• 关于我们 联系我们
当前位置:安全行业动态 → 正文

工控信息安全:从1到N,标准是基石

责任编辑:editor006 作者:潘岩 |来源:企业网D1Net  2015-08-03 16:44:47 本文摘自:匡恩网络微信平台

对于工业控制系统这样一个集信息技术与工业自动化控制技术于一体的新兴领域,系统的顶层设计就显得格外关键。已发布或计划发布、制定中的相关标准,便是其中的重要基石。

2014年12月,针对工控信息安全领域的推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》“评估规范”、“验收规范”发布,填补了行业标准空白,使工控系统和产品在安全评估和验收方面有据可依。尽管工控信息安全还处于起步阶段,在政府和各方的助推下,我国的工控信息安全标准正逐步发展起来。

工控信息安全发展现状

我国现有的工控系统在设计之初,并未考虑工控系统信息安全的防护。传统工控系统信息安全防护基本靠物理隔离来实现。随着“工业4.0”与“两化融合”的进程推进,工业控制系统与传统信息系统互联融通,在大大提高生产效率和领导决策能力的同时,大量网络安全隐患被带入原本封闭的、闭环状态的工业控制网络,物理隔离的办法已无法满足当下工控信息安全发展的需求。

虽然目前信息安全技术发展已较为成熟,因工控系统广泛应用于与国计民生相关行业的基础设施中,应用群体、应用环境、应用需求上的差异,以及它的复杂性、独特性决定了传统信息安全技术不能有效防护工控系统安全。目前,行业现状是工控系统自身安全防护较为脆弱,传统信息安全技术无法有效防御针对工控领域的网络攻击,百花齐放的、现有的攻防产品和解决方案仍需现实的磨砺。

工控网络安全绝非是简单的信息安全技术的一个小分支,它更像是一个集成了信息安全技术与工业自动化控制技术的更复杂的跨领域新兴学科。伴随着信息化浪潮涌现的工控信息安全,大多数人对它还较为陌生,关于它的发展与规划也处于“摸着石头过河”的阶段。相较而言,美国起步较早。我国自2011年起,也开始发力工控信息安全,并将其列入国家发展的战略中。我国的工控信息安全仍处于起步阶段,在政策与各方的积极推动下,正逐步发展起来。

产业发展的分水岭

2011年,是中国工控信息安全发展史上的分水岭。工信部于当年发布的工信部协〔2011〕451号文《关于加强工业控制系统信息安全管理的通知》明确了加强工业控制系统信息安全管理的重要性和紧迫性、具体管理要求以及制度的建设、组织领导方面的迫切需要,从多方面提出对工业控制系统的信息安全管理要求。

产业发展的新纪元

2014年12月,推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》的发布,定义了国内工业控制系统安全评估规范和验收规范要求。除此外,与工控信息安全相关国标和具体行标也在酝酿制定中,工控系统信息安全的顶层设计也日渐清晰,行业标准验证手段和工具、工业控制安全防护检测方法也将日渐完善。

他山之石

在工控系统安全产业化、体系化发展上,美国起步较早。早在2003年,在中国信息安全技术起步之时,美国已将工控系统安全视为国家安全优先事项;2008年则将其列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。同年,成立工业控制系统网络应急相应小组(ICS-CERT)。并组织发布《工业控制系统安全指南》(SP800-82。2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控系统的安全建设标准指南或最佳实践文档。

现行已发布的国标、行标

自工信部451号文发布之后,国内各行各业对工控信息安全的认知度和重视程度不断提升,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作。

截止目前,发布相关标准如下:

TC124:

GB/T26333-2010 工业控制网络安全风险评估规范

GB/T30976-2014 工业控制系统信息安全

第1部分:评估规范

第2部分:验收规范

TC82:

《电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍》(GB/Z25320.1-2010)

《电力系统管理及其信息交换数据和通信安全第3部分:通信网络和系统安全包括TCP/IP的协议集》(GB/Z25320.3-2010)

