亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

《我國工業控制系統信息安全標準化現狀》

今天網絡安全大會加了這么一個內容，剛才主持人也談到了從工業控制網絡安全，作為網絡安全大會中應該扮演什么角色？所以在年初的時候主辦方也和我們多次討論，能否聯合把這個內容在這個會議上做一個擴大的宣傳。后來我們考慮可能對這個領域還是有相通點，也有不通點，所以，今天我們和組委會討論由我們所和青島多芬諾共同構成一個話題，在這次會議上做一個初步的探討，也是能夠在這個領域里，剛才主持人講了，工業控制網絡在我們網絡平臺上的發展也算是一個新的領域，作為工業應用它不是一個新的內容，但存在的問題是需要突破的內容。我今天花幾分鐘時間，由我和青島多芬諾的劉總整體來做一個討論，我節省點時間，他主要是應用，他是我們綜合技術經濟研究所的合作伙伴，也就是在工業控制網絡應用中我們選擇了多芬諾，能夠在行業里做一個典范案例和應用的推廣，所以我想多留點時間請劉總來介紹一下，我從標準的角度來介紹一下。

工業控制系統信息安全標準化現狀，我們無論從網絡安全也好，工控網絡安全也好，我們的依據都是標準，所以我想從這個方面介紹是給大家帶來一個概念，我們做任何事情包括工業網絡控制都是有章法的。所以，我從以下幾個方面做一個簡單的介紹。本來今天的介紹是會議的重疊，我來介紹這一部分。

剛才主持人講了，我再重復一下，作為工業控制網絡安全，在裝備制造業，也就是在應用領域，我們過去沒有把它當成必需，而是你能運行就可以了。但現在我們提供裝備在運行過程中出現的問題已經遠遠超出原來運行中的現實操作，都是沒有接觸的?，F在國家發現這個問題以后，在裝備制造業能否提升國內經濟的發展需求，實質就是從我們網絡運行的發展趨勢和進展提升了我們裝備制造業的要求。

所以，國家中長期科技發展規劃里（2006-2020年）提出了如何強化工業控制網絡安全的話題，也做了一個長期規劃的安排。國家信息化領導小組也提出來加強信息安全保障工作的意見，國家信息安全科技發展規劃要點，特別是2011年工信部印發的《關于加強工控系統信息安全管理的通知》，《通知》中明確，重點加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、水利、環保、交通等等，這都是我們過去在提供裝備的時候都是這些領域，但又把它提出來作為工控信息安全的管理必須要落實管理要求，這也是我國在高層面上從規劃到行業的布局，到發展都提到了一個重要的程度。

2012年7月為落實國務院開展重點領域網絡信息安全檢查行動，工信部開展了重點領域信息安全自查、抽查行動，這也是隨著網絡信息的普及，工業化程度要求的提升，提出了這么多的一些從宏觀管理和政策上的要求。

工業控制網絡從這幾個方面也是提升到了非常重要的程度。

一是設備接入網絡的數量越來越多，剛才主持人說，我們不同的開發軟件都在工業上應用，從多個層面來給予體現，這也是我們在總結中發現這些方面越來越提到了高的認識。工業控制設備接入網絡的數量從2007年到2012年由130萬增加到450萬，增長率28%，非?？?/p>

二是網絡安全威脅越來越多，我們通常說工業網絡中應急響應處理是非常致命的問題，從2011-2012年網絡漏洞提升了900%，這是美國的一個統計數據，這在我們行業里對公共網絡，我們也是借助了它的數據分析。

三是安全憂患意識迅速增長。調查中顯示超過33%的受訪者工業管理者相信針對工業基礎設施的網絡攻擊上升，我們現在一方面在防，一方面也在不斷的上升，它也是在高速的發展和技術提升的過程。其中40%，這是一個預測，因為我也是從事這方面的研究，我們有這些前瞻性的考慮，這樣的話，我們想在工業控制網絡有這樣多的一些因素使得我們必須要加強工業網絡安全的控制。

工業控制系統，因為我們這個領域最早的時候是機械工業部的一個研究所，從事的是工業裝備，也是儀器儀表自動化。過去自動化和儀表在機械行業里是一個配件，或者是一個輔助，閥門、儀表、控制器、開關，對它來講僅是過去從手動到機械、模擬?，F在我們工業控制發展網絡系統已經到數字化、網絡化、智能化，這是對我們的設備和裝備給予了提升，使得我們必須要去配套，如果不配套我們的裝備就跟不上，所以說也不是先進的設備。

