9月24日，2014中國互聯(lián)網(wǎng)安全大會(huì)（ISC）在京舉行。在下午召開的“工控（ICS）安全論壇”上，來自機(jī)械工業(yè)儀器儀表綜合技術(shù)經(jīng)濟(jì)研究所的安全專家歐陽勁松，發(fā)表了名為《工控信息安全—國際標(biāo)準(zhǔn)概況及我國的體系建設(shè)》的主題演講。在演講過程中，歐陽勁松詳細(xì)介紹了國內(nèi)工業(yè)控制領(lǐng)域面臨的技術(shù)問題，以及信息安全標(biāo)準(zhǔn)制情況，并介紹了工控信息安全的改進(jìn)建議。

歐陽勁松認(rèn)為，以智能制造為主導(dǎo)的第四次工業(yè)革命正在興起，而工業(yè)控制系統(tǒng)存在著信息安全的問題。尤其是近年來，國內(nèi)外發(fā)生許多工業(yè)信息系統(tǒng)遭黑客入侵的事件，如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker蠕蟲病毒等，都造成控制系統(tǒng)服務(wù)器與控制器通訊不同程度地中斷，均造成了一定的損失，且產(chǎn)生惡劣影響。

據(jù)歐陽勁松介紹，工業(yè)安全涵蓋了已經(jīng)非常成熟的物理安全、信息安全以及功能安全三方面。針對于信息安全，歐陽勁松進(jìn)行了詳細(xì)解釋：“目前，國際上已制定了工控領(lǐng)域信息安全國際標(biāo)準(zhǔn)，國家及技術(shù)組織標(biāo)準(zhǔn)。”兩項(xiàng)標(biāo)準(zhǔn)分別由IEC/TC65/WG10與ISA99聯(lián)合工作組和ISA安全符合性研究院ISCI進(jìn)行認(rèn)證。

同時(shí)，歐陽勁松針對于工控信息安全領(lǐng)域的最新進(jìn)展做了簡要介紹，在今年6月，國外建立了一個(gè)協(xié)調(diào)Safety和Security的特別工作組（AD-HOCGroup），宗旨是提出建議和新項(xiàng)目提案。

而在信息安全標(biāo)準(zhǔn)體系方面，歐陽勁松表示，聯(lián)合相關(guān)標(biāo)委會(huì)已制定11項(xiàng)國家/行業(yè)標(biāo)準(zhǔn)，初步建立了頂層設(shè)計(jì)、系統(tǒng)設(shè)計(jì)、產(chǎn)品設(shè)計(jì)領(lǐng)域三個(gè)層次系統(tǒng)標(biāo)準(zhǔn)體系，該體系適應(yīng)工控系統(tǒng)所有應(yīng)用領(lǐng)域，涉及現(xiàn)場設(shè)備層到MES層系統(tǒng)層次，產(chǎn)品全生命周期。

相較國際標(biāo)準(zhǔn)，我國也建立了相應(yīng)的行業(yè)標(biāo)準(zhǔn)。目前，已發(fā)布2項(xiàng)國家標(biāo)準(zhǔn)，3項(xiàng)行業(yè)標(biāo)準(zhǔn)，國家標(biāo)準(zhǔn)計(jì)劃項(xiàng)目6項(xiàng)，對行規(guī)測試標(biāo)準(zhǔn)起到積極作用，結(jié)束了行業(yè)認(rèn)證亂象。接下來，歐陽勁松又從管理等級、系統(tǒng)能力等級和信息安全等級三個(gè)方面，對我國工業(yè)控制領(lǐng)域信息安全標(biāo)準(zhǔn)制定情況和最新動(dòng)態(tài)給予詳細(xì)講解。

“相比發(fā)達(dá)國家，我國工控信息仍面臨著安全防控意識不高、政策+管理+技術(shù)的模式不完善、測試技術(shù)和測試平臺缺乏、國外機(jī)構(gòu)主導(dǎo)安全的評估項(xiàng)目少四大挑戰(zhàn)。”歐陽勁松總結(jié)道，我們必須深入研究我國工業(yè)控制系統(tǒng)的行業(yè)特點(diǎn)和需求，有針對性地制定相關(guān)行業(yè)信息安全保障應(yīng)用行規(guī)。

歐陽勁松建議：首先要培育工控信息安全良好生態(tài)環(huán)境，切合實(shí)際的進(jìn)行風(fēng)險(xiǎn)評估，同時(shí)切記泛信息安全化或極端信息安全化；其次，從國家安全的角度考慮，需要加快建立統(tǒng)一、協(xié)調(diào)、獨(dú)立的認(rèn)證評估體系；中國的信息安全認(rèn)證要具有自己的特點(diǎn)，不可能實(shí)現(xiàn)一個(gè)認(rèn)證全球通行的行業(yè)標(biāo)準(zhǔn)。