工业控制信息安全标准介绍

国内工业控制信息安全标准主要起草单位是安标委、全国电力监管标准化技术委员会、工业过程测量和控制标准化技术委员会

国际上已有标准化组织针对工业控制系统的信息安全标准化开展了一系列研究，主要包括 NIST、

IEC 等。

NIST SP 800 系列系统安全指南，报告了关于NIST 信息技术实验室（ITL）的研究、指导和计算

机安全的外展性工作，并且包括与工业界、政府以及学术机构的协作活动的文件。重点领域主要包括加密技术和应用、认证、公共关键基础设施、互联网络的安全性、标准和保障等。其中 SP 800-82（工控系统安全指南）专门分析了工业控制系统的特点、面临的威胁和存在的漏洞，说明了如何开发和部署一个工业控制系统的安全项目，并基于 SP 800-53（联邦信息系统推荐安全控制）针对 FIPS199 所定义的不同级别系统推荐了不同强度的安全控制集（包括管理、技术和运行类）对工业控制系统提出了建议和指导。

IEC/TC65/WG10 致力于解决跨共同自动化联网情况下的安全标准，基于 ISA99 的系列标准，结合工控界相关国际标准（如 NERC-CIP 标准等），正在起草 IEC 62443“工业控制过程测量和控制的安全性 网络和系统安全”。该系列标准从通用基础标准、系统安全程序设计要求、系统技术要求和系统组件技术要求做出了规范。目前，全国工业过程测量和控制标准化技术委员会（SAC/TC124）正在对已经发布的 IEC 62443 的部分标准进行行业标准转化工作。IEC/TC57 则关注于电力系统管理和相关信息的交换，WG15 负责制定系统的数据和通信安全方面的标准，已经被我国电力系统转化为行业标准。

美国化学理事会的化学信息技术中心针对化工行业的网络安全制定了战略计划，旨在关注化工行业的风险管理以及尽量减少对商业和制造系统进行网络攻击的潜在影响。

2011 年，工业和信息化部《关于加强工业控制系统信息安全管理的通知》指出我国工业控制系统

信息安全管理工作存在若干问题，管理制度不健全，相关标准规范缺失，技术防护不到位，安全防护能力和应急处置能力不高等问题，并明确要求全国信息安全标准化技术委员会抓紧制定工业控制系统关键设备信息安全规范和技术标准，明确设备安全技术要求。全国信息安全标准化技术委员会（TC260）也开展了一系列研究：2009 年信息安全技术 《工控SCADA 系统安全防护管理指南》立项，2010 年国家标准委正式下达国标制定计划 （计划号 20100384-T-469）。2011 年安全可控信息系统（电力系统）安全指标体系立项，并报国家标准委。