为了尽快制定工业控制系统信息安全等级保护标准,满足国家需求和行业应用,全国工业过程测量控制和自动化标准化技术委员会(SAC/TC124)组织各相关行业专家成立工控信息安全等级标准起草工作组,并于2016年4月6日~7日在广州召开标准草案讨论会。参加本次会议的专家分别来自公安部第三研究所、浙江大学、机械工业仪器仪表综合技术经济研究所、国家信息技术安全研究中心、中国软件测评中心、工业和信息化部电子第五研究所、北京市轨道交通设计研究院有限公司、中石化齐鲁石化公司、西南电力设计院、北京国电智深控制技术有限公司、西门子(中国)有限公司、施耐德电气(中国)有限公司、北京和利时系统工程公司等单位。
工控安全工作组广州召开标准草案讨论会
会议由SAC/TC124秘书处王玉敏教授级高工主持,公安部第三研究所袁静副研究员做了《等级保护政策及标准相关说明》的专题讲座并向与会专家讲解了GB/T22239.1与本标准的关系。机械工业仪器仪表综合技术经济研究所梅恪副所长从国家需求、行业需求等方面阐述了工业控制系统等级保护标准制定的重要性及其意义。
与会专家对标准草案稿内容进行了认真的讨论,尤其对GB/T22239.1中的类以及相关的控制点是否适用于工业控制系统等保定级做了深入的分析。最后在确定以系统作为工控等保定级的基础上,工作组专家达成一致意见:为了加快标准制定进程,会后先由SAC/TC124秘书处以及相关单位按会议上专家的意见,根据GB/T30976.1-2014和IEC62443-3-3修改标准草案,将标准草案与GB/T22239.1中的控制点进行映射,按照工控的技术要求和管理要求来修改本标准草案。并于6月30日前在各个行业征求意见。
信息安全等级保护制度是国家信息安全保障工作的基本制度、策略和方法,是促进信息化健康发展,维护国家安全、社会秩序、公共利益、环境保护以及人身安全的根本保障。工信部协印发的《关于加强工业控制系统信息安全管理的通知》([2011]451号)明确了加强工业控制系统信息安全保障的重要意义。
相关报道:上周,美国国土安全部ICS-CERT本周发布了关于工业控制系统(简称ICS)的三项安全公告,再次强调基础设施与工业网络当前所面临的严重安全威胁。
其中一份公告ICSA- 16-056-01描述了罗克韦尔自动化公司旗下集成化架构构建工具(简称IAB)应用中的一项内存访问冲突错误。一旦被成功利用,其将允许攻击者以等同 于IAB工具的权限执行恶意代码。其只能由本地用户加以利用,而且目前已经得到修复。
在最近一篇汇总ICS当前威胁形势的博文当中,Fortinet公司的Ruchna Nigam强调指出:“大多数工业控制系统来自不同供应商且运行着专有操作系统、应用程序以及协议(包括通用电气、罗克韦尔、DNP3以及Modbus)。结果就是,基于主机且面向IT部门开发的安全方案几乎根本不适用于ICS。”