工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟

　　隨著越來(lái)越多的工控系統(tǒng)接入信息網(wǎng)，工控系統(tǒng)的信息安全成為了日益突出的問(wèn)題。工控系統(tǒng)在電力行業(yè)、交通運(yùn)輸、石油石化等重要領(lǐng)域有廣泛應(yīng)用，這些領(lǐng)域的安全問(wèn)題關(guān)乎國(guó)家安全；另外工控系統(tǒng)較多地采用了通用協(xié)議、通用硬件和通用軟件等，急需相關(guān)規(guī)范文件的約束。在這種情況下，《GB/T 32919-2016信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》應(yīng)運(yùn)而生，它專(zhuān)門(mén)針對(duì)各領(lǐng)域各行業(yè)的工控系統(tǒng)編寫(xiě)，規(guī)范工業(yè)控制系統(tǒng)的安全需求，從工業(yè)企業(yè)的方方面面指導(dǎo)工業(yè)企業(yè)信息安全建設(shè)，為我國(guó)工控系統(tǒng)信息安全相關(guān)工作奠定基礎(chǔ)。本期專(zhuān)刊中，工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟就針對(duì)這一標(biāo)準(zhǔn)進(jìn)行解讀。

　　Q：GB/T 32919-2016適用范圍是什么？

　　A：工控企業(yè)行業(yè)眾多，不同行業(yè)之間的工控系統(tǒng)存在較大差異，32919-2016適用于工業(yè)領(lǐng)域的各個(gè)行業(yè)，整個(gè)標(biāo)準(zhǔn)規(guī)約了工業(yè)企業(yè)從設(shè)計(jì)到建設(shè)到運(yùn)行，從人員安全到設(shè)備安全到環(huán)境安全等各個(gè)方面。作為包含了800余個(gè)控制點(diǎn)的標(biāo)準(zhǔn)，它可作為工業(yè)控制系統(tǒng)信息安全體系建設(shè)評(píng)估依據(jù)，也可指導(dǎo)企業(yè)工控系統(tǒng)的安全整改。另一方面，可作為政府工控安全檢查的技術(shù)性規(guī)范，亦可作為企業(yè)工控安全自查的指導(dǎo)性文件。

　　Q：GB/T 32919-2016有哪些亮點(diǎn)？

　　A：32919-2016亮點(diǎn)很多。第一，它是國(guó)內(nèi)首個(gè)覆蓋工業(yè)企業(yè)全生命周期的工控安全標(biāo)準(zhǔn)；第二，標(biāo)準(zhǔn)包括了18個(gè)控制族、近900項(xiàng)工控系統(tǒng)安全控制點(diǎn)，從技術(shù)、管理、運(yùn)維三方面規(guī)約工業(yè)企業(yè)的信息安全設(shè)計(jì)建設(shè)；第三，32919-2016作為工業(yè)控制系統(tǒng)安全通用標(biāo)準(zhǔn)，可通過(guò)裁剪形成各行業(yè)的工控安全標(biāo)準(zhǔn)，為工控領(lǐng)域各行業(yè)規(guī)范細(xì)則的制定奠定有力的基礎(chǔ)。

　　Q：GB/T 32919-2016在哪些方面對(duì)開(kāi)展工控安全保障相關(guān)工作提供了指導(dǎo)依據(jù)？

　　A：首先，該標(biāo)準(zhǔn)作為首個(gè)可應(yīng)用于工業(yè)控制系統(tǒng)信息安全測(cè)評(píng)工作、多行業(yè)通用的國(guó)家標(biāo)準(zhǔn)，為后續(xù)工控系統(tǒng)信息安全測(cè)評(píng)相關(guān)標(biāo)準(zhǔn)奠定基礎(chǔ)。其次，從標(biāo)準(zhǔn)本身來(lái)說(shuō)，該標(biāo)準(zhǔn)從技術(shù)、管理、運(yùn)維的18個(gè)方面開(kāi)展工控安全保障工作，覆蓋了企業(yè)生產(chǎn)運(yùn)營(yíng)的全生命周期。比如：技術(shù)上的訪問(wèn)控制、系統(tǒng)和通信保護(hù)，管理上的安全評(píng)估、規(guī)劃管理，運(yùn)維上的事件響應(yīng)、介質(zhì)保護(hù)等。為評(píng)估機(jī)構(gòu)的測(cè)評(píng)工作以及工業(yè)企業(yè)的自查工作提供了指導(dǎo)依據(jù)。

