安高峰 朱長(zhǎng)明 雷曉鋒 李亞楠

(北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司 北京 100085)

(an_gaofeng@topsec.com.cn)

1 工業(yè)控制系統(tǒng)信息安全形勢(shì)

工業(yè)控制系統(tǒng)被廣泛應(yīng)用于電力、石油石化、核能交通等工業(yè)生產(chǎn)領(lǐng)域，以及航空、軌道交通、供水等公共服務(wù)領(lǐng)域，超過(guò)80%的涉及國(guó)計(jì)民生的關(guān)鍵基礎(chǔ)設(shè)施依靠工控系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè).隨著2010年震網(wǎng)病毒事件爆發(fā)，工控系統(tǒng)信息安全事件在世界范圍內(nèi)頻發(fā)，范圍覆蓋歐美、大洋洲、亞洲各地的能源、水利、核能、交通等工控系統(tǒng)所在領(lǐng)域.

我國(guó)同樣遭受著工控系統(tǒng)信息安全漏洞的困擾，例如2010年齊魯石化、2011年大慶石化煉油廠，某裝置控制系統(tǒng)分別感染Conficker病毒，都造成控制系統(tǒng)服務(wù)器與控制器通信不同程度的中斷［1］.2017年我國(guó)石油石化、通信等行業(yè)也遭受了“WannaCry”勒索病毒的影響，病毒攻擊造成某大型石油公司的2萬(wàn)座加油站短時(shí)間內(nèi)無(wú)法使用銀行卡及網(wǎng)絡(luò)支付，影響范圍波及北京、上海等多個(gè)大中型城市.普華永道于2016年11月29日發(fā)布的全球信息安全狀況調(diào)查報(bào)告顯示，中國(guó)工控系統(tǒng)領(lǐng)域的安全事件呈暴漲趨勢(shì)，相比于2015年增長(zhǎng)了22.13倍.同期，全球該領(lǐng)域的安全事件下滑9%［2］.工信部網(wǎng)絡(luò)安全管理局2018年5月發(fā)布網(wǎng)絡(luò)安全威脅態(tài)勢(shì)報(bào)告顯示:2018年第1季度，我國(guó)境內(nèi)在互聯(lián)網(wǎng)上可辨識(shí)的工控系統(tǒng)及設(shè)備數(shù)量共計(jì)2 772個(gè)，與上一個(gè)季度數(shù)量基本持平，但新增工控安全漏洞112個(gè)，相比上一個(gè)季度增長(zhǎng)約50%，涉及125個(gè)工業(yè)相關(guān)產(chǎn)品，包括西門子、施耐德電氣等在中國(guó)廣泛應(yīng)用的工控系統(tǒng)產(chǎn)品［3］.

隨著中國(guó)制造2025全面推進(jìn)，我國(guó)工業(yè)數(shù)字化、網(wǎng)絡(luò)化、智能化加快發(fā)展，新形勢(shì)下工控系統(tǒng)信息安全工作的重要性和緊迫性更加凸顯.

2 工業(yè)控制系統(tǒng)信息安全國(guó)家政策

黨中央、國(guó)務(wù)院高度重視信息安全問(wèn)題.習(xí)近平總書記多次就網(wǎng)絡(luò)安全和信息化工作作出重要指示，強(qiáng)調(diào)“安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)”.《中國(guó)制造2025》提出要“加強(qiáng)智能制造工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全保障能力建設(shè)，健全綜合保障體系”.《國(guó)務(wù)院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導(dǎo)意見》將“提高工業(yè)信息系統(tǒng)安全水平”作為主要任務(wù)之一，2017年6月1日起實(shí)施的《中華人民共和國(guó)網(wǎng)絡(luò)安全法》也要求對(duì)包括工控系統(tǒng)在內(nèi)的“可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”實(shí)行重點(diǎn)保護(hù).國(guó)務(wù)院《關(guān)于深化“互聯(lián)網(wǎng)+先進(jìn)制造業(yè)”發(fā)展工業(yè)互聯(lián)網(wǎng)的指導(dǎo)意見》中提出“建立工業(yè)互聯(lián)網(wǎng)安全保障體系、提升安全保障能力”的發(fā)展目標(biāo)，部署“強(qiáng)化安全保障”的主要任務(wù)，為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時(shí)間表和路線圖.

