9月24日,2014中国互联网安全大会(ISC)在京举行。在下午召开的“工控(ICS)安全论坛”上,来自机械工业仪器仪表综合技术经济研究所的安全专家欧阳劲松,发表了名为《工控信息安全—国际标准概况及我国的体系建设》的主题演讲。在演讲过程中,欧阳劲松详细介绍了国内工业控制领域面临的技术问题,以及信息安全标准制情况,并介绍了工控信息安全的改进建议。
图: 机械工业仪器仪表综合技术经济研究所安全专家欧阳劲松
欧阳劲松认为,以智能制造为主导的第四次工业革命正在兴起,而工业控制系统存在着信息安全的问题。尤其是近年来,国内外发生许多工业信息系统遭黑客入侵的事件,如2010年齐鲁石化、2011年大庆石化炼油厂,某装置控制系统分别感染Conficker蠕虫病毒等,都造成控制系统服务器与控制器通讯不同程度地中断,均造成了一定的损失,且产生恶劣影响。
据欧阳劲松介绍,工业安全涵盖了已经非常成熟的物理安全、信息安全以及功能安全三方面。针对于信息安全,欧阳劲松进行了详细解释:“目前,国际上已制定了工控领域信息安全国际标准,国家及技术组织标准。”两项标准分别由IEC/TC65/WG10与ISA99联合工作组和ISA安全符合性研究院ISCI进行认证。
同时,欧阳劲松针对于工控信息安全领域的最新进展做了简要介绍,在今年6月,国外建立了一个协调Safety和Security的特别工作组(AD-HOC Group),宗旨是提出建议和新项目提案。
而在信息安全标准体系方面,欧阳劲松表示,联合相关标委会已制定11项国家/行业标准,初步建立了顶层设计、系统设计、产品设计领域三个层次系统标准体系,该体系适应工控系统所有应用领域,涉及现场设备层到MES层系统层次,产品全生命周期。
相较国际标准,我国也建立了相应的行业标准。目前,已发布2项国家标准,3项行业标准,国家标准计划项目6项,对行规测试标准起到积极作用,结束了行业认证乱象。接下来,欧阳劲松又从管理等级、系统能力等级和信息安全等级三个方面,对我国工业控制领域信息安全标准制定情况和最新动态给予详细讲解。
“相比发达国家,我国工控信息仍面临着安全防控意识不高、政策+管理+技术的模式不完善、测试技术和测试平台缺乏、国外机构主导安全的评估项目少四大挑战。”欧阳劲松总结道,我们必须深入研究我国工业控制系统的行业特点和需求,有针对性地制定相关行业信息安全保障应用行规。
欧阳劲松建议:首先要培育工控信息安全良好生态环境,切合实际的进行风险评估,同时切记泛信息安全化或极端信息安全化;其次,从国家安全的角度考虑,需要加快建立统一、协调、独立的认证评估体系;中国的信息安全认证要具有自己的特点,不可能实现一个认证全球通行的行业标准。