近日,工业信息安全产业发展联盟发布了2019年度《工业信息安全标准化白皮书》,首次明确界定了工业信息安全相关概念之间的关系, 全面分析了当前工业信息安全标准化工作中存在的问题,并梳理总结了国内外工业信息安全相关标准情况,提出了工业信息安全标准体系框架。
作者 绿盟科技安全服务部咨询服务组 胡斌
来源 工业互联网安全应急响应中心(微信号ICSCERT)
前言
随着我国信息化和工业化的深度融合,过去存在与虚拟网络空间的IT系统逐步与对现实世界产生影响的工业生产系统互联互通,一方面极大促进了工业生产的网络化、协同化,同时由此带来的工业信息安全事件和事故不断发生,相关网络安全形势日益严峻的当下,亟需加强工业信息安全标准化工作,奠定两化融合的安全基石。
近日,工业信息安全产业发展联盟发布了2019年度《工业信息安全标准化白皮书》,首次明确界定了工业信息安全相关概念之间的关系, 全面分析了当前工业信息安全标准化工作中存在的问题,并梳理总结了国内外工业信息安全相关标准情况,提出了工业信息安全标准体系框架。
1、 什么是工业信息安全
工业领域信息安全的总称,涉及工业领域各个环节,包括工业控制系统安全、工业数据安全、工业云安全等内容。
2、 工业信息安全的本质
确保工业生产运营流程不被攻击或破坏,实现稳定的生产过程,完成既定的生产目标,保障生产执行过程的要素不被篡改或盗取。
3、 工业信息安全的内容
工业信息安全涉及工业控制系统安全、工业互联网平台安全、工业物联网安全、工业数据安全、工业云安全等。
4、 工业信息安全标准化组织
国外工业信息安全标准化相关组织包括国际电工委员会( IEC)、电气和电子工程师协会( IEEE)和国际自动化协会( ISA)、美国国家标准与技术研究院( NIST)、美国国土安全部( DHS)、美国工业互联网联盟( IIC)、美国天然气协会(AGA)、美国石油协会(API)、美国能源部(DOE)、美国核管理委员会(NRC)、欧盟工控安全应急响应组( ICS-CSIRT)、荷兰国际仪器用户协会( WIB)、荷兰国际仪器用户协会( WIB)、瑞典民防应急局( MSB)等,美国、欧盟等发达国家和组织在工业信息安全标准化方面走在前列。
我国工业信息安全标准化相关组织包括全国信息安全标准化技术委员会( TC260)、全国机械安全标准化技术委员会( TC296)、全国工业过程测量控制和自动化标准化技术委员会( TC124)、公安部信息系统安全标准化技术委员、全国烟草标准化技术委员会和电力行业标准化技术委员会等,21世纪初期开始研制并发布了一系列标准,但我国的工业信息安全标准化工作起步较晚,大多数的标准是在欧美发达国家的标准基础上制定产生,仍处于起步阶段。
5、 工业信息安全标准发展趋势
未来,我国工业信息安全标准将主要呈现“研制体系化、合作国际化、影响扩大化”三方面的趋势。
6、 工业信息安全标准体系
工业信息安全标准体系主要由基础共性类标准、 安全防护类标准、 安全服务类标准、 垂直行业类标准组成。
7、 绿盟科技工业信息安全标准化关注
绿盟科技作为一家专业的信息安全企业,长期致力于为电力、烟草、钢铁、汽车、交通、制造等行业提供工业信息安全支撑和保障,在工业信息安全风险评估和测评、工业信息安全管理咨询、工业信息安全技术服务、工业信息安全技术防护等方面拥有长期的积累和经验,未来将积极重点参与我国工业信息安全标准化活动,参与和主动承担工业信息安全架构与模型、工业平台安全防护、工业数据安全、工业信息安全检查评估、工业信息安全应急服务等标准的起草工作,包括标准实验验证和讨论等。
[1] 图1 工业信息安全概念关系图引用于《工业信息安全标准化白皮书》
[2] 图4工业信息安全标准体系框架引用于《工业信息安全标准化白皮书》