面對(duì)日益嚴(yán)峻的工控系統(tǒng)信息安全形勢(shì)，自2010年以來(lái)，我國(guó)政府和相關(guān)主管部門相繼出臺(tái)了多項(xiàng)政策法規(guī)，為規(guī)范工控系統(tǒng)信息安全領(lǐng)域的相關(guān)活動(dòng)提供了政策指導(dǎo)和實(shí)施指南.這些政策可以分為總體類、特定技術(shù)或行業(yè)領(lǐng)域類.

2.1 總體類政策

關(guān)于總體類工控系統(tǒng)信息安全政策，是針對(duì)整個(gè)工控系統(tǒng)信息安全的管理工作、防護(hù)方案以及未來(lái)的整體規(guī)劃制定的政策，并不局限于某個(gè)特定的技術(shù)領(lǐng)域或某個(gè)特定的行業(yè).

1)《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》

工信部于2011年9月，發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》(工信部協(xié)［2011］451號(hào)文件).該文件針對(duì)國(guó)內(nèi)各工業(yè)企業(yè)對(duì)工控系統(tǒng)信息安全問(wèn)題重視不夠、管理制度不健全、相關(guān)標(biāo)準(zhǔn)規(guī)范缺失、技術(shù)防護(hù)措施不到位，安全防護(hù)能力和應(yīng)急處置能力不強(qiáng)等普遍存在的問(wèn)題，明確提出了重點(diǎn)領(lǐng)域工控系統(tǒng)信息安全管理要求，包括:

①充分認(rèn)識(shí)加強(qiáng)工控系統(tǒng)信息安全管理的重要性和緊迫性;

②明確重點(diǎn)領(lǐng)域工控系統(tǒng)信息安全管理要求;

③建立工控系統(tǒng)安全測(cè)評(píng)檢查和漏洞發(fā)布制度;

④進(jìn)一步加強(qiáng)工控系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo).

2)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》

2016年10月，工信部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，《指南》堅(jiān)持“安全是發(fā)展的前提，發(fā)展是安全的保障”，以當(dāng)前我國(guó)工控系統(tǒng)面臨的安全問(wèn)題為出發(fā)點(diǎn)，注重防護(hù)要求的可執(zhí)行性，從管理和技術(shù)方面、30項(xiàng)具體措施為工業(yè)企業(yè)做好工控系統(tǒng)安全防護(hù)工作提出了具體要求和操作建議.

該項(xiàng)政策發(fā)布后，為工控系統(tǒng)應(yīng)用企業(yè)以及從事工控系統(tǒng)規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)維、評(píng)估的企事業(yè)單位提供了政策指導(dǎo).

3)《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018—2020年)》

2017年12月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃(2018—2020年)》.《行動(dòng)計(jì)劃》深入貫徹落實(shí)國(guó)家安全戰(zhàn)略，突出了落實(shí)企業(yè)主體責(zé)任，從提升工業(yè)企業(yè)工控系統(tǒng)安全防護(hù)能力、促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展、加快工控安全保障體系建設(shè)出發(fā)，進(jìn)一步明確了部門、地方和企業(yè)做什么和怎么做，部署了五大能力提升行動(dòng)，為下一步開展工控安全工作提供了依據(jù)和指導(dǎo).

