在中國制造2025發布的大時代背景下,隨著工業自動化領域的發展和延伸,業內對于工控信息安全的重視程度與日俱增。針對工控信息安全領域的推薦性國家標準GB/T30976.1~.2-2014《工業控制系統信息安全》“評估規范”、“驗收規范”的發布,填補了行業標準空白,使工控系統和產品在安全評估和驗收方面有據可依。盡管工控信息安全還處于起步階段,在政府和各方的助推下,我國的工控信息安全標準正逐步發展起來。
我國現有的工控系統在設計之初,并未考慮工控系統信息安全的防護。傳統工控系統信息安全防護基本靠物理隔離來實現。隨著“工業4.0”與“兩化融合”的進程推進,工業控制系統與傳統信息系統互聯融通,在大大提高生產效率和領導決策能力的同時,大量網絡安全隱患被帶入原本封閉的、閉環狀態的工業控制網絡,物理隔離的辦法已無法滿足當下工控信息安全發展的需求。
雖然目前信息安全技術發展已較為成熟,因工控系統廣泛應用于與國計民生相關行業的基礎設施中,應用群體、應用環境、應用需求上的差異,以及它的復雜性、獨特性決定了傳統信息安全技術不能有效防護工控系統安全。目前,行業現狀是工控系統自身安全防護較為脆弱,傳統信息安全技術無法有效防御針對工控領域的網絡攻擊,百花齊放的、現有的攻防產品和解決方案仍需現實的磨礪。
工控網絡安全絕非是簡單的信息安全技術的一個小分支,它更像是一個集成了信息安全技術與工業自動化控制技術的更復雜的跨領域新興學科。伴隨著信息化浪潮涌現的工控信息安全,大多數人對它還較為陌生,關于它的發展與規劃也處于“摸著石頭過河”的階段。相較而言,美國起步較早。我國自2011年起,也開始發力工控信息安全,并將其列入國家發展的戰略中。我國的工控信息安全仍處于起步階段,在政策與各方的積極推動下,正逐步發展起來。
2011年,是中國工控信息安全發展史上的分水嶺。工信部于當年發布的工信部協〔2011〕451號文《關于加強工業控制系統信息安全管理的通知》明確了加強工業控制系統信息安全管理的重要性和緊迫性、具體管理要求以及制度的建設、組織領導方面的迫切需要,從多方面提出對工業控制系統的信息安全管理要求。
2014年12月,推薦性國家標準GB/T30976.1~.2-2014《工業控制系統信息安全》的發布,定義了國內工業控制系統安全評估規范和驗收規范要求。除此外,與工控信息安全相關國標和具體行標也在醞釀制定中,工控系統信息安全的頂層設計也日漸清晰,行業標準驗證手段和工具、工業控制安全防護檢測方法也將日漸完善。
在工控系統安全產業化、體系化發展上,美國起步較早。早在2003年,在中國信息安全技術起步之時,美國已將工控系統安全視為國家安全優先事項;2008年則將其列入國家需重點保護的關鍵基礎設施范疇。2009年頒布《保護工業控制系統戰略》,涵蓋能源、電力、交通等14個行業工控系統的安全。同年,成立工業控制系統網絡應急相應小組(ICS-CERT)。并組織發布《工業控制系統安全指南》(SP800-82。2013年推出最新修訂版本)[NIST]、《改進SCADA網絡安全的21項措施》等相關的工控系統的安全建設標準指南或最佳實踐文檔。
自工信部451號文發布之后,國內各行各業對工控信息安全的認知度和重視程度不斷提升,電力、石化、制造、煙草等多個行業,陸續制定了相應的指導性文件,來指導相應行業的安全檢查與整改活動。國家標準相關的組織TC260、TC124等標準組也已經啟動了相應標準的研究制定工作。
隨著“互聯網+”計劃的提速,我國工控系統信息安全也將乘勢蓬勃發展,工控安全標準體系也正在日臻完善。在相關國標發布后,工控信息安全其他標準仍在醞釀、制定之中,行業標準驗證手段和工具,及有效的工控安全防護檢測方法也在不斷完善中。
就目前而言,工業控制系統還在延用傳統IT領域的標準。傳統信息安全領域和傳統工業控制系統,兩者網絡協議應用不同、整體建設體系方法論不同、評估目標、評估環境限制、評估手段均存在差異。工控網絡系統因其獨特性和復雜性,傳統信息安全的防護方法不適用于工控領域。因此,豐源金盛網絡主張建筑物理隔離的基礎上,加入工業控制網絡安全監測平臺,參照具體行業標準、規范,形成從點到面、從被動防護到主動防御的防護、評估驗證體系。
評估工控網絡安全防護能力首先要從結構安全入手,并且針對在裝系統的特殊性,提供創造性的全桟解決方案。再通過對設備本體安全性評估、網絡行為安全性評估、工控網絡安全的可持續性評估建立工控信息安全標準驗證和評估機制,從而形成主動、有效的綜合防御體系。