1、從傳統的系統封閉式系統演變到開放式的網絡系統，從我們這個領域是大的網絡，在我們專業領域也是談網絡控制使我們的裝備實現自動化和現代化，這也是我們不跟進不可以的。但是跟進就出現了這些問題，所以開放的硬件體系和開放的協議體系，這些都是我們在制造和生產應用過程中必須要去考慮的問題。

2、現在過程控制和企業信息系統的集成，現在不單是一套設備和主機，它是設備的聯網，靠什么聯網？我們其中有一塊控制系統就是靠我們的信息網絡來連接。所以，隨著網絡技術的延伸和提升，對我們裝備制造業也確實帶來了一些新的課題，所以，目前我們標準轉化里已經有了二十幾種工業控制的標準，現在不管是哪一種系統，隨著時間的推移我們引進了一些網絡的技術。還有我們的無線技術，從這個圖面上看，從中間層、頂層，我們的裝備制造業也隨著時間的推移和技術的進步也引入了一些工業網絡的技術。

工業信息安全國際標準化的情況是這樣。我簡單搜索了幾個供大家了解一下。

藍色部分是國際標準ISO/IEC在工業信息安全標準化方面也是專門有這樣的組織。國際上美國、英國、德國。IEC? 62443也是我們目前工業控制網絡執行的標準。國內的TC? 124是我們工業信息控制標準化技術委員會是在國家和IEC對應的一個組織，專門從事標準化的研究，這個秘書處就在我們所，從事工業信息安全國際標準化我們所是在多個方面參與工作。在信息安全，在WG15環境工作組、信息工作組等，我們在信息安全方面我們所都參與了，標準化方面也是我們所在行業做服務的一項非常超前的工作。

根據IEC? 62443的框架，我們現在從標準層面一直到制造商、集成商和零配件都有不同的工作組和它的協議。剛才大家看到了WG10和WG13都是我們專門從事工業網絡控制的信息安全的一個工作組。

作為我國的標準體系，側重在工業信息網絡和工控系統裝置的集成，這兩個標準在我們行業里涉及到三十多個領域，我們行業就是儀表和自動化，能夠切入進去直接和工業網絡控制有技術發展和業務聯系的幾個工作組。

信息安全的標準體系，我們大體上在設計的時候根據國際標準考慮的是三層方案，一個是初步建立了系統級的安全要求和標準體系，大體上就是頂層設計建立了基于技術和管理方法的評估規范、驗收規范。系統設計建立了DCS、現場總線、PLC系統安全設計規范。產品設計，即將建立基于潛入式系統的產品安全規范。總得我們現在在開發和應用的多種現場總線系統里，基本上是圍繞著信息安全標準體系的三個方面進行了框架的設計。

在應用領域里，我們大體是這樣區分的。一個是工程系統所應用的領域，還有現場設備層以至于產品生產的生命周期。大家看從層次上，我們有現場總線設備層、現場控制層、過程監控層，在應用領域我們前面談到了也是我們國家政府部門、包括科技部、信息部確定的，目前我們是十幾個領域都由于有網絡安全帶來的一些危害，把它提到了非常重要的一個層面，我們現在很典型的，我這里已經舉了幾個領域，石油、化工、冶金、電力，這是我們考慮的應用領域。在產品生命周期，剛才我談到從設計、制造、使用、維護、回收都要考慮到既然你是作為工業網絡控制，那么從標準的制定上，你就要考慮到這幾個方面。

目前我國工業網絡控制標準到什么程度，前面我們已經發布的今年2月和5月分別發布了兩個標準，但我國的標準是半年以后才能實施，我們這兩個標準前面叫做GB/T，這都是推薦性國家標準。在我們這個領域推薦性國家標準有三個要素要求，一是說我們的信息安全在我們引進的技術里，在應用過程中不斷的演變和發生出現了我們要把工業控制網絡安全必須提到生產制造和應用過程中的日程上來，所以，我們的GB/T標準引進和轉化標準的同時，其中有一個必須要是專利轉讓。為什么專利要轉讓，因為在我國做這個標準是推薦標準，如果專利不轉讓，我們的標準還要拿到國外去測試，這有一個侵權的問題或者說同意不同意。

第二個要有測試中心，我們的網絡平臺賽可達實驗室也是一個測試中心，也是在網絡方面提供了測試基地和手段，我們工業儀器儀表自動化也是這樣的，這在我國的標準中是一個要求，一定要有測試中心。