《行動(dòng)計(jì)劃》實(shí)施的主要目標(biāo)是:到2020年，一是建成工控安全管理工作體系，企業(yè)主體責(zé)任明確，各級(jí)政府部門監(jiān)督管理職責(zé)清楚，工作管理機(jī)制基本完善;二是全系統(tǒng)、全行業(yè)工控安全意識(shí)普遍增強(qiáng)，對(duì)工控安全危害認(rèn)識(shí)明顯提高，將工控安全作為生產(chǎn)安全的重要組成部分;三是態(tài)勢(shì)感知、安全防護(hù)、應(yīng)急處置能力顯著提升，全面加強(qiáng)技術(shù)支撐體系建設(shè)，建成全國(guó)在線監(jiān)測(cè)網(wǎng)絡(luò)，應(yīng)急資源庫(kù)，仿真測(cè)試、信息共享、信息通報(bào)平臺(tái)(一網(wǎng)一庫(kù)三平臺(tái));四是促進(jìn)工業(yè)信息安全產(chǎn)業(yè)發(fā)展，提升產(chǎn)業(yè)供給能力，培育一批龍頭骨干企業(yè)，創(chuàng)建3～5個(gè)國(guó)家新型工業(yè)化產(chǎn)業(yè)示范基地(工業(yè)信息安全)①http: www.miit.gov.cn newweb n1146290 n4388791 c596116 content.html.

2.2 特定技術(shù)或行業(yè)領(lǐng)域類政策

針對(duì)具體的技術(shù)和領(lǐng)域，政府發(fā)布了多項(xiàng)具體的指導(dǎo)性文件，為工控系統(tǒng)信息安全相關(guān)企業(yè)和主管部門提供具體的指導(dǎo).

1)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》

2017年5月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全事件應(yīng)急管理工作指南》.旨在加強(qiáng)工控系統(tǒng)信息安全事件應(yīng)急管理，提高工控安全事件應(yīng)急處置能力，預(yù)防和減少工控安全事件造成的損失和危害，保障工業(yè)生產(chǎn)正常運(yùn)行.

《指南》密切結(jié)合工控安全事件應(yīng)急工作的實(shí)際，以防范重大工控安全事件為重點(diǎn)，厘清工業(yè)和信息化部、地方工業(yè)和信息化主管部門、技術(shù)支撐隊(duì)伍和企業(yè)的職責(zé)，加強(qiáng)工控安全事件應(yīng)急管理和組織協(xié)調(diào)，提升工控安全事件應(yīng)急處置能力.

《指南》要求，建立覆蓋工業(yè)和信息化部、地方工業(yè)和信息化主管部門、工業(yè)企業(yè)3個(gè)不同層次的預(yù)案體系，促進(jìn)工控安全應(yīng)急管理工作規(guī)范化、制度化;通過(guò)定期組織開展應(yīng)急演練，提高應(yīng)對(duì)工控安全事件的技術(shù)能力;通過(guò)建立國(guó)家工控安全應(yīng)急專家組和地方工控安全應(yīng)急專家組，支持工控安全應(yīng)急技術(shù)機(jī)構(gòu)、基礎(chǔ)平臺(tái)建設(shè)，提升應(yīng)急處置基礎(chǔ)能力.

工控安全事件應(yīng)急處置是應(yīng)急工作的重中之重，做好工控安全應(yīng)急處置對(duì)于維護(hù)國(guó)家安全、社會(huì)秩序、經(jīng)濟(jì)建設(shè)和公眾利益都具有舉足輕重的意義.

2)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》

2017年7月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》.為檢驗(yàn)2016年10月發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的實(shí)踐效果，綜合評(píng)價(jià)工業(yè)企業(yè)工控安全防護(hù)能力，工信部根據(jù)電力、化工、汽車、有色、石化、煙草等重點(diǎn)行業(yè)開展的工控安全預(yù)評(píng)估工作，組織專家開展專題研討論證，最終形成在科學(xué)性、合理性和可操作性等各方面都成熟可用的《能力評(píng)估管理辦法》.

管理辦法的發(fā)布，是以我國(guó)兩化融合發(fā)展時(shí)期工控安全保障需求和工控安全防護(hù)工作推進(jìn)為出發(fā)點(diǎn)和落腳點(diǎn)，密切結(jié)合了工控安全防護(hù)能力評(píng)估工作實(shí)際情況.

辦法規(guī)范了針對(duì)工業(yè)企業(yè)開展的工控安全防護(hù)能力評(píng)估活動(dòng)，加強(qiáng)工控安全防護(hù)能力評(píng)估機(jī)構(gòu)、人員和工具的管理，明確了工控安全防護(hù)能力評(píng)估工作的程序.

