為了盡快制定工業控制系統信息安全等級保護標準，滿足國家需求和行業應用，全國工業過程測量控制和自動化標準化技術委員會（SAC/TC124）組織各相關行業專家成立工控信息安全等級標準起草工作組，并于2016年4月6日～7日在廣州召開標準草案討論會。參加本次會議的專家分別來自公安部第三研究所、浙江大學、機械工業儀器儀表綜合技術經濟研究所、國家信息技術安全研究中心、中國軟件測評中心、工業和信息化部電子第五研究所、北京市軌道交通設計研究院有限公司、中石化齊魯石化公司、西南電力設計院、北京國電智深控制技術有限公司、西門子（中國）有限公司、施耐德電氣（中國）有限公司、北京和利時系統工程公司等單位。

工控安全工作組廣州召開標準草案討論會

會議由SAC/TC124秘書處王玉敏教授級高工主持，公安部第三研究所袁靜副研究員做了《等級保護政策及標準相關說明》的專題講座并向與會專家講解了GB/T22239.1與本標準的關系。機械工業儀器儀表綜合技術經濟研究所梅恪副所長從國家需求、行業需求等方面闡述了工業控制系統等級保護標準制定的重要性及其意義。

與會專家對標準草案稿內容進行了認真的討論，尤其對GB/T22239.1中的類以及相關的控制點是否適用于工業控制系統等保定級做了深入的分析。最后在確定以系統作為工控等保定級的基礎上，工作組專家達成一致意見：為了加快標準制定進程，會后先由SAC/TC124秘書處以及相關單位按會議上專家的意見，根據GB/T30976.1-2014和IEC62443-3-3修改標準草案，將標準草案與GB/T22239.1中的控制點進行映射，按照工控的技術要求和管理要求來修改本標準草案。并于6月30日前在各個行業征求意見。

信息安全等級保護制度是國家信息安全保障工作的基本制度、策略和方法，是促進信息化健康發展，維護國家安全、社會秩序、公共利益、環境保護以及人身安全的根本保障。工信部協印發的《關于加強工業控制系統信息安全管理的通知》（[2011]451號）明確了加強工業控制系統信息安全保障的重要意義。

相關報道：上周，美國國土安全部ICS-CERT本周發布了關于工業控制系統（簡稱ICS）的三項安全公告，再次強調基礎設施與工業網絡當前所面臨的嚴重安全威脅。

其中一份公告ICSA-16-056-01描述了羅克韋爾自動化公司旗下集成化架構構建工具（簡稱IAB）應用中的一項內存訪問沖突錯誤。一旦被成功利用，其將允許攻擊者以等同于IAB工具的權限執行惡意代碼。其只能由本地用戶加以利用，而且目前已經得到修復。

在最近一篇匯總ICS當前威脅形勢的博文當中，Fortinet公司的RuchnaNigam強調指出：“大多數工業控制系統來自不同供應商且運行著專有操作系統、應用程序以及協議（包括通用電氣、羅克韋爾、DNP3以及Modbus）。結果就是，基于主機且面向IT部門開發的安全方案幾乎根本不適用于ICS。”