【产通社，3月14日讯】DEKRA德凯集团消息，其举办的关于“工业自动化与控制系统之网络安全的检测与认证计划”研讨会在中国上海圆满结束。随着通信网络在工业生产与自动控制系统中的普及，工业自动化与控制系统（Industrial Automation and Control System, 简称IACS）日益成为黑客攻击的目标。作为实现自动化、智能化的关键设备，工控系统本身的网络安全问题越发引起业内关注。2010年伊朗布什尔核电站遭到“震网”病毒袭击事件，揭示了工控系统安全问题的严峻性。

本次研讨会的主题正是针对工控系统网络安全的最新发展与法规标准进行了分析与讲解，由DEKRA产品专家Beat Kreuter先生从以下几个方面进行详细阐述：
（1）工业控制系统和通用信息系统网络安全的区别。
（2）国际上领先国家对工业控制系统的网络安全的法规政策与标准。
（3）工业控制系统网络安全的级别。
（4）国际标准IEC 62443系列的解读。
（5）IEC 62443标准的网络安全评估/检测与认证计划。

首先，工控系统（ICS）与通用信息（IT）系统的差异是什么？通用IT系统标准主要考虑：保密性、完整性和有效性三方面，并且以保密性为先决条件，有效性为后。工控系统标准考虑：安全--可靠性--有效性--完整性--保密性。从风险分析来讲，ICS以安全为主要的考虑因素，因为安全性问题确实影响到安全；而通用IT系统只是考虑“使用者数据保护”。这就是两者之间最大的差异。

其次，标准制定动机的不同，通用IT系统的标准是“将黑客拦截在系统之外”；而工控系统（ICS）的标准是：控制黑客，因为黑客总是存在的。总而言之，工控系统标准旨在解决网络安全的威胁。在国际上，一些领先国家已经开始制定相应的法规与标准来管理工业自动化与控制系统之网络安全问题，例如：
（1）2013年2月：美国总统发布了总统行政命令13636号，制定了“NIPP 2013美国国家基础设施保护预案”，旨在建立国家基础设施的安全，维护网络环境，管理网络安全风险。
（2）2014年3月，卡塔尔国发布了国家ICS安全标准。
（3）2013年欧盟发布了COM（2013）48——关于NIS（Network and Information Security网络与信息安全）指令的提案，该提案是基于2009/140/EC指令的基础上为网络运营商建立了安全要求。欧盟2009/140/EC指令是“公共网络运营商和服务商对安全风险和安全措施的管理”，以保障网络和服务的安全性。
（4）国际标准IEC62443系列：这是国际电工标准委员会IECEE制定的一套关于“工业通信网络和控制系统供应链的网络安全风险”的标准。
（5）2015年，IEC将建立网络安全评估，也就是检测与认证计划。这是针对产品生产商、供应商/系统集成商、运营商/资产拥有者的一套基于IEC 62443标准的网络安全评估体系；是对产品、流程和人员的网络安全认证。对工控系统网络安全的检测与认证，能为资产拥有人提供保障，证明他们的产品符合IEC国际标准，符合基本的安全要求；同时也意味着产品的认证报告将被全球60多个国家认可。

查询进一步信息，请访问官方网站http://www.dekra-certification.cn/zh/news。