辦法為相關(guān)工控安全防護(hù)評(píng)估工作的各方面單位都提供了相應(yīng)的政策依據(jù).

3)《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》

為了加強(qiáng)電力監(jiān)控系統(tǒng)的信息安全管理，防范黑客及惡意代碼等對(duì)電力監(jiān)控系統(tǒng)的攻擊及侵害，保障電力系統(tǒng)的安全穩(wěn)定運(yùn)行，根據(jù)《電力監(jiān)管條例》《中華人民共和國(guó)計(jì)算機(jī)信息保護(hù)條例》和國(guó)家有關(guān)規(guī)定，結(jié)合電力監(jiān)控系統(tǒng)的實(shí)際情況，2014年8月，國(guó)家發(fā)展改革委頒布《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》.

規(guī)定提出電力監(jiān)控系統(tǒng)安全防護(hù)工作應(yīng)當(dāng)落實(shí)國(guó)家信息安全等級(jí)保護(hù)制度，按照國(guó)家信息安全等級(jí)保護(hù)的有關(guān)要求，堅(jiān)持“安全分區(qū)、網(wǎng)絡(luò)專用、橫向隔離、縱向認(rèn)證”的原則，保障電力監(jiān)控系統(tǒng)的安全.

這一國(guó)家和政府層面出臺(tái)的法規(guī)性文件，無(wú)疑為保障電力系統(tǒng)的安全運(yùn)行、促進(jìn)電力企業(yè)在新形勢(shì)下做好電力監(jiān)控系統(tǒng)安全防護(hù)工作上了一道安全鎖.

4)《煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》

針對(duì)煙草工業(yè)企業(yè)，行業(yè)發(fā)布了《YC T 494—2014煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》的行業(yè)標(biāo)準(zhǔn)［4］，煙草工業(yè)企業(yè)應(yīng)在規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)考慮生產(chǎn)網(wǎng)、管理網(wǎng)及其他網(wǎng)絡(luò)互聯(lián)的安全隔離要求.

5)石油、石化企業(yè)

針對(duì)石油、石化企業(yè)，分別在“十三五”規(guī)劃中明確了工控系統(tǒng)安全隔離的必要性.比如油田生產(chǎn)現(xiàn)場(chǎng)(井口、站庫(kù)、管線等)用于生產(chǎn)數(shù)據(jù)實(shí)時(shí)采集和遠(yuǎn)程控制的網(wǎng)絡(luò)，容易受到來(lái)自外部的搭線攻擊.有效的安全隔離是確保安全生產(chǎn)的根本.

3 工業(yè)控制系統(tǒng)信息安全標(biāo)準(zhǔn)體系研究

通過(guò)調(diào)研我國(guó)信息安全國(guó)家標(biāo)準(zhǔn)體系建設(shè)現(xiàn)狀，分析工控系統(tǒng)安全標(biāo)準(zhǔn)化實(shí)際需求，借鑒國(guó)際上工控系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)體系研究的經(jīng)驗(yàn)，總結(jié)出了工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系［5］.

該體系包括安全監(jiān)管、安全規(guī)劃、安全建設(shè)、安全測(cè)評(píng)、安全管理、安全產(chǎn)品共6類標(biāo)準(zhǔn).工業(yè)企業(yè)可以參考和依照這6類標(biāo)準(zhǔn)，規(guī)劃建設(shè)企業(yè)的工控系統(tǒng)信息安全防護(hù)體系，加強(qiáng)工控系統(tǒng)信息安全管理，切實(shí)提高工控系統(tǒng)的信息安全保障能力.同時(shí)，在每類標(biāo)準(zhǔn)的基礎(chǔ)上，可按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容進(jìn)行細(xì)分，標(biāo)準(zhǔn)體系框架如圖1所示(注:圖1中暗底色表示已經(jīng)發(fā)布的國(guó)家標(biāo)準(zhǔn)，亮底色表示在研的國(guó)家標(biāo)準(zhǔn)).

