独家工控安全标准发展现状与思考

【独家】工控安全标准发展现状与思考

1、国际工控安全标准发展

1.1 国际工控安全标准

目前在国际上，工业控制系网络安全标准的研究制定工作主要由IEC/TC 65（工业过程测量、控制和自动化）下的网络和系统信息安全WG10和国际自动化协会（ISA 99）委员会组成的联合工作组负责，该工作组目前主要制定了IEC 62443《工业过程测量、控制和自动化网络与系统信息安全》系列标准。该系列标准如下表所示：

IEC 62443是专门针对工业自动化和工业安全的系列标准。该系列标准，旨在使系统集成商、产品供应商和服务提供商，可以通过使用该标准来评估他们的产品和服务，并依据评估结果判断其产品或服务是否能够为工业控制系统使用者提供有效的安全防护。IEC 62443的目标并不是提供详细规范并建立一个安全的体系架构，其目标是定义一个通用的最小安全要求集，使目标工业控制系统达到各级SALS（Security Assurances Levels，SAL）的安全保障需求。

为了推广IEC62443并抢占标准一致性测试市场，美国仪表协议于2010年成立了ISA信息安全符合性研究院ISCI（ISASecure）。目前开展了如下三项标准符合性测试认证：

·IEC 62443-3-3：系统安全保证（SSA）认证要求

·IEC 62443-4-1：安全开发生命周期保证（SDLA）认证要求

·IEC 62443-4-2：嵌入式设备安全保证（EDSA）认证要求

ISASecure认证需要使用通信健壮性测试（CRT）工具和漏洞识别测试工具。目前ISCI认可测试工具如下表所示：

1.2 美国工控安全标准

美国国土安全部（DHS）作为关键基础设施安全（工控安全）的主管单位，为美国提供关键基础设施安全的战略指导，并与公共和私人合作伙伴合作，协调美国联邦各个单位促进关键基础实施的安全性和可恢复性。美国国家标准与技术研究院（NIST）作为美国工控安全国家标准的制定单位，为支持联邦信息安全管理法案（FISMA）的执行，制定保护国家关键基础设施主要标准，主要为NIST SP800-82和NIST SP800-53两个标准。美国国土安全部发布CSET安全评估工具，推动工控安全标准的使用及对工控安全评估进行工具支撑。

从美国工控安全标准制定组织和成果可以看出，NIST制定工控安全主要标准，标准可跨行业，并且标准不停的滚动发布。从中可看到标准制定的有效经验，第一步解决有无标准的问题，然后再解决标准高质量与普适性问题。从标准成果还可以看出，美国针对SCADA控制系统的安全标准比较多，主要因为SCADA的安全问题在控制系统中尤为突出。从中体现出美国标准制定以解决突出问题为导向，而不是胡子眉毛一把抓。

2、我国工控安全标准发展

2.1 我国已发布的工控安全标准

国家标准

·GB/T 26333-2010《工业控制网络安全风险评估规范》

123下一页>

小雾镜散粉

小雾镜散粉

小雾镜散粉

银耳子面膜