工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟

隨著越來越多的工控系統(tǒng)接入信息網(wǎng)，工控系統(tǒng)的信息安全成為了日益突出的問題。工控系統(tǒng)在電力行業(yè)、交通運輸、石油石化等重要領(lǐng)域有廣泛應用，這些領(lǐng)域的安全問題關(guān)乎國家安全；另外工控系統(tǒng)較多地采用了通用協(xié)議、通用硬件和通用軟件等，急需相關(guān)規(guī)范文件的約束。在這種情況下，《GB/T 32919-2016信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應用指南》應運而生，它專門針對各領(lǐng)域各行業(yè)的工控系統(tǒng)編寫，規(guī)范工業(yè)控制系統(tǒng)的安全需求，從工業(yè)企業(yè)的方方面面指導工業(yè)企業(yè)信息安全建設，為我國工控系統(tǒng)信息安全相關(guān)工作奠定基礎。本期專刊中，工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟就針對這一標準進行解讀。

Q：GB/T 32919-2016適用范圍是什么？

A：工控企業(yè)行業(yè)眾多，不同行業(yè)之間的工控系統(tǒng)存在較大差異，32919-2016適用于工業(yè)領(lǐng)域的各個行業(yè)，整個標準規(guī)約了工業(yè)企業(yè)從設計到建設到運行，從人員安全到設備安全到環(huán)境安全等各個方面。作為包含了800余個控制點的標準，它可作為工業(yè)控制系統(tǒng)信息安全體系建設評估依據(jù)，也可指導企業(yè)工控系統(tǒng)的安全整改。另一方面，可作為政府工控安全檢查的技術(shù)性規(guī)范，亦可作為企業(yè)工控安全自查的指導性文件。

Q：GB/T 32919-2016有哪些亮點？

A：32919-2016亮點很多。第一，它是國內(nèi)首個覆蓋工業(yè)企業(yè)全生命周期的工控安全標準；第二，標準包括了18個控制族、近900項工控系統(tǒng)安全控制點，從技術(shù)、管理、運維三方面規(guī)約工業(yè)企業(yè)的信息安全設計建設；第三，32919-2016作為工業(yè)控制系統(tǒng)安全通用標準，可通過裁剪形成各行業(yè)的工控安全標準，為工控領(lǐng)域各行業(yè)規(guī)范細則的制定奠定有力的基礎。

Q：GB/T 32919-2016在哪些方面對開展工控安全保障相關(guān)工作提供了指導依據(jù)？

A：首先，該標準作為首個可應用于工業(yè)控制系統(tǒng)信息安全測評工作、多行業(yè)通用的國家標準，為后續(xù)工控系統(tǒng)信息安全測評相關(guān)標準奠定基礎。其次，從標準本身來說，該標準從技術(shù)、管理、運維的18個方面開展工控安全保障工作，覆蓋了企業(yè)生產(chǎn)運營的全生命周期。比如：技術(shù)上的訪問控制、系統(tǒng)和通信保護，管理上的安全評估、規(guī)劃管理，運維上的事件響應、介質(zhì)保護等。為評估機構(gòu)的測評工作以及工業(yè)企業(yè)的自查工作提供了指導依據(jù)。

Q：GB/T 32919-2016對于我國工控信息安全保障工作的意義是什么？

A：隨著“工業(yè)4.0”、工業(yè)互聯(lián)網(wǎng)、《中國制造2025》的不斷推進，我國傳統(tǒng)的工業(yè)企業(yè)逐漸從自成體系且封閉獨立的系統(tǒng)走向了開放，這就造成了工業(yè)領(lǐng)域的信息安全形勢日趨嚴峻。工業(yè)企業(yè)一旦出現(xiàn)信息安全問題，輕則帶來經(jīng)濟損失，重則關(guān)乎公眾權(quán)益，社會穩(wěn)定，國家安全。本標準有力支撐工控系統(tǒng)信息安全評估工作，確保我國工業(yè)企業(yè)的正常生產(chǎn)運營，保障信息安全，維護國家利益。標準一方面可作為工業(yè)企業(yè)的信息安全評估規(guī)范性文件，另外可作為工業(yè)企業(yè)日常自查時的指導文件。

Q：目前國外在工控信息安全標準的具體情況，與國內(nèi)有哪些不同？

A：國外標準化機構(gòu)、應急響應機構(gòu)針對工業(yè)控制系統(tǒng)發(fā)布了若干的指導標準。他們從信息網(wǎng)絡的角度，將信息網(wǎng)絡的安全思路自然延伸到工業(yè)控制領(lǐng)域，制定相關(guān)的安全標準，典型的代表為NIST發(fā)布的SP800-82指南。

我國標準化機構(gòu)針對工業(yè)控制系統(tǒng)也發(fā)布了若干標準，是在前期的企業(yè)調(diào)研、研究分析的基礎上制定的。通過調(diào)研，深刻分析工控信息安全與傳統(tǒng)信息安全的差異性，制定出專門針對工控系統(tǒng)信息安全的標準。另外，通過對工控系統(tǒng)多行業(yè)的分析研究，找出各行業(yè)間的差異性，在通用標準的基礎上又推動制定了不同行業(yè)的工控信息安全標準。

Q：未來，針對于工控信息安全領(lǐng)域還會有哪些標準相繼出臺？

A：就工業(yè)控制系統(tǒng)信息安全標準體系來說，目前在安全等級、安全測評、安全實施三方面的標準已較為完善，但在安全要求方面的標準仍需加強。未來將會出臺《工業(yè)控制系統(tǒng)安全技術(shù)基本要求》、《工業(yè)控制系統(tǒng)安全管理基本要求》以及針對工控產(chǎn)品的系列標準等，都是針對工控系統(tǒng)的安全要求。

摘自《工業(yè)控制系統(tǒng)信息安全》專刊第四輯