全國信息安全標準化技術委員會秘書處，工業和信息化部電子工業標準化研究院工控標準主管  許東陽

   國外工業控制系統信息安全標準

   國際上，研究工控系統安全的標準化組織有：國際電工委員會（IEC，International Electro Technical Commission）、國際自動化協會（ISA，the International Society of Automation）、美國國家標準技術研究院（ NIST ， National Institute of Standards andTechnology ）。當前，國外發布的工業控制系統信息安全標準主要有：

   • IEC 62443標準

   IEC/TC65（工業過程測量、控制和自動化）下的網絡和系統信息安全工作組WG10與國際自動化協會ISA 99委員會的專家成立聯合工作組，共同制定IEC 62443《工業過程測量、控制和自動化 網絡與系統信息安全》系列標準。目標是定義一個通用的、最小要求集以達到各級SALS（Security Assurances Levels，SAL）的安全保障需求。IEC 62443一共分為了四個部分，第一部分是通用標準，第二部分是策略和規程，第三部分提出系統級的措施，第四部分提出組件級的措施。

   • SP800-82《工業控制系統(ICS)安全指南》

   SP800-82于2010年10月發布，是NIST依據2002年《聯邦信息安全管理法》、2003年國土安全總統令HSPD-7等編制而成。它遵循《OMB手冊》的要求“保障機構信息系統”，為聯邦機構使用，同時允許非政府組織資源使用。該指南概述了ICS和典型的系統拓撲結構，指出了對于這些系統的典型威脅和脆弱點所在，為消減相關風險提供了建議性的安全對策。同時，根據ICS的潛在風險和影響水平的不同，指出了保障的不同方法和技術手段。適用于電力、水利、石化、交通、化工、制藥等行業的ICS系統。

   我國工業控制系統信息安全標準

   目前我國工業控制系統信息安全標準發布、制定情況如下：

   • 全國信息安全標準化技術委員會（TC260）

   （1）在編標準：

  《信息安全技術 SCADA系統安全控制指南》

  《信息安全技術 安全可控信息系統（電力系統）安全指標體系》

   （2）計劃制定

   《信息安全技術 工業控制系統安全管理基本要求》

   《信息安全技術 工業控制系統安全檢查指南》

   《信息安全技術 工業控制系統測控終端安全要求》

   《信息安全技術 工業控制系統安全防護技術要求和測評方法》

   《信息安全技術 工業控制系統安全分級指南》……

  • 全國電力系統管理及其信息交換標準化技術委員會（TC82）

   已發布標準 ：

  《電力系統管理及其信息交換 數據和通信安全 第1部分：通信網絡和系統安全 安全問題介紹》（GB/Z 25320.1-2010）

   《電力系統管理及其信息交換 數據和通信安全 第3部分：通信網絡和系統安全 包括TCP/IP的協議集》（GB/Z 25320.3-2010）

   《電力系統管理及其信息交換 數據和通信安全 第4部分：包含MMS的協議集》（GB/Z 25320.4-2010）

   《電力系統管理及其信息交換 數據和通信安全 第6部分：IEC 61850的安全》（GB/Z 25320.6-2011）

   • 全國工業過程測量和控制標準化技術委員會（TC124）

   （1）在編標準

   《工業控制計算機系統 通用規范 第2部分: 工業控制計算機的安全要求》

  （2）計劃制定

   《工業通信網絡-網絡和系統安全-第2-1部分：建立工業自動化和控制系統信息安全程序》，等同采用IEC 62443-2-1:2010

   《工業控制系統信息安全 第1部分：評估規范》

   《工業控制系統信息安全 第2部分：驗收規范》

  • 全國電力監管標準化技術委員會（TC 296 ）

   在編標準：

   《電力二次系統安全防護標準》 （強制）

   《電力信息系統安全檢查規范》 （強制）

  《電力行業信息安全水平評價指標》 （推薦） 

   摘自《自動化博覽》2013年1期