　　Q：GB/T 32919-2016對(duì)于我國(guó)工控信息安全保障工作的意義是什么？

　　A：隨著“工業(yè)4.0”、工業(yè)互聯(lián)網(wǎng)、《中國(guó)制造2025》的不斷推進(jìn)，我國(guó)傳統(tǒng)的工業(yè)企業(yè)逐漸從自成體系且封閉獨(dú)立的系統(tǒng)走向了開(kāi)放，這就造成了工業(yè)領(lǐng)域的信息安全形勢(shì)日趨嚴(yán)峻。工業(yè)企業(yè)一旦出現(xiàn)信息安全問(wèn)題，輕則帶來(lái)經(jīng)濟(jì)損失，重則關(guān)乎公眾權(quán)益，社會(huì)穩(wěn)定，國(guó)家安全。本標(biāo)準(zhǔn)有力支撐工控系統(tǒng)信息安全評(píng)估工作，確保我國(guó)工業(yè)企業(yè)的正常生產(chǎn)運(yùn)營(yíng)，保障信息安全，維護(hù)國(guó)家利益。標(biāo)準(zhǔn)一方面可作為工業(yè)企業(yè)的信息安全評(píng)估規(guī)范性文件，另外可作為工業(yè)企業(yè)日常自查時(shí)的指導(dǎo)文件。

　　Q：目前國(guó)外在工控信息安全標(biāo)準(zhǔn)的具體情況，與國(guó)內(nèi)有哪些不同？

　　A：國(guó)外標(biāo)準(zhǔn)化機(jī)構(gòu)、應(yīng)急響應(yīng)機(jī)構(gòu)針對(duì)工業(yè)控制系統(tǒng)發(fā)布了若干的指導(dǎo)標(biāo)準(zhǔn)。他們從信息網(wǎng)絡(luò)的角度，將信息網(wǎng)絡(luò)的安全思路自然延伸到工業(yè)控制領(lǐng)域，制定相關(guān)的安全標(biāo)準(zhǔn)，典型的代表為NIST發(fā)布的SP800-82指南。

　　我國(guó)標(biāo)準(zhǔn)化機(jī)構(gòu)針對(duì)工業(yè)控制系統(tǒng)也發(fā)布了若干標(biāo)準(zhǔn)，是在前期的企業(yè)調(diào)研、研究分析的基礎(chǔ)上制定的。通過(guò)調(diào)研，深刻分析工控信息安全與傳統(tǒng)信息安全的差異性，制定出專(zhuān)門(mén)針對(duì)工控系統(tǒng)信息安全的標(biāo)準(zhǔn)。另外，通過(guò)對(duì)工控系統(tǒng)多行業(yè)的分析研究，找出各行業(yè)間的差異性，在通用標(biāo)準(zhǔn)的基礎(chǔ)上又推動(dòng)制定了不同行業(yè)的工控信息安全標(biāo)準(zhǔn)。

　　Q：未來(lái)，針對(duì)于工控信息安全領(lǐng)域還會(huì)有哪些標(biāo)準(zhǔn)相繼出臺(tái)？

　　A：就工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系來(lái)說(shuō)，目前在安全等級(jí)、安全測(cè)評(píng)、安全實(shí)施三方面的標(biāo)準(zhǔn)已較為完善，但在安全要求方面的標(biāo)準(zhǔn)仍需加強(qiáng)。未來(lái)將會(huì)出臺(tái)《工業(yè)控制系統(tǒng)安全技術(shù)基本要求》、《工業(yè)控制系統(tǒng)安全管理基本要求》以及針對(duì)工控產(chǎn)品的系列標(biāo)準(zhǔn)等，都是針對(duì)工控系統(tǒng)的安全要求。