在中國制造2025發(fā)布的大時(shí)代背景下,隨著工業(yè)自動(dòng)化領(lǐng)域的發(fā)展和延伸,業(yè)內(nèi)對(duì)于工控信息安全的重視程度與日俱增。針對(duì)工控信息安全領(lǐng)域的推薦性國家標(biāo)準(zhǔn)GB/T30976.1~.2-2014《工業(yè)控制系統(tǒng)信息安全》“評(píng)估規(guī)范”、“驗(yàn)收規(guī)范”的發(fā)布,填補(bǔ)了行業(yè)標(biāo)準(zhǔn)空白,使工控系統(tǒng)和產(chǎn)品在安全評(píng)估和驗(yàn)收方面有據(jù)可依。盡管工控信息安全還處于起步階段,在政府和各方的助推下,我國的工控信息安全標(biāo)準(zhǔn)正逐步發(fā)展起來。
我國現(xiàn)有的工控系統(tǒng)在設(shè)計(jì)之初,并未考慮工控系統(tǒng)信息安全的防護(hù)。傳統(tǒng)工控系統(tǒng)信息安全防護(hù)基本靠物理隔離來實(shí)現(xiàn)。隨著“工業(yè)4.0”與“兩化融合”的進(jìn)程推進(jìn),工業(yè)控制系統(tǒng)與傳統(tǒng)信息系統(tǒng)互聯(lián)融通,在大大提高生產(chǎn)效率和領(lǐng)導(dǎo)決策能力的同時(shí),大量網(wǎng)絡(luò)安全隱患被帶入原本封閉的、閉環(huán)狀態(tài)的工業(yè)控制網(wǎng)絡(luò),物理隔離的辦法已無法滿足當(dāng)下工控信息安全發(fā)展的需求。
雖然目前信息安全技術(shù)發(fā)展已較為成熟,因工控系統(tǒng)廣泛應(yīng)用于與國計(jì)民生相關(guān)行業(yè)的基礎(chǔ)設(shè)施中,應(yīng)用群體、應(yīng)用環(huán)境、應(yīng)用需求上的差異,以及它的復(fù)雜性、獨(dú)特性決定了傳統(tǒng)信息安全技術(shù)不能有效防護(hù)工控系統(tǒng)安全。目前,行業(yè)現(xiàn)狀是工控系統(tǒng)自身安全防護(hù)較為脆弱,傳統(tǒng)信息安全技術(shù)無法有效防御針對(duì)工控領(lǐng)域的網(wǎng)絡(luò)攻擊,百花齊放的、現(xiàn)有的攻防產(chǎn)品和解決方案仍需現(xiàn)實(shí)的磨礪。
工控網(wǎng)絡(luò)安全絕非是簡單的信息安全技術(shù)的一個(gè)小分支,它更像是一個(gè)集成了信息安全技術(shù)與工業(yè)自動(dòng)化控制技術(shù)的更復(fù)雜的跨領(lǐng)域新興學(xué)科。伴隨著信息化浪潮涌現(xiàn)的工控信息安全,大多數(shù)人對(duì)它還較為陌生,關(guān)于它的發(fā)展與規(guī)劃也處于“摸著石頭過河”的階段。相較而言,美國起步較早。我國自2011年起,也開始發(fā)力工控信息安全,并將其列入國家發(fā)展的戰(zhàn)略中。我國的工控信息安全仍處于起步階段,在政策與各方的積極推動(dòng)下,正逐步發(fā)展起來。
2011年,是中國工控信息安全發(fā)展史上的分水嶺。工信部于當(dāng)年發(fā)布的工信部協(xié)〔2011〕451號(hào)文《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》明確了加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的重要性和緊迫性、具體管理要求以及制度的建設(shè)、組織領(lǐng)導(dǎo)方面的迫切需要,從多方面提出對(duì)工業(yè)控制系統(tǒng)的信息安全管理要求。
2014年12月,推薦性國家標(biāo)準(zhǔn)GB/T30976.1~.2-2014《工業(yè)控制系統(tǒng)信息安全》的發(fā)布,定義了國內(nèi)工業(yè)控制系統(tǒng)安全評(píng)估規(guī)范和驗(yàn)收規(guī)范要求。除此外,與工控信息安全相關(guān)國標(biāo)和具體行標(biāo)也在醞釀制定中,工控系統(tǒng)信息安全的頂層設(shè)計(jì)也日漸清晰,行業(yè)標(biāo)準(zhǔn)驗(yàn)證手段和工具、工業(yè)控制安全防護(hù)檢測方法也將日漸完善。
