【赛迪网-IT技术讯】2014年12月2日,全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)秘书处在中国职工之家组织召开了“推荐性国家标准GB/T30976.1~.2-2014《工业控制系统信息安全》(2个部分)发布暨报告会。
国家标准化管理委员会工业二部戴红主任、张成宇同志;科技部高新司先进制造与自动化处孙权副处长;工信部装备司机械处辛晨华处长;工信部协调司蔡野处长; SAC/TC124秘书长王春喜主任等领导出席了会议。机械工业仪器仪表综合技术经济研究所欧阳劲松所长主持了会议。
戴红主任根据中华人民共和国国家标准公告2014年第19号批复,宣布《工业控制系统信息安全》(2个部分)已被国家质量监督检验检疫总局、国家标准化管理委员会批准为推荐性国家标准,标准编号和名称为:
GB/T 30976.1-2014—工业控制系统信息安全第1部分:评估规范;
GB/T 30976.2-2014—工业控制系统信息安全第2部分:验收规范。
孙权副处长结合当前科技工作,做了工控信息安全的技术研究思路主题发言,并希望全国工业过程测量控制和自动化标准化委员会能够再接再厉,与国家科技攻关项目密切配合,开展重点领域工业控制系统及其关键设施的信息安全标准研制工作,逐步完善我国工业控制领域的信息安全标准体系。
标准起草工作组王玉敏高工代表工作组对该标准的制定、审查和工作过程做了说明;机械工业仪器仪表综合技术经济研究所的梅恪副所长作了《中国工控系统信息安全技术标准体系》报告,介绍了秘书处在工控系统安全标准体系建设方面的设想。中国核电工程有限公司的张玉锋主任工程师介绍了《核电厂网络安全实施现状》,北京和利时有限公司的王弢高工介绍了《工业企业在工业信息安全工作中面临的挑战》。青岛多芬诺信息安全技术有限公司的刘安正总经理介绍了《工业控制网络和系统信息安全解决方案》,北京力控华康科技有限公司的龚亮华副总经理介绍了《工业控制系统信息安全本地化产品研发》。
来自核电、电力、石油化工、冶金、铁道、汽车、仪器仪表、自动控制、规划、设计院所等应用领域的用户、系统集成商、设备生产商等100多位专家代表在发布及报告会现场互动交流。与会领导、专家在发布会上与15家专业媒体见面会并回答了记者的提问,会场内、外气氛非常热烈。
众所周知,工业控制系统广泛用于冶金、电力、石油石化、核能等工业生产领域,以及航空、铁路、公路、地铁等公共服务领域,是国家关键生产设施和基础设施运行的“中枢”。从工业控制系统自身来看,随着计算机和网络技术的发展,尤其是信息化与工业化深度融合,工业控制系统越来越多地采用通用协议、通用硬件和通用软件,通过互联网等公共网络连接的业务系统也越来越普遍,这使得针对工业控制系统的攻击行为大幅度增长,也使得工业控制系统的脆弱性正在逐渐显现,面临的信息安全问题日益突出。2010年的“震网”病毒、2012年的超级病毒“火焰”等专门针对工业控制系统的病毒爆发给用户带来了巨大损失,同时直接或间接地威胁到国家安全。
世界各国高度重视工业控制系统的信息安全,美国、德国等发达国家纷纷加大力度研发涉及工业生产运行的相关设备和网络的安全防护技术,我国对工业控制系统的信息安全高度重视,要求加强重点领域工业控制系统的信息安全管理,以保障工业生产运行安全、国家经济安全和人民生命财产安全。在国家政策方面,《“十二五”国家战略性新兴产业发展规划》、《标准化事业发展“十二五”规划》都将网络信息安全作为新一代信息技术产业的重点内容。2011年9月,工业和信息化部《关于加强工业控制系统信息安全管理的通知》,要求加强国家主要工业领域基础设施与工业控制系统的安全保护工作。2012年6月发布《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》,将保障工控系统等重点领域的信息安全作为一个重要方面来强调。2014年2月27日,中央网信领导小组正式亮相,习近平任组长,李克强、刘云山为副组长。中央网信领导小组“要发挥集中统一领导作用”,其任务包括发展与安全两个方面。8月26日,国务院授权重新组建的国家互联网信息办公室(简称国家网信办、国信办)负责全国互联网信息内容管理工作,并负责监督管理执法。这些都充分说明我国对信息安全越来越重视。
本次会议发布的《工业控制系统信息安全》系列国家标准是我国工控领域首次发布的正式标准,这个系列标准的发布填补了我国针对工控领域无标准做依据进行系统和产品评估和验收的空白。标准的主要内容包括安全分级、安全管理基本要求、技术要求、安全检查测试方法等基本要求,适用于系统设计方、设备生产商、系统集成商、工程公司、用户、资产所有人以及评估认证机构等对工业控制系统的信息安全进行评估和验收时使用。这个系列标准的发布,对今后建立国际领先的工业控制系统信息安全评估认证机制,形成我国自主的工业控制系统信息安全产业和标准体系,保障国家经济的稳定增长和国家利益的安全,具有现实意义。