佳實踐文檔。
自工信部451號文發(fā)布之后,國內(nèi)各行各業(yè)對工控信息安全的認知度和重視程度不斷提升,電力、石化、制造、煙草等多個行業(yè),陸續(xù)制定了相應的指導性文件,來指導相應行業(yè)的安全檢查與整改活動。國家標準相關(guān)的組織TC260、TC124等標準組也已經(jīng)啟動了相應標準的研究制定工作。
隨著“互聯(lián)網(wǎng)+”計劃的提速,我國工控系統(tǒng)信息安全也將乘勢蓬勃發(fā)展,工控安全標準體系也正在日臻完善。在相關(guān)國標發(fā)布后,工控信息安全其他標準仍在醞釀、制定之中,行業(yè)標準驗證手段和工具,及有效的工控安全防護檢測方法也在不斷完善中。
就目前而言,工業(yè)控制系統(tǒng)還在延用傳統(tǒng)IT領(lǐng)域的標準。傳統(tǒng)信息安全領(lǐng)域和傳統(tǒng)工業(yè)控制系統(tǒng),兩者網(wǎng)絡協(xié)議應用不同、整體建設體系方法論不同、評估目標、評估環(huán)境限制、評估手段均存在差異。工控網(wǎng)絡系統(tǒng)因其獨特性和復雜性,傳統(tǒng)信息安全的防護方法不適用于工控領(lǐng)域。因此,豐源金盛網(wǎng)絡主張建筑物理隔離的基礎(chǔ)上,加入工業(yè)控制網(wǎng)絡安全監(jiān)測平臺,參照具體行業(yè)標準、規(guī)范,形成從點到面、從被動防護到主動防御的防護、評估驗證體系。
評估工控網(wǎng)絡安全防護能力首先要從結(jié)構(gòu)安全入手,并且針對在裝系統(tǒng)的特殊性,提供創(chuàng)造性的全桟解決方案。再通過對設備本體安全性評估、網(wǎng)絡行為安全性評估、工控網(wǎng)絡安全的可持續(xù)性評估建立工控信息安全標準驗證和評估機制,從而形成主動、有效的綜合防御體系。