什么是工業控制系統？

　　要談論工控信息安全，我們首先要明白，什么是工業控制系統。

　　工業控制系統（GB/T 30976）是指對工業生產過程安全（safety）、信息安全(security)和可靠運行產生作用和影響的人員、硬件和軟件的集合。

　　工業控制系統包括但不限于：

　　1) 工業控制系統包括分布式控制系統（DCS）、可編程邏輯控制器（PLC）、智能電子設備（IED）、監視控制與數據采集（SCADA）系統，運動控制（MC）系統、網絡電子傳感和控制，監視和診斷系統。（在本標準中，不論物理上是分開的還是集成的，過程控制系統（PCS）包括基本過程控制系統和安全儀表系統（SIS））

　　2)相關的信息系統，例如先進控制或者多變量控制、在線優化器、專用設備監視器、圖形界面、過程歷史記錄、制造執行系統（MES）和企業資源計劃（ERP）管理系統。

　　3)相關的部門、人員、網絡或機器接口，為連續的、批處理、離散的和其他過程提供控制、安全和制造操作功能。

　　工業控制系統信息安全已經成為全世界共同關注的大命題

　　信息化程度越來越高，信息安全問題成為企業開展遠程維護、管控一體化等工作的主要障礙之一。很多工業控制系統設計之初側重可用性和實時性，忽略了系統架構上的信息安全，隨著互聯網的不斷發展，很多系統越來越需要互聯互通，標準開放的通信協議及軟硬件系統的采用，以及與其他網絡的互聯打破了系統原有的相對封閉性，系統面臨各種信息安全攻擊。近年來，安全事件和公開漏洞都呈快速增長趨勢。工控信息安全引起全世界的重視。

　　習近平主席說過：“沒有網絡安全就沒有國家安全，沒有信息化就沒有現代化?！本W絡要發展，更要安全，國家政府現在對網絡安全非常重視，已經將網絡安全上升到主權的層次。

　　國際工控系統安全行業發展情況

　　就美國來說，2003年將工控系統安全視為國家安全優先事項，2008年將其列入國家需重點保護的關鍵基礎設施，2009年頒布《保護工業控制系統戰略》，涵蓋能源、電力、交通等14個行業；2009年成立ICS-CERT，Industrial Control Systems Cyber Emergency Response Team，隸屬美國國土部，專注于工控系統相關的安全事故監控、分析執行漏洞和惡意代碼、為事故響應和取證分析提供現場支持，美國國土安全部（DHS）啟動控制系統安全計劃（CSSP），美國國家標準與技術研究院、能源局分別發布了《工業控制系統安全指南》（SP800-82）[NIST]、《改進SCADA網絡安全的21項措施》。

　　在歐洲，主流控制系統制造商西門子及施耐德均為用戶提供相應的安全產品、服務及解決方案，西門子建有工控安全實驗室。

　　在中國，工控信息安全問題也已經引起各個行業的高度重視，例如，工信部發布了關于工控安全的451號文，電監會制定了《電力二次系統安全防護規定》，《電力工控信息安全專項監管工作方案》，國家煙草局制定了《煙草工業企業生產區與管理區網絡互聯安全規范》等。

　　工控信息安全標準現狀

　　國際工控信息安全標準現狀：

　　國際上的工控信息安全標準和相關機構有很多， IEC 62443/ISA-99等都是美國TEC和ISA做的標準，其他國家有諸如NIST: SP800-82《工業控制系統信息安全指南》、WIB M2784《過程控制領域中對供應商的信息安全要求》等，其中有很多在我們國家也有使用。以IEC 62443/ISA-99標準為例，工控信息安全標準體系主要包含四塊內容，一部分側重基礎，一部分針對管理，一部分是針對中控和集成商，一部分針對設備制造商。

　　現在還有一個趨勢，功能安全和信息安全的融合和互相影響，針對這一問題，國際上一些機構做了很多工作。

　　在工控信息行業標準方面，我國已發布國家標準（2項），行業標準（3項），國家計劃標準項目6項，智能制造與工控信息安全方向上，《數字化車間信息安全要求》、《數字化車間功能安全要求》，《安全一體化設計》、《安全一體化運行管理》等標準正在制定當中。

　　工控信息安全標準

　　工控信息安全標準化建設

　　工控信息安全具有很強的動態性，在標準化的制定上，要從各個層次來建立標準體系。

　　層域劃分：將工控系統按功能劃分層次，按工藝劃分區域；

　　要求映射：將技術要求與管理要求映射到不同的層域；

　　定性定量：安全等級、量化風險評估結果等；

　　標準體系：

　　領域：適應工控系統所有應用領域；

　　層次：現場設備層到MES層；

　　系統：產品全生命周期；

　　結語：

　　工控信息安全是一項長期而艱巨的任務，需要各個領域的專家共同努力，建立政策+管理+技術的模式，逐步實現工控信息安全從防護到自主安全的跨越。