第三個要有制造商和生產基地。我們有這樣三個條件才能形成GB/T的標準，否則國家不會批準你這個標準。我們有了這個標準才會在行業里有一個大家共同的尺子，我們共同按照這個標準來設計、制造、維護、開發和應用。

在制定的標準，由于這個工作在近十年、特別是近五年，再近一點，近兩年，國家政府提出了要求，隨著國家層面的要求和我們在實施過程中也提到了非常緊迫的關頭，所以，標準也在不斷的修訂增加?，F在已經發布的行業標準也有了三項，我們做行業標準，大家知道是比較嚴格，但不能夠形成國際標準，仍然是邁不出去國門。所以，我們現在工業網絡控制和我們現場總線的系統的應用應該說大部分都是和國際接軌的，所以，工業網絡控制也不要留存。

信息安全等級，從標準上可以劃分這樣幾個等級。

一是管理等級，也是基于ISO? 27002的管理要求，基于WIB，三級劃分。

二是系統能力等級，它是基于IEC62443-3-3技術要求，四級劃分。

三是信息安全等級，管理要求與技術要求加權，四級劃分。作為信息安全在工業控制領域里也有非常嚴謹的操作程序和規范。

工業控制網絡安全周期我們這里做了一個形象的模型–V模型。V模型在劃分的內容里大體有這樣幾塊，一個是評估和驗收，這樣我們不是簡單說一個工業網絡控制安全，那就是加了一個插件或者加了一個隔離墻，也就能夠完全的系統的安全的問題，它也是按照標準的程序，這里不一一解釋了。在我們的圖表里也有，這是標準在自修訂過程中已經是給規范了的一些具體的要求。

在工業領域里從事的交換機，我們在PIC系統里是在工業控制系統里最常用的一個單元。定義了現場總線，設備層、運營管理層的要求，過去我們只是談它能夠可靠運行，現在把它細分到功能安全和信息安全，功能安全是我們在硬件各系統里面能不能夠保證你正常的運行，信息安全提升到了我們剛才談到的數字化、智能化的問題，也是提到信息安全是不可回避的問題，所以，提到了一個非常高的要求。這里面是標準以外的一個話題，信息安全在工業領域的應用是有成本的，這個一會兒我們青島多芬諾的劉總談到的時候會具體給大家做一個解讀。為什么，因為我們工業領域的應用并不是說信息安全必須，但是是不可或缺，這句話怎么理解？就是說我們根據用戶的應用環境和應用領域的需求，你選擇的不同，包括的等級不同，剛才談到的幾級防控等級不同，所付出的成本是不同的，這個就是在我們的工業控制安全里，也是在我們這個領域有選擇的使用。但是隨著我們技術的發展，成本的降低，當然防護得等級越高越好，在工業領域目前還不是這樣一種選擇。

主要描述的風險內容、安全技術要求、安全管理要求、檢測與驗收等。這包括系統生命周期內的設計開發、安裝、運行維護、退出使用等各階段與系統相關的所有的活動，也就是我們在PIC最基本的系統信息安全提出了這樣的要求，這也是我們目前在工業自動化控制網絡最基礎的一個合理要求。

DCS系統安全的要求，大體上我們做的是比較清楚了，除了這幾個方面，從標準的設計考慮上，主要是安全防護，安全管理，風險與脆弱性和安全評估。從前面我講到現在，不管是任何一個工業控制自動化的系統，我們是多總線系統，都是圍繞著ISO/IEC、GB/T這幾個標準來付諸實施，離不開這幾個要素。所以從安全防護，特別是這里提到的幾個定義，計算控制系統在運行和維護中應該具備的安全能力和防護技術要求，這就是我們現在在搞研發、開發設計包括集成、運行維護上首先要考慮的一個。

安全管理，標準定義了集散控制系統在運行和維護過程中應具備的安全管理要點和防護管理要求。我談這個，后面我就不再講了，就是我們一個設計人員、開發人員必須要從一個標準考慮，否則業主也不會接受，這就是由于網絡的提升發展，對我們工業裝備制造業提到了信息化和工業自動化來提升我們的工業裝備的水平，是一個緊密的聯系，所以，最后我們的依據還都是以標準作為依據。

剛才主持人也說了，這個現在是一個非常熱的話題，對我們來說熱中必須去實踐，所以，我們面臨的挑戰，大體上我總結了幾條。

一是安全防空意識應當加強。因為今天我們是研討會，我主要是開場白，為我們劉總做一個鋪墊，我不展開了，因為這個話題現在確實是非常廣泛，非常多也非常深。

二是建立政策+管理+技術的模式。 為什么從剛開始講，就是從政府層面以至于到管理層面，以至于到應用層面，還有我們從技術層面、標準來制定來規范，這都是我們現在面對現實不去做這個工作，可能我們很多談技術進步、現代化、信息化和工業自動化都是不現實的。但是這里面也存在很多需要現實多方合作去解決的問題，包括政府宏觀指導。

