解读《GB/T 32919-2016信息安全技术工业控制系统安全控制应用指南》

  点击数:982  发布时间:2017-11-06 00:30
随着越来越多的工控系统接入信息网,工控系统的信息安全成为了日益突出的问题。工控系统在电力行业、交通运输、石油石化等重要领域有广泛应用,这些领域的安全问题关乎国家安全;另外工控系统较多地采用了通用协议、通用硬件和通用软件等,急需相关规范文件的约束。
关键词:系统安全 ,信息安全

工业控制系统信息安全产业联盟


随着越来越多的工控系统接入信息网,工控系统的信息安全成为了日益突出的问题。工控系统在电力行业、交通运输、石油石化等重要领域有广泛应用,这些领域的安全问题关乎国家安全;另外工控系统较多地采用了通用协议、通用硬件和通用软件等,急需相关规范文件的约束。在这种情况下,《GB/T 32919-2016信息安全技术 工业控制系统安全控制应用指南》应运而生,它专门针对各领域各行业的工控系统编写,规范工业控制系统的安全需求,从工业企业的方方面面指导工业企业信息安全建设,为我国工控系统信息安全相关工作奠定基础。本期专刊中,工业控制系统信息安全产业联盟就针对这一标准进行解读。


1.jpg


Q:GB/T 32919-2016适用范围是什么?


A:工控企业行业众多,不同行业之间的工控系统存在较大差异,32919-2016适用于工业领域的各个行业,整个标准规约了工业企业从设计到建设到运行,从人员安全到设备安全到环境安全等各个方面。作为包含了800余个控制点的标准,它可作为工业控制系统信息安全体系建设评估依据,也可指导企业工控系统的安全整改。另一方面,可作为政府工控安全检查的技术性规范,亦可作为企业工控安全自查的指导性文件。


Q:GB/T 32919-2016有哪些亮点?


A:32919-2016亮点很多。第一,它是国内首个覆盖工业企业全生命周期的工控安全标准;第二,标准包括了18个控制族、近900项工控系统安全控制点,从技术、管理、运维三方面规约工业企业的信息安全设计建设;第三,32919-2016作为工业控制系统安全通用标准,可通过裁剪形成各行业的工控安全标准,为工控领域各行业规范细则的制定奠定有力的基础。


Q:GB/T 32919-2016在哪些方面对开展工控安全保障相关工作提供了指导依据?


A:首先,该标准作为首个可应用于工业控制系统信息安全测评工作、多行业通用的国家标准,为后续工控系统信息安全测评相关标准奠定基础。其次,从标准本身来说,该标准从技术、管理、运维的18个方面开展工控安全保障工作,覆盖了企业生产运营的全生命周期。比如:技术上的访问控制、系统和通信保护,管理上的安全评估、规划管理,运维上的事件响应、介质保护等。为评估机构的测评工作以及工业企业的自查工作提供了指导依据。


Q:GB/T 32919-2016对于我国工控信息安全保障工作的意义是什么?


A:随着“工业4.0”、工业互联网、《中国制造2025》的不断推进,我国传统的工业企业逐渐从自成体系且封闭独立的系统走向了开放,这就造成了工业领域的信息安全形势日趋严峻。工业企业一旦出现信息安全问题,轻则带来经济损失,重则关乎公众权益,社会稳定,国家安全。本标准有力支撑工控系统信息安全评估工作,确保我国工业企业的正常生产运营,保障信息安全,维护国家利益。标准一方面可作为工业企业的信息安全评估规范性文件,另外可作为工业企业日常自查时的指导文件。


Q:目前国外在工控信息安全标准的具体情况,与国内有哪些不同?


A:国外标准化机构、应急响应机构针对工业控制系统发布了若干的指导标准。他们从信息网络的角度,将信息网络的安全思路自然延伸到工业控制领域,制定相关的安全标准,典型的代表为NIST发布的SP800-82指南。


我国标准化机构针对工业控制系统也发布了若干标准,是在前期的企业调研、研究分析的基础上制定的。通过调研,深刻分析工控信息安全与传统信息安全的差异性,制定出专门针对工控系统信息安全的标准。另外,通过对工控系统多行业的分析研究,找出各行业间的差异性,在通用标准的基础上又推动制定了不同行业的工控信息安全标准。


Q:未来,针对于工控信息安全领域还会有哪些标准相继出台?


A:就工业控制系统信息安全标准体系来说,目前在安全等级、安全测评、安全实施三方面的标准已较为完善,但在安全要求方面的标准仍需加强。未来将会出台《工业控制系统安全技术基本要求》、《工业控制系统安全管理基本要求》以及针对工控产品的系列标准等,都是针对工控系统的安全要求。


摘自《工业控制系统信息安全》专刊第四辑

相关文章


热点新闻
推荐产品