12月2日，一场推荐性国家标准发布会在北京召开，发布的正是《工业控制系统信息安全》标准（GB/T 30976.1~2-2014，包括第1部分评估规范和第2部分验收规范）。该系列国家标准是我国工控领域首次发布的正式标准，填补了我国针对工控领域无标准做依据进行系统和产品评估和验收的空白。

    全球互联、嵌入式智能、自组织现象……在智能制造、互联网革命的大潮下，原本封闭的工控系统正在变得越来越开放。 

    而这些工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域，以及航空、铁路、公路、地铁等公共服务领域，是国家关键生产设施和基础设施运行的“中枢”。 

    一台办公电脑的崩溃尚且会让使用者陷入工作难以进行的境地，这些中枢系统一旦被摧毁或者被控制，造成的影响更是不敢想象。工控系统的安全防护必不可少。 

    2014年12月2日，一场推荐性国家标准发布会在北京召开，发布的正是《工业控制系统信息安全》标准（GB/T 30976.1~2-2014，包括第1部分评估规范和第2部分验收规范）。该系列国家标准是我国工控领域首次发布的正式标准，填补了我国针对工控领域无标准做依据进行系统和产品评估和验收的空白。 

    工控安全形势严峻 

    如今，工业控制系统越来越多地采用通用协议、通用硬件和通用软件，通过互联网等公共网络连接的业务系统也越来越普遍，这使得针对工业控制系统的攻击行为大幅度增长，也使得工业控制系统的脆弱性正在逐渐显现，面临的信息安全问题日益突出。 

    在国外，2010年的伊朗核电站感染“震网”病毒，严重威胁核反应堆安全运营；2011年，黑客入侵数据采集与监控系统，使美国伊利诺伊州城市供水系统的供水泵遭到破坏；2012年，人们发现攻击多个中东国家的恶意程序超级病毒“火焰”，它能收集各行业的敏感信息…… 

    在我国，齐鲁石化、大庆石化炼油厂在2010年和2011年也曾经发生过某装置控制系统感染Conficker蠕虫病毒，造成控制系统服务器与控制器通讯不同程度地中断。 

    各种专门针对工业控制系统的病毒爆发和网络攻击给用户带来了巨大损失，同时也直接或间接地威胁到国家安全。因此，世界各国都高度重视工业控制系统的信息安全。 

    美国、德国等发达国家纷纷加大力度研发涉及工业生产运行的相关设备和网络的安全防护技术。我国则出台了多项政策，要求加强重点领域工业控制系统的信息安全管理。《“十二五”国家战略性新兴产业发展规划》、《标准化事业发展“十二五”规划》都将网络信息安全作为新一代信息技术产业的重点内容。2011年9月，工信部发布了《关于加强工业控制系统信息安全管理的通知》；2012年6月，国务院又发布了《关于大力推进信息化发展和切实保障信息安全的若干意见》；2014年2月，中央网信领导小组正式亮相，国家主席习近平任组长，其任务就包括发展与安全两个方面。这些都充分说明我国对信息安全越来越重视。 

    但即便如此，我国工控系统的信息安全防护现状也不容乐观。 

    “通过近几年做工控系统的信息安全工作，我们发现一些问题。技术层面的问题包括：工控系统的复杂性导致不同工厂需要定制不同的安全决策；目前探测与侦别异常信息的手段缺失；多维联动报警与故障恢复技术还在探索阶段；工业级边界防护设备少，尤其是经过现场验证的设备更少等。”机械工业仪器仪表综合技术经济研究所副所长梅恪在此次发布会上表示，“还有管理、运维层面的问题，如虽然近年很多企业信息安全防控意识有所提高，但还需要加强；工业现场实施安全防护是一项复杂的系统工程，尤其对现场人员的技术素质要求很高，但我国工业企业普遍缺乏信息安全人才等。” 

    可见，对于我国工业而言，维护工控信息安全是一项长期而艰巨的任务。 

    标准逐步出台 

    产业发展，标准先行。工业用户、相关产品生产企业等都在期盼有完善的国家和行业标准指导工控系统的信息安全工作。 

    据了解，我国2012年已经成立了相关的标准工作组，包括来自工控、工厂、测评机构等部门的成员48个。我国也初步建立了系统级的安全要求标准体系，其中包括此次发布会上公布的两项国家标准，以及已发布的《工业过程测量和控制安全 网络和系统安全》等3项行业标准，另外还有《集散控制系统（DCS）安全防护标准》、《集散控制系统（DCS）安全管理标准》、《可编程逻辑控制器（PLC）安全要求》等6项国家标准计划项目已送审。 

    两项国家标准的主要内容包括安全分级、安全管理基本要求、技术要求、安全检查测试方法等基本要求，适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估和验收时使用。 

    这个系列标准的发布，对今后建立国际领先的工业控制系统信息安全评估认证机制，形成我国自主的工业控制系统信息安全产业和标准体系，保障国家经济的稳定增长和国家利益的安全，具有现实意义。 

     “工控系统的信息安全需求不同于IT行业，因为其本身边界比较模糊，软硬件相结合后感染通道也有所变化。工控系统的首先需求是功能性，要在不损害功能性的前提下保证信息安全。因此，工控系统信息安全需要开发厂商和用户联动。”机械工业仪器仪表综合技术经济研究所所长欧阳劲松表示。 

    摘自 机电商报