2016ICS论坛直播——仪综所：我国已初步建立系统级信息安全标准体系

2016年8月12日，在“2016第四届智能制造信息安全发展研讨会”上，来自机械工业仪器仪表综合技术经济研究所的教授级高工王玉敏深入解读了“工控信息安全相关标准”，向与会听众分享了国内外信息安全标准现状以及所面临的热点问题。

（机械工业仪器仪表综合技术经济研究所教授级高工王玉敏）

王玉敏称，国际信息安全标准以ISA Secure的嵌入式设备测试(EDSA)，与IECEE - 工业自动化认证INDA为代表。嵌入式设备测试(EDSA)包含：软件开发安全评估(SDSA)——检测和避免系统设计错误、功能性安全评估(FSA)——检测执行错误/疏忽、通信健壮性测试(CRT)——鉴别网络和设备缺陷三个方面；INDA认证则致力于工业设备电气安全（物理安全）、功能安全与工业信息安全三个方面。其他国家及技术组织标准还有NIST：SP800-82《工业控制系统信息安全指南》，以及WIB M2784《过程控制领域中对供应商的信息安全要求》等。

而就目前国内的信息安全标准而言，我国已相继制定了《工业控制系统信息安全分级指南》、《工业控制系统安全技术要求》、《工业控制系统生命周期各阶段的测评》等11项国家/行业标准，通过这些标准的制定我国已初步建立起了系统级的安全要求标准体系：在顶层设计方面，建立了基于技术与管理方法的评估规范和验收规范；在系统设计方面，建立了DCS、现场总线、PLC系统安全设计规范；在产品设计方面，即将建立基于嵌入式系统的产品安全规范、检测规范。

王玉敏表示，当然在信息安全相关标准方面还面临一些问题及挑战，比如：在技术层面，面向生产工艺的资产模型与安全决策、探测与侦别异常信息的手段、多维联动报警与故障恢复技术、工业级边界防护设备以及工控软件的健壮性设计等诸多方面还存有问题。再比如：在管理、运维层面，安全防控意识尚有待于加强、工业现场实施安全防护是一项复杂的系统工程、对于安全运维人员的技术素质要求很高等诸如此类的挑战。

最后王玉敏指出，工控信息安全是一项长期而艰巨的任务，要顺利实施好这项艰苦卓越的任务，就要建立起“政策+管理+技术”的规范模式，要有所为、有所不为，工控、IT等各领域专家还应群策群力才能达成美好的愿景。