312013.1AUTOMATIONPANORAMA国内外工业控制系统信息安全标准及政策法规介绍国外工业控制系统信息安全标准国际上,研究工控系统安全的标准化组织有:国际电工委员会(IEC,InternationalElectroTechnicalCommission)、国际自动化协会(ISA,theInternationalSocietyofAutomation)、美国国家标准技术研究院(NIST,NationalInstituteofStandardsandTechnology)。当前,国外发布的工业控制系统信息安全标准主要有:•IEC62443标准IEC/TC65(工业过程测量、控制和自动化)下的网络和系统信息安全工作组WG10与国际自动化协会ISA99委员会的专家成立联合工作组,共同制定IEC62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。目标是定义一个通用的、最小要求集以达到各级SALS(SecurityAssurancesLevels,SAL)的安全保障需求。IEC62443一共分为了四个部分,第一部分是通用标准,第二部分是策略和规程,第三部分提出系统级的措施,第四部分提出组件级的措施。•SP800-82《工业控制系统(ICS)安全指南》SP800-82于2010年10月发布,是NIST依据2002年《联邦信息安全管理法》、2003年国土安全总统令HSPD-7等编制而成。它遵循《OMB手册》的要求“保障机构信息系统”,为联邦机构使用,同时允许非政府组织资源使用。该指南概述了ICS和典型的系统拓扑结构,指出了对于这些系统的典型威胁和脆弱点所在,为消减相关风险提供了建议性的安全对策。同时,根据ICS的潜在风险和影响水平的不同,指出了保障的不同方法和技术手段。适用于电力、水利、石化、交通、化工、制药等行业的ICS系统。我国工业控制系统信息安全标准目前我国工业控制系统信息安全标准发布、制定情况如下:•全国信息安全标准化技术委员会(TC260)(1)在编标准:《信息安全技术SCADA系统安全控制指南》《信息安全技术安全可控信息系统(电力系统)安全指标体系》(2)计划制定《信息安全技术工业控制系统安全管理基本要求》《信息安全技术工业控制系统安全检查指南》《信息安全技术工业控制系统测控终端安全要求》《信息安全技术工业控制系统安全防护技术要求和测评方法》《信息安全技术工业控制系统安全分级指南》……•全国电力系统管理及其信息交换标准化技术委员会(TC82)已发布标准:《电力系统管理及其信息交换数据和通信安全第1部分:通信网络和系统安全安全问题介绍》(GB/Z25320.1-2010)《电力系统管理及其信息交换数据和通信安全第3部分:通信网络和系统安全包括TCP/IP的协议集》(GB/Z25320.3-2010)《电力系统管理及其信息交换数据和通信安全第4部分:包含MMS的协议集》(GB/Z25320.4-2010)《电力系统管理及其信息交换数据和通信安全第6部分:IEC61850的安全》(GB/Z25320.6-2011)•全国工业过程测量和控制标准化技术委员会(TC124)(1)在编标准《工业控制计算机系统通用规范第2部分:工业控制计算机的安全要求》(2)计划制定《工业通信网络-网络和系统安全-第2-1部分:建立工业自动化和控制系统信息安全程序》,等同采用IEC62443-2-1:2010《工业控制系统信息安全第1部分:评估规范》《工业控制系统信息安全第2部分:验收规范》•全国电力监管标准化技术委员会(TC296)在编标准:《电力二次系统安全防护标准》(强制)《电力信息系统安全检查规范》(强制)《电力行业信息安全水平评价指标》(推荐)全国信息安全标准化技术委员会秘书处,工业和信息化部电子工业标准化研究院工控标准主管许东阳我国工业控制系统信息安全标准尚不健全,尚在发展初期,我们非常欢迎各位专家、企业积极参与到工控系统的标准制订中来。20.13ok.indd312013-1-910:42:51