在工控系統(tǒng)安全產(chǎn)業(yè)化、體系化發(fā)展上,美國起步較早。早在2003年,在中國信息安全技術(shù)起步之時(shí),美國已將工控系統(tǒng)安全視為國家安全優(yōu)先事項(xiàng);2008年則將其列入國家需重點(diǎn)保護(hù)的關(guān)鍵基礎(chǔ)設(shè)施范疇。2009年頒布《保護(hù)工業(yè)控制系統(tǒng)戰(zhàn)略》,涵蓋能源、電力、交通等14個(gè)行業(yè)工控系統(tǒng)的安全。同年,成立工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急相應(yīng)小組(ICS-CERT)。并組織發(fā)布《工業(yè)控制系統(tǒng)安全指南》(SP800-82。2013年推出最新修訂版本)[NIST]、《改進(jìn)SCADA網(wǎng)絡(luò)安全的21項(xiàng)措施》等相關(guān)的工控系統(tǒng)的安全建設(shè)標(biāo)準(zhǔn)指南或最佳實(shí)踐文檔。
自工信部451號(hào)文發(fā)布之后,國內(nèi)各行各業(yè)對(duì)工控信息安全的認(rèn)知度和重視程度不斷提升,電力、石化、制造、煙草等多個(gè)行業(yè),陸續(xù)制定了相應(yīng)的指導(dǎo)性文件,來指導(dǎo)相應(yīng)行業(yè)的安全檢查與整改活動(dòng)。國家標(biāo)準(zhǔn)相關(guān)的組織TC260、TC124等標(biāo)準(zhǔn)組也已經(jīng)啟動(dòng)了相應(yīng)標(biāo)準(zhǔn)的研究制定工作。
隨著“互聯(lián)網(wǎng)+”計(jì)劃的提速,我國工控系統(tǒng)信息安全也將乘勢蓬勃發(fā)展,工控安全標(biāo)準(zhǔn)體系也正在日臻完善。在相關(guān)國標(biāo)發(fā)布后,工控信息安全其他標(biāo)準(zhǔn)仍在醞釀、制定之中,行業(yè)標(biāo)準(zhǔn)驗(yàn)證手段和工具,及有效的工控安全防護(hù)檢測方法也在不斷完善中。
就目前而言,工業(yè)控制系統(tǒng)還在延用傳統(tǒng)IT領(lǐng)域的標(biāo)準(zhǔn)。傳統(tǒng)信息安全領(lǐng)域和傳統(tǒng)工業(yè)控制系統(tǒng),兩者網(wǎng)絡(luò)協(xié)議應(yīng)用不同、整體建設(shè)體系方法論不同、評(píng)估目標(biāo)、評(píng)估環(huán)境限制、評(píng)估手段均存在差異。工控網(wǎng)絡(luò)系統(tǒng)因其獨(dú)特性和復(fù)雜性,傳統(tǒng)信息安全的防護(hù)方法不適用于工控領(lǐng)域。因此,豐源金盛網(wǎng)絡(luò)主張建筑物理隔離的基礎(chǔ)上,加入工業(yè)控制網(wǎng)絡(luò)安全監(jiān)測平臺(tái),參照具體行業(yè)標(biāo)準(zhǔn)、規(guī)范,形成從點(diǎn)到面、從被動(dòng)防護(hù)到主動(dòng)防御的防護(hù)、評(píng)估驗(yàn)證體系。
評(píng)估工控網(wǎng)絡(luò)安全防護(hù)能力首先要從結(jié)構(gòu)安全入手,并且針對(duì)在裝系統(tǒng)的特殊性,提供創(chuàng)造性的全桟解決方案。再通過對(duì)設(shè)備本體安全性評(píng)估、網(wǎng)絡(luò)行為安全性評(píng)估、工控網(wǎng)絡(luò)安全的可持續(xù)性評(píng)估建立工控信息安全標(biāo)準(zhǔn)驗(yàn)證和評(píng)估機(jī)制,從而形成主動(dòng)、有效的綜合防御體系。