2012.5.22~23在北京举行了第11届工业自动化与标准化的研讨会,主题是测控系统Security&Safety。该会议的举办目的是为保证能源和基础设施行业控制系统的安全稳定运行,需要建立有针对性的安全防护体系。
正如仪综所欧阳劲松所长所说www.cechina.cn,工业领域的安全可分为三类,即功能安全(FunctionSafety),物理安全(PhysicalSafety) 和信息安全(Information Security)。作为信息安全,包含范围很大,工业控制系统的信息安全只是其中的一部分。我们要在全面了解通用信息安全的同时,了解工业控制系统信息安全的个性要求。相关标准前者是ISO/IEC27000(27000为定义),后者是IECB2443。通用信息安全的三个目标依次为保密性、完整性和可用性控制工程网版权所有,而工业控制系统信息安全的三个目标优先级服务则为可用性、完整性、保密性
IECB2443定名为“工业过程测量、控制和自动化网络与系统信息安全”,分4部分,即通用、信息安全程序、系统技术和部件技术,即涵蓄了对资产所有者(用户业主)、系统集成商、部件制造商的要求。欧阳劲松所长还指出信息安全的评估和测试,事关国家安全CONTROL ENGINEERING China版权所有,所以要把它放在国人的手中。类似于功能安全中SIL安全完整性等级,在IEC62443中引入信息安全保证等级(Security Assurance Level,SAL)的概念。考虑全生命周期的安全性控制工程网版权所有,及出目标(target)SAL、设计(design)SAL、达到(achieved)SAL和能力(capability)SAL,进行评估和测试。
会上机械工业仪器仪表综合技术经济研究所副总工程师梅恪后由王玉敏代发言,详细讲解了“工业控制系统信息安全中国标准化发展思路,”指出2011年11月,在拉斯维加斯举行的黑客大会上,演示了如何进攻中国主要基础行业正在使用的工控系统CONTROL ENGINEERING China版权所有,并对信息安全领域情况、工业对信息安全的要求、标准化实施计划、评估和验收进行讲解。最后举实例进行识别危险源、给出数据统国、划分区域、划分管道、提出要求、采取措施、工程进行实施、考虑组织管理措施、人员能力指施、最后进行安全态势分析等项的说明。