《电力系统管理及其信息交换数据和通信安全第4部分:包含MMS的协议集》(GB/Z25320.4-2010)

《电力系统管理及其信息交换数据和通信安全第6部分:IEC61850的安全》(GB/Z25320.6-2011)

工控安全始于行标、体系的完善

随着“互联网+”计划的提速,我国工控系统信息安全也将乘势蓬勃发展,工控安全标准体系也正在日臻完善。在相关国标发布后,工控信息安全其他标准仍在酝酿、制定之中,行业标准验证手段和工具,及有效的工控安全防护检测方法也在不断完善中。

就目前而言,工业控制系统还在延用传统IT领域的标准。传统信息安全领域和传统工业控制系统,两者网络协议应用不同、整体建设体系方法论不同、评估目标、评估环境限制、评估手段均存在差异。工控网络系统因其独特性和复杂性,传统信息安全的防护方法不适用于工控领域。因此,匡恩网络主张建筑物理隔离的基础上,加入工业控制网络安全监测平台,参照具体行业标准、规范,形成从点到面、从被动防护到主动防御的防护、评估验证体系。

评估工控网络安全防护能力首先要从结构安全入手,并且针对在装系统的特殊性,提供创造性的全桟解决方案。再通过对设备本体安全性评估、网络行为安全性评估、工控网络安全的可持续性评估建立工控信息安全标准验证和评估机制,从而形成主动、有效的综合防御体系。

关键字:信息安全

本文摘自:匡恩网络微信平台

x 工控信息安全:从1到N,标准是基石 扫一扫
分享本文到朋友圈
当前位置:安全行业动态 → 正文

工控信息安全:从1到N,标准是基石

责任编辑:editor006 作者:潘岩 |来源:企业网D1Net  2015-08-03 16:44:47 本文摘自:匡恩网络微信平台

对于工业控制系统这样一个集信息技术与工业自动化控制技术于一体的新兴领域,系统的顶层设计就显得格外关键。已发布或计划发布、制定中的相关标准,便是其中的重要基石。

2014年12月,针对工控信息安全领域的推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》“评估规范”、“验收规范”发布,填补了行业标准空白,使工控系统和产品在安全评估和验收方面有据可依。尽管工控信息安全还处于起步阶段,在政府和各方的助推下,我国的工控信息安全标准正逐步发展起来。

工控信息安全发展现状

我国现有的工控系统在设计之初,并未考虑工控系统信息安全的防护。传统工控系统信息安全防护基本靠物理隔离来实现。随着“工业4.0”与“两化融合”的进程推进,工业控制系统与传统信息系统互联融通,在大大提高生产效率和领导决策能力的同时,大量网络安全隐患被带入原本封闭的、闭环状态的工业控制网络,物理隔离的办法已无法满足当下工控信息安全发展的需求。

虽然目前信息安全技术发展已较为成熟,因工控系统广泛应用于与国计民生相关行业的基础设施中,应用群体、应用环境、应用需求上的差异,以及它的复杂性、独特性决定了传统信息安全技术不能有效防护工控系统安全。目前,行业现状是工控系统自身安全防护较为脆弱,传统信息安全技术无法有效防御针对工控领域的网络攻击,百花齐放的、现有的攻防产品和解决方案仍需现实的磨砺。

工控网络安全绝非是简单的信息安全技术的一个小分支,它更像是一个集成了信息安全技术与工业自动化控制技术的更复杂的跨领域新兴学科。伴随着信息化浪潮涌现的工控信息安全,大多数人对它还较为陌生,关于它的发展与规划也处于“摸着石头过河”的阶段。相较而言,美国起步较早。我国自2011年起,也开始发力工控信息安全,并将其列入国家发展的战略中。我国的工控信息安全仍处于起步阶段,在政策与各方的积极推动下,正逐步发展起来。