3.1 安全監(jiān)管

為了便于主管部門對(duì)我國(guó)工業(yè)企業(yè)的工控系統(tǒng)安全防護(hù)的水平和能力進(jìn)行監(jiān)管和檢查，全國(guó)信息安全標(biāo)準(zhǔn)化委員會(huì)(簡(jiǎn)稱信安標(biāo)委，TC260)立項(xiàng)研制以下幾項(xiàng)標(biāo)準(zhǔn):

《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》從物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、安全策略和管理制度、安全管理機(jī)構(gòu)和人員、安全建設(shè)管理、安全運(yùn)維管理等方面提出具體控制措施的監(jiān)管要求［6］.

《工業(yè)控制系統(tǒng) 信息安全分級(jí)規(guī)范》分別從工控系統(tǒng)重要性程度、受侵害后潛在影響程度、信息安全威脅等級(jí)等定級(jí)要素的各個(gè)方面，綜合評(píng)判工控系統(tǒng)的信息安全等級(jí)［7］.

《工業(yè)控制系統(tǒng)安全檢查指南》參照國(guó)家和行業(yè)主管部門開展信息安全檢查的通用做法和形式，給出工控系統(tǒng)檢查的目的、范圍、方式、流程、內(nèi)容的選擇方法，同時(shí)給出了對(duì)信息安全工作影響較為關(guān)鍵的檢查內(nèi)容，方便企業(yè)開展相關(guān)的檢查工作.各企業(yè)也可以根據(jù)自身企業(yè)生產(chǎn)控制系統(tǒng)的特點(diǎn)和檢查時(shí)期的關(guān)注點(diǎn)，自行增加相關(guān)檢查內(nèi)容，以滿足信息安全檢查工作的需要.

3.2 安全規(guī)劃

安全規(guī)劃類標(biāo)準(zhǔn)主要針對(duì)工控系統(tǒng)信息安全實(shí)際情況，分別從設(shè)計(jì)要求、系統(tǒng)要求，對(duì)工控系統(tǒng)的信息安全提出安全要求［8］.其中:

設(shè)計(jì)要求主要通過(guò)研究國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)中基本要求分類，探索解決對(duì)差異眾多的工控系統(tǒng)按等級(jí)保護(hù)要求提供一致的安全保障能力.在繼承原來(lái)信息系統(tǒng)等保標(biāo)準(zhǔn)的框架體系的基礎(chǔ)上，根據(jù)我國(guó)的情況對(duì)工控系統(tǒng)功能層次模型進(jìn)行了具體分析細(xì)化，并根據(jù)不同層次的應(yīng)用特點(diǎn)，提出了相應(yīng)的安全保護(hù)設(shè)計(jì)要求.

系統(tǒng)要求主要針對(duì)工控系統(tǒng)信息安全領(lǐng)域的使用者(包括資產(chǎn)所有者、系統(tǒng)集成商、產(chǎn)品供應(yīng)商、服務(wù)供應(yīng)商、合規(guī)性管理機(jī)構(gòu))，參照 IEC 62443相關(guān)標(biāo)準(zhǔn)，對(duì)規(guī)劃設(shè)計(jì)的工控安全防護(hù)系統(tǒng)是否能夠提供滿足資產(chǎn)所有者的安全等級(jí)要求的系統(tǒng)能力進(jìn)行評(píng)價(jià).

圖1 工控信息安全標(biāo)準(zhǔn)體系框架

3.3 安全建設(shè)

安全建設(shè)類標(biāo)準(zhǔn)主要為工控系統(tǒng)信息安全實(shí)施提出安全指導(dǎo)［9］.

《信息安全技術(shù)工業(yè)控制系統(tǒng)安全控制應(yīng)用指南》提供了可用于工控系統(tǒng)的安全控制列表，規(guī)范了工控系統(tǒng)的安全控制選擇過(guò)程，制定工控系統(tǒng)的安全程序，形成具體安全解決方案.

