隨著互聯網的飛速發展，我國對于傳統IT信息安全問題已有相關標準、法規，工業控制系統信息安全是否能依照而行？而在工業控制領域，一直以來備受關注的功能安全問題又與信息安全問題有著怎樣的區別與聯系？機械工業儀器儀表綜合技術經濟研究所所長歐陽勁松在接受記者采訪時就以上問題進行了詳細解讀：

　　工業控制系統信息安全與傳統IT信息安全的區別

　　傳統IT信息安全一般是要實現三個目標，即保密性、完整性和可用性，通常都將保密性放在首位，并配以必要的訪問控制，以保護用戶信息的安全，防止信息盜取事件的發生。完整性放在第二位，而可用性則放在最后。

　　對于工業自動化控制系統而言，目標優先級的順序則正好相反。工控系統信息安全首要考慮的是所有系統部件的可用性。完整性則在第二位，保密性通常都在最后考慮。因為工業數據都是原始格式，需要配合有關使用環境進行分析才能獲取其價值。而系統的可用性則直接影響到企業生產，生產線停機或者誤動作都可能導致巨大經濟損失，甚至是人員生命危險和環境的破壞。

　　除此之外，工控系統的實時性指標也非常重要。控制系統要求響應時間大多在1毫秒以內，而通用商務系統能夠接受1秒或幾秒內完成。工業控制系統信息安全還要求必須保證持續的可操作性及穩定的系統訪問、系統性能、專用工業控制系統安全保護技術，以及全生命周期的安全支持。在些要求都是在保證信息安全的同時也必須滿足的。

　　功能安全和信息安全的區別

　　我們通常將安全可以分成3類，即功能安全、物理安全和信息安全。功能安全是為了達到設備和工廠安全功能，受保護的、和控制設備的安全相關部分必須正確執行其功能，而且當失效或故障發生時，設備或系統必須仍能保持安全條件或進入到安全狀態。物理安全是減少由于電擊、著火、輻射、機械危險、化學危險等因素造成的危害。在IEC62443中針對工業控制系統對信息安全的定義是：“保護系統所采取的措施；由建立和維護保護系統的措施所得到的系統狀態；能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失；基于計算機系統的能力，能夠保證非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能，卻保證授權人員和系統不被阻止；防止對工業控制系統的非法或有害入侵，或者干擾其正確和計劃的操作。”可見三種安全在定義和內涵上有很大的差別。

　　功能安全系統使用安全完整性等級的概念已有近20年。它允許一個部件或系統的安全表示為單個數字，而這個數字是為了保障人員健康、生產安全和環境安全而提出的基于該部件或系統失效率的保護因子。工業控制系統信息安全的評估方法與功能安全的評估有所不同。雖然都是保障人員健康、生產安全或環境安全，但是功能安全使用安全完整性等級是基于隨機硬件失效的一個部件或系統失效的可能性計算得出的，而信息安全系統有著更為廣闊的應用，以及更多可能的誘因和后果。影響信息安全的因數非常復雜，很難用一個簡單的數字描述出來。然而，功能安全的全生命周期安全理念同樣適用于信息安全，信息安全的管理和維護也須是周而復始不斷進行的。

　　針對我國工業自動化行業的現狀，最急迫的事情是什么？下一步的工作應該從哪幾方面入手？歐陽勁松認為：為保障工業控制系統的信息安全，更加迫切地需要有關政府部門發布相關法令法規，引起各行業足夠的重視，并規范行業實踐。工業控制系統涉及眾多行業，例如石化、電力、核電等。各行業的具體管理要求和系統設備工作環境不盡相同。因此，我們必須深入研究我國工業控制系統的行業特點和需求，有針對性地制定相關行業信息安全保障應用行規。同時，以工業自動化標準化機構為先導，聯合相關組織機構，研究我國工業信息安全標準體系，積極開展工業控制系統信息安全評估標準的制定工作，健全工業信息安全評估認證機制，建立有效的工業控制系統信息安全應急系統，形成我國自主的工業控制系統信息安全產業和管理體系。