产业发展的分水岭

2011年,是中国工控信息安全发展史上的分水岭。工信部于当年发布的工信部协〔2011〕451号文《关于加强工业控制系统信息安全管理的通知》明确了加强工业控制系统信息安全管理的重要性和紧迫性、具体管理要求以及制度的建设、组织领导方面的迫切需要,从多方面提出对工业控制系统的信息安全管理要求。

产业发展的新纪元

2014年12月,推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》的发布,定义了国内工业控制系统安全评估规范和验收规范要求。除此外,与工控信息安全相关国标和具体行标也在酝酿制定中,工控系统信息安全的顶层设计也日渐清晰,行业标准验证手段和工具、工业控制安全防护检测方法也将日渐完善。

他山之石

在工控系统安全产业化、体系化发展上,美国起步较早。早在2003年,在中国信息安全技术起步之时,美国已将工控系统安全视为国家安全优先事项;2008年则将其列入国家需重点保护的关键基础设施范畴。2009年颁布《保护工业控制系统战略》,涵盖能源、电力、交通等14个行业工控系统的安全。同年,成立工业控制系统网络应急相应小组(ICS-CERT)。并组织发布《工业控制系统安全指南》(SP800-82。2013年推出最新修订版本)[NIST]、《改进SCADA网络安全的21项措施》等相关的工控系统的安全建设标准指南或最佳实践文档。

现行已发布的国标、行标

自工信部451号文发布之后,国内各行各业对工控信息安全的认知度和重视程度不断提升,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的安全检查与整改活动。国家标准相关的组织TC260、TC124等标准组也已经启动了相应标准的研究制定工作。

截止目前,发布相关标准如下:

TC124:

GB/T26333-2010 工业控制网络安全风险评估规范

GB/T30976-2014 工业控制系统信息安全

第1部分:评估规范

第2部分:验收规范

TC82:

《电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍》(GB/Z25320.1-2010)

《电力系统管理及其信息交换数据和通信安全第3部分:通信网络和系统安全包括TCP/IP的协议集》(GB/Z25320.3-2010)

《电力系统管理及其信息交换数据和通信安全第4部分:包含MMS的协议集》(GB/Z25320.4-2010)

《电力系统管理及其信息交换数据和通信安全第6部分:IEC61850的安全》(GB/Z25320.6-2011)

工控安全始于行标、体系的完善

随着“互联网+”计划的提速,我国工控系统信息安全也将乘势蓬勃发展,工控安全标准体系也正在日臻完善。在相关国标发布后,工控信息安全其他标准仍在酝酿、制定之中,行业标准验证手段和工具,及有效的工控安全防护检测方法也在不断完善中。

就目前而言,工业控制系统还在延用传统IT领域的标准。传统信息安全领域和传统工业控制系统,两者网络协议应用不同、整体建设体系方法论不同、评估目标、评估环境限制、评估手段均存在差异。工控网络系统因其独特性和复杂性,传统信息安全的防护方法不适用于工控领域。因此,匡恩网络主张建筑物理隔离的基础上,加入工业控制网络安全监测平台,参照具体行业标准、规范,形成从点到面、从被动防护到主动防御的防护、评估验证体系。

评估工控网络安全防护能力首先要从结构安全入手,并且针对在装系统的特殊性,提供创造性的全桟解决方案。再通过对设备本体安全性评估、网络行为安全性评估、工控网络安全的可持续性评估建立工控信息安全标准验证和评估机制,从而形成主动、有效的综合防御体系。

关键字:信息安全

本文摘自:匡恩网络微信平台

电子周刊
回到顶部
网站地图

企业网D1Net 信众智-CIO社交平台 第1培训-企业数字化培训平台 会展活动

CIO 数字化转型 云计算 数据中心 大数据 元宇宙 物联网 人工智能 安全

移动办公 服务器 存储 访谈 区块链 数据网络 智慧城市 视频会议 芯片

统一通信 企业应用软件 创新技术 新闻中心

联系我们:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

投稿信箱:

d1neteditor#d1net.com (发送邮件时,请把#换成@)

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^