全国信息安全标准化技术委员会秘书处，工业和信息化部电子工业标准化研究院工控标准主管  许东阳

   国外工业控制系统信息安全标准

   国际上，研究工控系统安全的标准化组织有：国际电工委员会（IEC，International Electro Technical Commission）、国际自动化协会（ISA，the International Society of Automation）、美国国家标准技术研究院（ NIST ， National Institute of Standards andTechnology ）。当前，国外发布的工业控制系统信息安全标准主要有：

   • IEC 62443标准

   IEC/TC65（工业过程测量、控制和自动化）下的网络和系统信息安全工作组WG10与国际自动化协会ISA 99委员会的专家成立联合工作组，共同制定IEC 62443《工业过程测量、控制和自动化 网络与系统信息安全》系列标准。目标是定义一个通用的、最小要求集以达到各级SALS（Security Assurances Levels，SAL）的安全保障需求。IEC 62443一共分为了四个部分，第一部分是通用标准，第二部分是策略和规程，第三部分提出系统级的措施，第四部分提出组件级的措施。

   • SP800-82《工业控制系统(ICS)安全指南》

   SP800-82于2010年10月发布，是NIST依据2002年《联邦信息安全管理法》、2003年国土安全总统令HSPD-7等编制而成。它遵循《OMB手册》的要求“保障机构信息系统”，为联邦机构使用，同时允许非政府组织资源使用。该指南概述了ICS和典型的系统拓扑结构，指出了对于这些系统的典型威胁和脆弱点所在，为消减相关风险提供了建议性的安全对策。同时，根据ICS的潜在风险和影响水平的不同，指出了保障的不同方法和技术手段。适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。

   我国工业控制系统信息安全标准

   目前我国工业控制系统信息安全标准发布、制定情况如下：

   • 全国信息安全标准化技术委员会（TC260）

   （1）在编标准：

  《信息安全技术 SCADA系统安全控制指南》

  《信息安全技术 安全可控信息系统（电力系统）安全指标体系》

   （2）计划制定

   《信息安全技术 工业控制系统安全管理基本要求》

   《信息安全技术 工业控制系统安全检查指南》

   《信息安全技术 工业控制系统测控终端安全要求》

   《信息安全技术 工业控制系统安全防护技术要求和测评方法》

   《信息安全技术 工业控制系统安全分级指南》……

  • 全国电力系统管理及其信息交换标准化技术委员会（TC82）

   已发布标准 ：

  《电力系统管理及其信息交换 数据和通信安全 第1部分：通信网络和系统安全 安全问题介绍》（GB/Z 25320.1-2010）

   《电力系统管理及其信息交换 数据和通信安全 第3部分：通信网络和系统安全 包括TCP/IP的协议集》（GB/Z 25320.3-2010）

   《电力系统管理及其信息交换 数据和通信安全 第4部分：包含MMS的协议集》（GB/Z 25320.4-2010）

   《电力系统管理及其信息交换 数据和通信安全 第6部分：IEC 61850的安全》（GB/Z 25320.6-2011）

   • 全国工业过程测量和控制标准化技术委员会（TC124）

   （1）在编标准

   《工业控制计算机系统 通用规范 第2部分: 工业控制计算机的安全要求》

  （2）计划制定

   《工业通信网络-网络和系统安全-第2-1部分：建立工业自动化和控制系统信息安全程序》，等同采用IEC 62443-2-1:2010

   《工业控制系统信息安全 第1部分：评估规范》

   《工业控制系统信息安全 第2部分：验收规范》

  • 全国电力监管标准化技术委员会（TC 296 ）

   在编标准：

   《电力二次系统安全防护标准》 （强制）

   《电力信息系统安全检查规范》 （强制）

  《电力行业信息安全水平评价指标》 （推荐） 

   摘自《自动化博览》2013年1期