《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 業(yè)界動態(tài) > 解讀《GB/T 32919-2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》

解讀《GB/T 32919-2016信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》

2018-08-15
關(guān)鍵詞: 信息安全 系統(tǒng)安全

  工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟

  隨著越來越多的工控系統(tǒng)接入信息網(wǎng),,工控系統(tǒng)的信息安全成為了日益突出的問題。工控系統(tǒng)在電力行業(yè),、交通運輸,、石油石化等重要領(lǐng)域有廣泛應(yīng)用,這些領(lǐng)域的安全問題關(guān)乎國家安全,;另外工控系統(tǒng)較多地采用了通用協(xié)議,、通用硬件和通用軟件等,急需相關(guān)規(guī)范文件的約束,。在這種情況下,,《GB/T 32919-2016信息安全技術(shù) 工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》應(yīng)運而生,它專門針對各領(lǐng)域各行業(yè)的工控系統(tǒng)編寫,,規(guī)范工業(yè)控制系統(tǒng)的安全需求,,從工業(yè)企業(yè)的方方面面指導(dǎo)工業(yè)企業(yè)信息安全建設(shè),為我國工控系統(tǒng)信息安全相關(guān)工作奠定基礎(chǔ),。本期???,工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟就針對這一標(biāo)準(zhǔn)進行解讀。

  11509899657465862.jpg

  Q:GB/T 32919-2016適用范圍是什么,?

  A:工控企業(yè)行業(yè)眾多,不同行業(yè)之間的工控系統(tǒng)存在較大差異,,32919-2016適用于工業(yè)領(lǐng)域的各個行業(yè),,整個標(biāo)準(zhǔn)規(guī)約了工業(yè)企業(yè)從設(shè)計到建設(shè)到運行,從人員安全到設(shè)備安全到環(huán)境安全等各個方面,。作為包含了800余個控制點的標(biāo)準(zhǔn),,它可作為工業(yè)控制系統(tǒng)信息安全體系建設(shè)評估依據(jù),也可指導(dǎo)企業(yè)工控系統(tǒng)的安全整改,。另一方面,,可作為政府工控安全檢查的技術(shù)性規(guī)范,亦可作為企業(yè)工控安全自查的指導(dǎo)性文件,。

  Q:GB/T 32919-2016有哪些亮點,?

  A:32919-2016亮點很多。第一,,它是國內(nèi)首個覆蓋工業(yè)企業(yè)全生命周期的工控安全標(biāo)準(zhǔn),;第二,標(biāo)準(zhǔn)包括了18個控制族,、近900項工控系統(tǒng)安全控制點,,從技術(shù)、管理,、運維三方面規(guī)約工業(yè)企業(yè)的信息安全設(shè)計建設(shè),;第三,32919-2016作為工業(yè)控制系統(tǒng)安全通用標(biāo)準(zhǔn),,可通過裁剪形成各行業(yè)的工控安全標(biāo)準(zhǔn),,為工控領(lǐng)域各行業(yè)規(guī)范細(xì)則的制定奠定有力的基礎(chǔ)。

  Q:GB/T 32919-2016在哪些方面對開展工控安全保障相關(guān)工作提供了指導(dǎo)依據(jù),?

  A:首先,,該標(biāo)準(zhǔn)作為首個可應(yīng)用于工業(yè)控制系統(tǒng)信息安全測評工作、多行業(yè)通用的國家標(biāo)準(zhǔn),,為后續(xù)工控系統(tǒng)信息安全測評相關(guān)標(biāo)準(zhǔn)奠定基礎(chǔ),。其次,從標(biāo)準(zhǔn)本身來說,,該標(biāo)準(zhǔn)從技術(shù),、管理、運維的18個方面開展工控安全保障工作,,覆蓋了企業(yè)生產(chǎn)運營的全生命周期,。比如:技術(shù)上的訪問控制,、系統(tǒng)和通信保護,管理上的安全評估,、規(guī)劃管理,,運維上的事件響應(yīng)、介質(zhì)保護等,。為評估機構(gòu)的測評工作以及工業(yè)企業(yè)的自查工作提供了指導(dǎo)依據(jù),。

  Q:GB/T 32919-2016對于我國工控信息安全保障工作的意義是什么?

  A:隨著“工業(yè)4.0”,、工業(yè)互聯(lián)網(wǎng),、《中國制造2025》的不斷推進,我國傳統(tǒng)的工業(yè)企業(yè)逐漸從自成體系且封閉獨立的系統(tǒng)走向了開放,,這就造成了工業(yè)領(lǐng)域的信息安全形勢日趨嚴(yán)峻,。工業(yè)企業(yè)一旦出現(xiàn)信息安全問題,輕則帶來經(jīng)濟損失,,重則關(guān)乎公眾權(quán)益,,社會穩(wěn)定,國家安全,。本標(biāo)準(zhǔn)有力支撐工控系統(tǒng)信息安全評估工作,,確保我國工業(yè)企業(yè)的正常生產(chǎn)運營,保障信息安全,,維護國家利益,。標(biāo)準(zhǔn)一方面可作為工業(yè)企業(yè)的信息安全評估規(guī)范性文件,另外可作為工業(yè)企業(yè)日常自查時的指導(dǎo)文件,。

  Q:目前國外在工控信息安全標(biāo)準(zhǔn)的具體情況,,與國內(nèi)有哪些不同?

  A:國外標(biāo)準(zhǔn)化機構(gòu),、應(yīng)急響應(yīng)機構(gòu)針對工業(yè)控制系統(tǒng)發(fā)布了若干的指導(dǎo)標(biāo)準(zhǔn),。他們從信息網(wǎng)絡(luò)的角度,將信息網(wǎng)絡(luò)的安全思路自然延伸到工業(yè)控制領(lǐng)域,,制定相關(guān)的安全標(biāo)準(zhǔn),,典型的代表為NIST發(fā)布的SP800-82指南。

  我國標(biāo)準(zhǔn)化機構(gòu)針對工業(yè)控制系統(tǒng)也發(fā)布了若干標(biāo)準(zhǔn),,是在前期的企業(yè)調(diào)研,、研究分析的基礎(chǔ)上制定的。通過調(diào)研,,深刻分析工控信息安全與傳統(tǒng)信息安全的差異性,,制定出專門針對工控系統(tǒng)信息安全的標(biāo)準(zhǔn)。另外,,通過對工控系統(tǒng)多行業(yè)的分析研究,,找出各行業(yè)間的差異性,,在通用標(biāo)準(zhǔn)的基礎(chǔ)上又推動制定了不同行業(yè)的工控信息安全標(biāo)準(zhǔn)。

  Q:未來,,針對于工控信息安全領(lǐng)域還會有哪些標(biāo)準(zhǔn)相繼出臺,?

  A:就工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系來說,目前在安全等級,、安全測評,、安全實施三方面的標(biāo)準(zhǔn)已較為完善,但在安全要求方面的標(biāo)準(zhǔn)仍需加強,。未來將會出臺《工業(yè)控制系統(tǒng)安全技術(shù)基本要求》,、《工業(yè)控制系統(tǒng)安全管理基本要求》以及針對工控產(chǎn)品的系列標(biāo)準(zhǔn)等,,都是針對工控系統(tǒng)的安全要求,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。