工控安全相關定義和標準

傳統IT安全與工控安全

傳統信息安全一般要實現保密性、完整性和可用性三個目標，并且將保密性放在第一位，可用性置于最后。但是對于工業控制系統來說，目標優先級的順序恰好相反，如圖4所示。

圖4 工控系統和通用IT系統實現目標優先級的比較

工控系統信息安全首要考慮的是所有系統部件的可用性，保密性通常都在最后考慮，因為工業數據都是原始格式，需要配合有關使用環境進行分析才能獲取其價值，而系統的可用性則直接影響到企業的經營和生產，生產線停機或者誤操作都可能導致巨大的經濟損失，甚至是人員的生命危險和環境的破壞。當工業控制系統安全保護層被突破后仍必須保證生產過程的安全，盡量降低對人員、環境、資產的破壞。除此之外，工控系統的實時性指標也非常重要，控制系統要求響應時間大多在1毫秒以內，而通用IT業務系統能夠接受1秒或數秒內完成。工業控制系統信息安全還要求必須保證持續的可操作性及穩定的系統訪問、系統性能、專用工業控制系統安全保護技術，以及全生命周期的安全支持，這些要求都是在保證信息安全的同時也必須滿足的。

國際定義和標準

針對工控系統信息安全，IEC/TC65/WG10（工 業 過 程測量、控制自動化/網絡與系統信息安全工作組）與國際自動化協會ISA 99成立聯合工作組，共同制定IEC 62443《工業過程測量、控制和自動化 網絡與系統信息安全》系列標準。IEC 62443是在國際上被廣泛采納和認可的工控系統標準，各國、各行業制定工控相關標準政策都會參考和吸收該標準提供的概念、方法、模型，不論是想系統地了解工控系統安全問題及其應對措施，還是想了解其中部分內容，都可以從該標準入手。

一般來說，工業領域的安全可以分為三類，即功能安全、物理安全和信息安全。功能安全是為了實現設備和工廠安全功能，受保護的安全相關部分必須正確執行其功能，而且當失效或故障發生時，設備或系統必須仍能保持安全條件或進入到安全狀態。物理安全是減少由于電擊、著火、輻射、機械危險、化學危險等因素造成的危害。信息安全范圍很大，大到國家軍事政治等機密安全、小到防范企業機密泄露、個人信息泄露等。ISO/IEC 27002中對信息安全的定義是“保持信息的保密性、完整性、可用性；另外也可包括例如真實性、可核查性、不可否認性和可靠性等。”

縱觀國際工控安全的發展態勢，美國是最早開始研究和執行工控安全標準的國家，歐洲已經按照WIB標準來檢測工控產品安全，日本基于IEC 62443要求結合阿基里斯認證要求，從2013年起規定所有工控產品必須通過國家標準認證才能在國內使用；以色列已成立國家級工控產品安全檢測中心，用于工控安全產品入網前的安全檢測。

國內工控安全發展

從國內發展情況來看，在2011年工信部就已出臺了《關于加強工業控制系統信息安全管理的通知》，第一次對工控安全管理工作提出了具體要求；2016年10月，工信部印發《工業控制系統信息安全防護指南》，其中指出，工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任11個方面做好工控安全防護工作；2017年12月，工信部印發《工業控制系統信息安全行動計劃（2018-2020年）》，行動計劃提出，到2020年，全系統工控安全管理工作體系基本建立，全社會工控安全意識明顯增強，建成全國在線監測網絡，應急資源庫，仿真測試、信息共享、信息通報平臺（一網一庫三平臺），態勢感知、安全防護、應急處置能力顯著提升，培育一批影響力大、競爭力強的龍頭骨干企業，創建3-5個國家新型工業化產業示范基地（工業信息安全），產業創新發展能力大幅提高。