9月24日

，2014中國互聯網安全大會（ISC）在京舉行。在下午召開的“工控（ICS）安全論壇”上
，來自機械工業儀器儀表綜合技術經濟研究所的安全專家歐陽勁鬆，發表了名為《工控信息安全—國際標準概況及我國的體係建設》dezhutiyanjiang。zaiyanjiangguochengzhong，ouyangjinsongxiangxijieshaoleguoneigongyekongzhilingyumianlindejishuwenti
，yijixinxianquanbiaozhunzhiqingkuang，bingjieshaolegongkongxinxianquandegaijinjianyi。

　　圖: 機械工業儀器儀表綜合技術經濟研究所安全專家歐陽勁鬆

　　歐(ou)陽(yang)勁(jin)鬆(song)認(ren)為(wei)
，以(yi)智(zhi)能(neng)製(zhi)造(zao)為(wei)主(zhu)導(dao)的(de)第(di)四(si)次(ci)工(gong)業(ye)革(ge)命(ming)正(zheng)在(zai)興(xing)起(qi)，而(er)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)存(cun)在(zai)著(zhe)信(xin)息(xi)安(an)全(quan)的(de)問(wen)題(ti)。尤(you)其(qi)是(shi)近(jin)年(nian)來(lai)，國(guo)內(nei)外(wai)發(fa)生(sheng)許(xu)多(duo)工(gong)業(ye)信(xin)息(xi)係(xi)統(tong)遭(zao)黑(hei)客(ke)入(ru)侵(qin)的(de)事(shi)件(jian)，如(ru)2010年齊魯石化、2011年大慶石化煉油廠，某裝置控製係統分別感染Conficker蠕蟲病毒等
，都造成控製係統服務器與控製器通訊不同程度地中斷，均造成了一定的損失
，且產生惡劣影響。

　　據歐陽勁鬆介紹，工業安全涵蓋了已經非常成熟的物理安全
、信息安全以及功能安全三方麵。針對於信息安全，歐陽勁鬆進行了詳細解釋：“目前
，國際上已製定了工控領域信息安全國際標準，國家及技術組織標準。”兩項標準分別由IEC/TC65/WG10與ISA99聯合工作組和ISA安全符合性研究院ISCI進行認證。

　　同時，歐陽勁鬆針對於工控信息安全領域的最新進展做了簡要介紹，在今年6月

，國外建立了一個協調Safety和Security的特別工作組（AD-HOC Group），宗旨是提出建議和新項目提案。

　　而在信息安全標準體係方麵，歐陽勁鬆表示
，聯合相關標委會已製定11項國家/行業標準，初步建立了頂層設計、係統設計
、產品設計領域三個層次係統標準體係

，該體係適應工控係統所有應用領域
，涉及現場設備層到MES層係統層次，產品全生命周期。

　　相較國際標準
，我國也建立了相應的行業標準。目前，已發布2項國家標準，3項行業標準，國家標準計劃項目6項
，對行規測試標準起到積極作用
，結束了行業認證亂象。接下來，歐陽勁鬆又從管理等級
、係統能力等級和信息安全等級三個方麵，對我國工業控製領域信息安全標準製定情況和最新動態給予詳細講解。

　　“相比發達國家，我國工控信息仍麵臨著安全防控意識不高、政策+管理+技術的模式不完善
、測試技術和測試平台缺乏、國外機構主導安全的評估項目少四大挑戰。”歐陽勁鬆總結道
，我們必須深入研究我國工業控製係統的行業特點和需求

，有針對性地製定相關行業信息安全保障應用行規。

　　歐陽勁鬆建議：首先要培育工控信息安全良好生態環境，切合實際的進行風險評估，同時切記泛信息安全化或極端信息安全化；其次，從國家安全的角度考慮，需要加快建立統一、協調、獨立的認證評估體係；中國的信息安全認證要具有自己的特點
，不可能實現一個認證全球通行的行業標準。