三是測試技術和測試平臺缺乏。我們雖然有了標準，剛才我也談到了GB/T的三個條件，但現在我們工業裝備包括我們的控制系統，我們現在用的工業裝備的控制系統應該說80%都是國外進口的，我們要把進口的設備在引進的時候就談好要轉化成國家標準，要不同意就不買你的，這是我們的原則，但事實上不一定完全做得到，但只要是進來我們就要設法轉成GB/T。轉成GB/T首先就要有自己的測試能力，包括網絡信息安全這方面也是這么做的，我們工業控制網絡也是這么做的。但進來以后成本是非常高的，設計成本和測試成本、設備，包括人員都要是專門進行培訓，成本比較高。但我國恰恰在這方面還是薄弱的，人才是非常大的一個問題，因為你要了解工業裝備的技術發展的情況和應用，還要了解互聯網，了解工業控制網絡的特點，首先就是缺乏人才。二是裝備，測試應該是在應用前或者是對開發出來產品做一個判斷，這個測試手段在國外投資是很高的，在我們這里要想上一套系統，一個系統又不能解決多個問題，這也是目前存在的問題。

四是國外機構主導安全的評估。剛才我談到了，現在工業控制網絡大部分的應用主導還是靠進口，進來以后我們所通過標準委員會和國際建立聯系，超前性沒有問題了，但到中國來實施還有相當一段路程。

總結一句話，安全命脈掌握在發達國家，從標準修訂的藍圖上看，從ISO/IEC、從國際上美國、英國、包括日本都占了非常高的份額，現在國內也是在積極的跟蹤和開發。

工作建議

一是對重大的設施、裝備等進行風險評估，要明確重大危險源和生產工藝，不是說我們所有的都要必須解決工業網絡安全的方案，但是我們應該必須去考慮，根據我們應用環境的需求和業主的需求，不是一個方案來解決，但不是說不可以用不可以上。開展安全分級管理，加快國家標準和相關規范制定，建立認證評估體系。這是剛才談到前面的一些問題總結的第一個建議。

二是積極跟蹤和參與國際認證規范的制定，這也就是說今天我和劉總到這里來介紹情況，我們現在在消化國際的工業網絡控制安全方面的技術和標準不落伍，因為我們有這個團隊，有我們的專家和國際保持著標準自修訂的這么一個平臺，這個不落伍，大家要跟蹤，跟蹤掌握了才知道我們的不足，根據我們的需求來解決我們的不足，來完善我們的不足。從設計起步階段反映我國的產業需求，體現我國工業安全意志。今天在這個會議上談工業網絡控制，我看了這個介紹，它僅僅這么一小段，這一小段我覺得也是提升了我們工業網絡在控制安全方面的主要的一個意思，有這個意思，我們這兩個領域，每次我們講工業控制網絡安全，我們的聽眾代表都在兩三百人，今天我們的這個主題并不是以此作為大會主題，而是以分會場的部分，所以在我們這個領域里現在談到工業網絡控制安全是非常積極的，也是非常有想法，大家都希望我們的裝備制造業提供給不同領域應用的裝備都能夠是先進的，能夠跟上國際水平的，所以，工業控制網絡安全在我們領域里是非常重要的。

三是建立國家級的工業安全測評中心或實驗室。這部分工業控制網絡安全的評估和測試的投入是非常高的，而且是和國際接軌，要達到一定的測試水平和認證能力，也是要達到很高的要求。

四是加速人才隊伍培養，全面掌握工業控制網絡的相關安全知識。因為我們的領域在裝備制造業配套的設備，提到了網絡、互聯網、物聯網，這也是這幾年引申以后把工業控制網絡提升到裝備制造業水平的角度，所以在這方面也缺乏一些這方面的知識，現在的學生可能在大學里能多方面接觸，在五、六十年代甚至七十年代搞裝備制造業的一些專家和畢業生，他們接觸的并不多。所以，這個也是我們目前的一個實際情況。

特別對工業信息安全：不可能實現一個認證全球通行。這句話的意思是我們的信息安全很重要，工業控制網絡安全更重要，還是那句話，它是一個不斷完善，根據我們的需求來強化的一個新的、服務現代工業自動化的一個裝備和系統。

謝謝大家。