《信息安全技術(shù)工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施指南》［10］針對(duì)工控系統(tǒng)開展的風(fēng)險(xiǎn)評(píng)估工作的具體實(shí)施提出指導(dǎo)，充分考慮工控系統(tǒng)的特殊性和不同等級(jí)的安全要求，認(rèn)真梳理本單位工控系統(tǒng)的資產(chǎn)，從環(huán)境和人為因素分析工控系統(tǒng)面臨的威脅，從技術(shù)和管理方面分析工控系統(tǒng)存在的脆弱性，結(jié)合現(xiàn)有安全措施，分析工控系統(tǒng)現(xiàn)存風(fēng)險(xiǎn)，平衡效益與成本，制定風(fēng)險(xiǎn)處置計(jì)劃，采取措施降低工控系統(tǒng)的信息安全風(fēng)險(xiǎn).

3.4 安全測(cè)評(píng)

通過(guò)研制工控系統(tǒng)相關(guān)安全產(chǎn)品測(cè)評(píng)，以及系統(tǒng)安全能力評(píng)估等標(biāo)準(zhǔn)，確保工控系統(tǒng)信息安全控制措施的科學(xué)性和有效性.工業(yè)生產(chǎn)企業(yè)可以依照標(biāo)準(zhǔn)進(jìn)行風(fēng)險(xiǎn)評(píng)估和測(cè)評(píng)，并根據(jù)測(cè)評(píng)結(jié)果及時(shí)調(diào)整企業(yè)信息安全策略和安全防護(hù)措施，有助于工業(yè)企業(yè)提升其工控信息安全整體防護(hù)能力［11］.

3.5 安全管理

安全管理類標(biāo)準(zhǔn)，要求在確定工控系統(tǒng)安全管理的具體意圖、理解需求期望并明確工控系統(tǒng)體系范圍的基礎(chǔ)上，將工控系統(tǒng)安全管理活動(dòng)分布到企業(yè)生產(chǎn)運(yùn)營(yíng)的各個(gè)環(huán)節(jié)中，并提出了工控系統(tǒng)安全管理基本框架各階段所需的基本控制措施［12-13］.

3.6 安全產(chǎn)品

工控信息安全產(chǎn)品類標(biāo)準(zhǔn)主要針對(duì)工控系統(tǒng)信息安全防護(hù)的具體產(chǎn)品和技術(shù)提出安全要求，如工控系統(tǒng)終端安全要求、漏洞檢測(cè)技術(shù)要求、網(wǎng)絡(luò)監(jiān)測(cè)安全技術(shù)要求和測(cè)試評(píng)價(jià)方法、網(wǎng)絡(luò)審計(jì)產(chǎn)品安全技術(shù)要求等［14］，同時(shí)還包括服務(wù)提供商、網(wǎng)絡(luò)通信安全等方面的安全技術(shù)要求［15］.

4 總 結(jié)

本文通過(guò)調(diào)研我國(guó)信息安全國(guó)家標(biāo)準(zhǔn)體系建設(shè)現(xiàn)狀，分析工控系統(tǒng)安全標(biāo)準(zhǔn)化實(shí)際需求，借鑒國(guó)際上工控系統(tǒng)信息安全相關(guān)標(biāo)準(zhǔn)體系研究的經(jīng)驗(yàn)，總結(jié)出了工控系統(tǒng)信息安全標(biāo)準(zhǔn)體系.體系包括安全監(jiān)管、安全規(guī)劃、安全建設(shè)、安全測(cè)評(píng)、安全管理、安全產(chǎn)品共6類標(biāo)準(zhǔn)，分別介紹了其在體系中的地位和作用，并在每類標(biāo)準(zhǔn)的基礎(chǔ)上，按照標(biāo)準(zhǔn)所涉及的主要內(nèi)容進(jìn)行細(xì)分，工業(yè)企業(yè)可以參考和依照這6類標(biāo)準(zhǔn)，規(guī)劃建設(shè)企業(yè)的工控系統(tǒng)信息安全防護(hù)體系，加強(qiáng)工控系統(tǒng)信息安全管理，切實(shí)提高工控系統(tǒng)的信息安全保障能力.另外，本體系還可為工業(yè)企業(yè)定期開展工控安全自檢等活動(dòng)提供參考及指導(dǎo)，切實(shí)提高企業(yè)工控系統(tǒng)信息安全的保障能力.