2015 海博网论坛科技工控安保框架
2017-10-11
自从工信部451号文发布之后,国内各行各业都对工控系统安全的认识达到了一个新的高度,电力、石化、制造、烟草等多个行业,陆续制定了相应的指导性文件,来指导相应行业的工控安全检查与整改活动。TC260、TC124等标准组也已经启动了相应标准的研究制定工作。
海博网论坛科技结合多个安全机构统计的安全事件数据分析中可以看到,近年来,工业控制系统相关的安全事件正在呈快速增长的趋势,且这些事件多分布在能源、关键制造业、市政、交通等涉及国计民生的关键基础行业,而这些发展趋势与关键基础行业对于现实社会的重要性及其工控系统的自动化、信息化程度较高有着紧密的关系。
基于对工控系统安全需求的理解,结合国内工控安全的规范要求及多年实践经验,海博网论坛科技提出了工控系统总体安全保障框架。该框架从技术、管理和运行三个维度来保障来保障工业控制系统安全。三个保障维度中主要包含网络边界防护、安全纵深防护、安全运行管理和安全管理制度要求等几个方面,融合了技术、管理和运行的要求来保障工业控制系统的安全。同时,我们结合工业控制系统运行阶段的特点,提出了针对工业控制系统的三个能力建设,包含从上线前的安全检测、安全能力部署、安全运行三个阶段,覆盖工业控制系统运行周期的安全保障。
报告还对电力行业的火力发电生产系统、石油石化行业的油气田生产系统、烟草行业的卷烟生产系统进行深入研究,分别给出了工控系统安全解决思路及保障框架。实践证明,建立在融合实际业务特征与信息安全技术的特性基础上的工业信息安全技术,满足业务运行保障的需求,符合实际工业环境特点,才能真正满足工业控制系统的安全保障。
伴随着国家政策的指引(发改委安全专项支持、工信部互联网+时代产业转型项目的支持)以及行业内对工控安全的行业引导(如发改委14号令)以及相关国家相关工控安全标准的发布(如GB/T 30976)。在相关因素驱动下,工控安全产品应用实例的增多及实际应用效果得到业界的认可,预计在不久的将来,工业控制系统的安全必将迅猛发展。