我國工業(yè)控制信息安全研究基礎(chǔ)還非常的薄弱

時間：2020-05-12 23:18:01

關(guān)鍵字：工業(yè)控制信息安全工業(yè)控制系統(tǒng) 測試

手機(jī)看文章

掃描二維碼
隨時隨地手機(jī)看文章

[導(dǎo)讀] （文章來源：OFweek）工業(yè)控制系統(tǒng)出現(xiàn)的時間要早于互聯(lián)網(wǎng)，傳統(tǒng)的工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，安全設(shè)計規(guī)范要求以抗物理攻擊為主，基本沒有或很少考慮互聯(lián)互通所產(chǎn)生的信息

（文章來源：OFweek）

工業(yè)控制系統(tǒng)出現(xiàn)的時間要早于互聯(lián)網(wǎng)，傳統(tǒng)的工業(yè)控制系統(tǒng)采用專用的硬件、軟件和通信協(xié)議，安全設(shè)計規(guī)范要求以抗物理攻擊為主，基本沒有或很少考慮互聯(lián)互通所產(chǎn)生的信息安全問題。隨著互聯(lián)網(wǎng)技術(shù)的出現(xiàn)與商業(yè)運用，低成本的基于IP協(xié)議的設(shè)備開始逐步取代以往的專用解決方案，為提高工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的互聯(lián)和遠(yuǎn)程訪問的能力，工業(yè)控制系統(tǒng)也開始采用信息系統(tǒng)解決方案，導(dǎo)致工業(yè)控制系統(tǒng)信息安全脆弱性和隱患增大。

從2002年起，美國就開始重視工業(yè)控制系統(tǒng)信息安全問題，由國土安全部和能源部牽頭，以石油化工、電力等能源行業(yè)為重點，在工業(yè)控制系統(tǒng)安全領(lǐng)域進(jìn)行了大量的工作，已形成相對完整的工業(yè)控制系統(tǒng)信息安全管理體制和技術(shù)體系。美國相繼提出了《工業(yè)控制系統(tǒng)安全指南》、《聯(lián)邦信息系統(tǒng)和組織的安全控制推薦》、《提高SCADA系統(tǒng)網(wǎng)絡(luò)安全21步》、《控制系統(tǒng)安全一覽表：標(biāo)準(zhǔn)推薦》、《加強(qiáng)SCADA系統(tǒng)及工業(yè)控制系統(tǒng)的安全》等一系列國家指南；推出了《北美大電力系統(tǒng)可靠性規(guī)范》、《美國化工設(shè)施反恐標(biāo)準(zhǔn)》、《SCADA通信的加密保護(hù)》、《管道SCADA安全》和《石油工業(yè)安全指南》等行業(yè)標(biāo)準(zhǔn)規(guī)范。

美國國土安全部聯(lián)合國防、能源、交通、外交等14個國家直屬部委，2009年推出了《國家關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計劃》最新的修訂版，提出了一個針對國家關(guān)鍵基礎(chǔ)設(shè)施的風(fēng)險管理框架；2010年，國土安全部和能源部聯(lián)合發(fā)布的《能源領(lǐng)域關(guān)鍵基礎(chǔ)設(shè)施保護(hù)計劃》，制定了能源領(lǐng)域工業(yè)控制系統(tǒng)安全保障路線圖，提出在10年內(nèi)完成對工業(yè)控制系統(tǒng)設(shè)計、安裝、操作和維護(hù)等環(huán)節(jié)的信息安全防護(hù)工作。

在技術(shù)研究方面，美國國土安全部制定了專門的工業(yè)控制系統(tǒng)安全計劃，形成了由國家職能部門協(xié)調(diào)管理、國家級專業(yè)隊伍、實驗室和科研機(jī)構(gòu)提供技術(shù)支撐、用戶及廠商共同參與的技術(shù)研究體系，并依托模擬仿真平臺，綜合現(xiàn)場檢查測評與實驗室測評建立了工業(yè)控制系統(tǒng)信息安全測評體系。2005年，美國能源部建設(shè)并完成了關(guān)鍵基礎(chǔ)設(shè)施測試靶場，制定了國家SCADA測試床計劃。美國國土安全部下屬的工業(yè)控制系統(tǒng)應(yīng)急響應(yīng)小組(ICS-CERT)同聯(lián)邦計算機(jī)安全事件應(yīng)急響應(yīng)小組(US-CERT)協(xié)作，以工業(yè)控制系統(tǒng)安全為關(guān)注點，開展了大量的安全測評技術(shù)工作。

俄羅斯、英國、德國、法國、日本、韓國等國家均將關(guān)鍵基礎(chǔ)設(shè)施中的工業(yè)控制系統(tǒng)作為網(wǎng)絡(luò)安全戰(zhàn)略重點，但這些國家尚未形成比較成熟的指南、準(zhǔn)則和法規(guī)，且在相關(guān)技術(shù)支撐方面還比較匱乏。伊朗核電站事件對歐盟的工業(yè)控制系統(tǒng)信息安全敲響了警鐘，2011年底，歐盟專門出版了一份名為《保護(hù)工業(yè)控制系統(tǒng)》的專刊，對工業(yè)控制系統(tǒng)信息安全進(jìn)行了全面、系統(tǒng)的介紹。

2011年10月，我國工信部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》，標(biāo)志我國在工業(yè)控制系統(tǒng)信息安全領(lǐng)域掀開了新的篇章，但是我國工業(yè)控制系統(tǒng)信息安全技術(shù)研究基礎(chǔ)目前還十分薄弱，工業(yè)控制系統(tǒng)信息安全技術(shù)研究尚未起步。
? ? ? ?