2015年2月5日,DEKRA德凯集团(以下称DEKRA)举办的关于“工业自动化与控制系统之网络安全的检测与认证计划”研讨会在中国上海圆满结束。
随着通信网络在工业生产与自动控制系统中的普及,工业自动化与控制系统(Industrial Automation and Control System, 简称 IACS)日益成为黑客攻击的目标。作为实现自动化、智能化的关键设备,工控系统本身的网络安全问题越发引起业内关注。2010年伊朗布什尔核电站遭到"震网"病毒袭击事件,揭示了工控系统安全问题的严峻性。
本次研讨会的主题正是针对工控系统网络安全的最新发展与法规标准进行了分析与讲解,由DEKRA产品专家Beat Kreuter 先生从以下几个方面进行详细阐述:
1)工业控制系统和通用信息系统网络安全的区别
2)国际上领先国家对工业控制系统的网络安全的法规政策与标准
3)工业控制系统网络安全的级别
4)国际标准IEC 62443系列的解读
5)IEC 62443标准的网络安全评估 / 检测与认证计划
首先,工控系统(ICS)与通用信息(IT)系统的差异是什么?
通用IT系统标准主要考虑:保密性、完整性和有效性三方面,并且以保密性为先决条件,有效性为后。工控系统标准考虑:安全——可靠性——有效性——完整性——保密性。从风险分析来讲,ICS以安全为主要的考虑因素,因为安全性问题确实影响到安全;而通用IT系统只是考虑“使用者数据保护”。这就是两者之间最大的差异。
其次,标准制定动机的不同,通用IT系统的标准是“将黑客拦截在系统之外”;而工控系统(ICS)的标准是:控制黑客,因为黑客总是存在的。总而言之,工控系统标准旨在解决网络安全的威胁。
在国际上,一些领先国家已经开始制定相应的法规与标准来管理工业自动化与控制系统之网络安全问题,例如:
1) 2013年2月:美国总统发布了总统行政命令13636号,制定了“NIPP 2013美国国家基础设施保护预案”,旨在建立国家基础设施的安全,维护网络环境,管理网络安全风险。
2) 2014年3月,卡塔尔国发布了国家ICS安全标准。
3) 2013年欧盟发布了 COM (2013) 48——关于NIS (Network and Information Security 网络与信息安全) 指令的提案,该提案是基于2009/140/EC指令的基础上为网络运营商建立了安全要求。欧盟2009/140/EC 指令是“公共网络运营商和服务商对安全风险和安全措施的管理”,以保障网络和服务的安全性。
4) 国际标准IEC62443 系列:这是国际电工标准委员会IECEE 制定的一套关于“工业通信网络和控制系统供应链的网络安全风险”的标准。
5) 2015年,IEC将建立网络安全评估,也就是检测与认证计划。这是针对产品生产商、供应商/系统集成商、运营商/资产拥有者的一套基于IEC 62443 标准的网络安全评估体系;是对产品、流程和人员的网络安全认证。对工控系统网络安全的检测与认证,能为资产拥有人提供保障,证明他们的产品符合IEC 国际标准,符合基本的安全要求;同时也意味着产品的认证报告将被全球60多个国家认可。
谁将会是这些标准的使用者?
资产拥有人(运营商)、系统集成商(服务与工程)、设备供应商(设计和生产),这些人将必须使用这些标准。也就是说这些人将肩负着工业控制系统网络安全的重要使命。
DEKRA是世界排名前五位的第三方检测认证机构之一。我们将竭诚为企业客户保驾护航,共同维护工业控制系统的网络安全这一重要安全使命。
关于DEKRA
DEKRA集团是一家世界领先的专业组织之一,业务遍布世界5大洲50多个国家。逾35,000名员工,致力于保证长远的安全、质量和环境保护。DEKRA德凯集团旗下有三个事业部门:汽车事业部,工业事业部和人事事业部。业务涉足12种商业领域:车辆检验、专家评估、二手车管理、类型核准与型式认证、理赔服务、工业及结构检验、材料检验与验货、产品检测与认证、运营确保与体系认证、咨询服务、资格培训、临时雇佣。DEKRA 集团提供质量保证、市场准入、风险控制以及绩效提升等专业服务。2014年,DEKRA 营业总额达到25亿欧元。