卞正岗：信息安全成为工业自动化领域当务之急

一、概述

2012.5.22~23在北京举行了第11届工业自动化与标准化的研讨会，主题是测控系统Security & Safety，其中功能安全在往届研讨会中已经深入研讨过。第10届研讨会上，伯钠法就指出中国在TC65中的贡献就有IECB1010-2的新项目，包含了控制系统的安全要求和相关测试等。正如仪综所欧阳劲松所长所说，工业领域的安全可分为三类，即功能安全（Function Safety），物理安全（Physical Safety）和信息安全（Information Security）。作为信息安全，包含范围很大，工业控制系统的信息安全只是其中的一部分。我们要在全面了解通用信息安全的同时，了解工业控制系统信息安全的个性要求。相关标准前者是ISO/IEC 27000（27000为定义），后者是IECB2443。通用信息安全的三个目标依次为保密性、完整性和可用性，而工业控制系统信息安全的三个目标优先级服务则为可用性、完整性、保密性。IECB2443定名为“工业过程测量、控制和自动化网络与系统信息安全”，分4部分，即通用、信息安全程序、系统技术和部件技术，即涵蓄了对资产所有者（用户业主）、系统集成商、部件制造商的要求。欧阳劲松所长还指出信息安全的评估和测试，事关国家安全，所以要把它放在国人的手中。类似于功能安全中 SIL安全完整性等级，在IEC62443中引入信息安全保证等级（Security Assurance Level, SAL）的概念。考虑全生命周期的安全性，及出目标（target） SAL、设计（design）SAL、达到(achieved) SAL和能力（capability）SAL，进行评估和测试。

会上机械工业仪器仪表综合技术经济研究所副总工程师梅恪后由王玉敏代发言，详细讲解了“工业控制系统信息安全中国标准化发展思路，”指出2011年11月，在拉斯维加斯举行的黑客大会上，演示了如何进攻中国主要基础行业正在使用的工控系统，并对信息安全领域情况、工业对信息安全的要求、标准化实施计划、评估和验收进行讲解。最后举实例进行识别危险源、给出数据统国、划分区域、划分管道、提出要求、采取措施、工程进行实施、考虑组织管理措施、人员能力指施、最后进行安全态势分析等项的说明。

会上IEC/TC65新任秘书长如迪?比利亚迪对信息安全的标准化工作进行了全方面深入的讲演，为我们标准化工作志到了促进作用。欧洲电气电子行业机构、TÜV南德意志大中华集团对会议的有力支持也使用会议增色。会上还传达了工信部协[2011]45号关于加强工业控制系统信息安全管理的文件精神，使大家对信息安全更加重视。

二、具体讲演和展示：

会上除中国石化工程建设公司付总工程师林融属于最终用户讲演的外，国内外厂商十余家在两天内进行了讲解和演示，具体有菲尼克斯、ABB、CC-Link、霍尼韦尔、东土科技、多芬诺、施耐尔、西门子、贝加莱、E+H、罗克韦尔、和利时等公司，他们提供了相关硬件、软件和解决方案、工程经验，都证明信息安全、功能安全、物理安全有着丰富的实践经验有待总结，市场广阔、需求旺盛有待我们去引导，标准化工作更是适逢其时，顺应潮流。

会上罗克韦尔华镕以远程访问工业自动化和控制系统为例解释了纵浑防御策略，指出信息安全实施步骤有8步；1，使用标准企业远程访问方案，基于客户机的形式，使用IP安保（IPsec）加密的虚拟个人网络（VPN）技术，通过因特网安全地连接企业的边界。VPN的建立需要对远程个人进行远程难证拨入用户服务（RADIUS），这通常是由IT部门组织实施和管理。2，使用隔离区（DMZ）/防火墙中的访问控制列表