工控安全政策系列導讀：國家安全戰略、工控安全指南、GB/T 33009與中國制造2025

一、國家網絡空間安全戰略

2016年12月27日，經中央網絡安全和信息化領導小組批準，國家互聯網信息辦公室發布《國家網絡空間安全戰略》（以下簡稱《戰略》）。

《戰略》分四個部分：

第一部分介紹機遇和挑戰。網絡空間是信息傳播的新渠道、生產生活的新空間、經濟發展的新引擎、文化繁榮的新載體、社會治理的新平臺、交流合作的新紐帶、國家主權的新疆域，正在全面改變人們的生產生活方式，深刻影響人類社會歷史發展進程，是重大機遇。

但是，國家政治、經濟、文化、社會、國防安全及公民在網絡空間的合法權益面臨嚴峻風險與挑戰，網絡滲透危害政治安全、網絡攻擊威脅經濟安全、網絡有害信息侵蝕文化安全、網絡恐怖和違法犯罪破壞社會安全、網絡空間的國際競爭方興未艾。網絡空間機遇和挑戰并存，機遇大于挑戰。

第二部分介紹了戰略目標。推進網絡空間和平、安全、開放、合作、有序，維護國家主權、安全、發展利益，實現建設網絡強國的戰略目標。

第三部分介紹了四條原則。尊重維護網絡空間主權，和平利用網絡空間，依法治理網絡空間，統籌網絡安全與發展。

第四部分介紹了九項戰略任務。堅定捍衛網絡空間主權，堅決維護國家安全，保護關鍵信息基礎設施，加強網絡文化建設，打擊網絡恐怖和違法犯罪，完善網絡治理體系，夯實網絡安全基礎，提升網絡空間防護能力，強化網絡空間國際合作。

《戰略》獲取途徑：www.cac.gov.cn

閱讀體會

“發展是安全的基礎，不發展是最大的不安全。”筆者認為《戰略》提出的統籌網絡安全與發展，是工控安全工作需要解決的一個重要認識問題，是工控安全的難點和重點問題。

筆者認為工業控制系統是關鍵信息基礎設施的核心組成部分，《戰略》關于關鍵信息基礎設施的相關內容，大部分適用于工業控制系統安全問題。

如：“采取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞。堅持技術和管理并重、保護和震懾并舉，著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度，從管理、技術、人才、資金等方面加大投入，依法綜合施策，切實加強關鍵信息基礎設施安全防護。”

關鍵信息基礎設施保護是政府、企業和全社會的共同責任，主管、運營單位和組織要按照法律法規、制度標準的要求，采取必要措施保障關鍵信息基礎設施安全，逐步實現先評估后使用。加強關鍵信息基礎設施風險評估…建立政府、行業與企業的網絡安全信息有序共享機制，充分發揮企業在保護關鍵信息基礎設施中的重要作用。

關于夯實網絡安全基礎方面，“做好等級保護、風險評估、漏洞發現等基礎性工作，完善網絡安全監測預警和網絡安全重大事件應急處置機制”，筆者認為也是工控安全工作應遵循的思路。

閱讀建議

通過閱讀《戰略》，了解工控系統安全工作的時代背景和國家政策背景，自覺地將局部工作與國家整體戰略相結合，在國家發展的大潮中尋找機遇，在實現個人利益與國家利益的雙贏中，推進事業的發展。

二、工業控制系統信息安全防護指南

2016年10月17日，工業和信息化部通過工信軟函〔2016〕338號印發《工業控制系統信息安全防護指南》（以下簡稱《指南》）。

文件說明，為貫徹落實《國務院關于深化制造業與互聯網融合發展的指導意見》（國發〔2016〕28號），保障工業企業工業控制系統信息安全，制定《指南》。工業和信息化部指導和管理全國工業企業工控安全防護和保障工作，并根據實際情況對指南進行修訂。地方工業和信息化主管部門根據工業和信息化部統籌安排，指導本行政區域內的工業企業制定工控安全防護實施方案。

《指南》適用于工業控制系統應用企業以及從事工業控制系統規劃、設計、建設、運維、評估的企事業單位。

《指南》獲取途徑：www.miit.gov.cn

閱讀體會

通過十一個方面的要求抓住了工控安全的要點，精練、充實、全面，可以作為工控安全的工作清單來使用。

閱讀建議

1. 通過閱讀《指南》，了解工控系統安全工作的要點。《指南》提出的每一條要求，都需要結合工控系統及其應用背景來落實，值得深入思考；
2. 建議結合等級保護以及關鍵基礎設施保護工作來落實《指南》要求，屬于等級保護三級及以上工業控制系統，或屬于關鍵基礎設施的工業控制系統，建議逐條對照，選擇應對措施，優化操作規程；
3. 《指南》是工作要求，具體落實的時候要根據工控系統生命周期、崗位職責分工、業務流程、資產等維度進行任務分解。任務分解的過程就是工控安全管理機制的規劃設計過程。

三、GB/T 33009 工業自動化和控制系統網絡安全 集散控制系統(DCS)

2016年10月13日，GB/T 33009 由國家質量監督檢驗檢疫總局、國家標準化管理委員會正式發布。由中國機械工業聯合會提出，全國工業過程測量、控制和自動化標準化技術委員會（SAC/TC124）和全國信息安全標準化技術委員會（SAC/TC260）歸口管理。

該標準由四個文檔組成：

GB/T 33009.1防護要求；
GB/T 33009.2管理要求；
GB/T 33009.3評估指南；
GB/T 33009.4風險與脆弱性檢測要求。

其中 GB/T 33009.1 介紹了通用DCS系統的網絡結構，提出了DCS防護總體要求和原則、物理訪問控制要求，從過程監控層信息安全、現場控制層信息安全、現場設備層信息安全三個角度提出了三個層次的保護強度要求，分別為基本要求、常規加強要求、深度加強要求。

GB/T 33009.2介紹了DCS系統、運行安全總體要求、基于PDCA模型的DCS信息安全管理體系。從十四個方面闡述了DCS安全管理要素，這十四個方面在27001都能找到相對應的要求。

GB/T 33009.3介紹了DCS系統、DCS安全風險評估流程和評估結果，從評估工作準備、DCS安全要素識別、DCS風險分析、安全風險評估文檔記錄做了說明，附錄A介紹了DCS生命周期各階段的安全風險評估，附錄B介紹了風險評估工具和集散控制系統(DCS)常見的測試內容，附錄C風險的計算方法。

GB/T 33009.4為風險與脆弱性檢測。內容包括DCS風險與脆弱性檢測概述，DCS軟件安全風險與脆弱性，DCS網絡通信安全風險與脆弱性。

GB/T 33009 適用于涉及集散控制系統安全防護的電力、石油、化工、水利、冶金、交通、裝備制造等領域，適用于集散控制系統的設計、采購、建設、改造、安全性管理，適用于集散控制系統生產商、集成商、用戶、安全檢測服務提供商、運行維護服務提供商。

閱讀體會

該套標準吸收了國外在工控系統安全方面的研究成果，有一定的先進性；將信息安全相關理論和工作方法與DCS系統的實際相結合，融先進性、實用性、可操作性于一體。

第一部分安全防護要求較好地體現了信息系統安全等級保護基本要求的思想。第二部分可以理解為信息安全管理體系標準ISO27001在DCS領域的應用指南。第三部分可以理解為信息安全風險評估指南 GB/T 20984 在DCS領域的應用指南，閱讀該部分非常有利于加強對工業控制系統安全風險的認識。第四部分針對DCS風險與脆弱性檢測中需要關注的重要風險點及檢測工作方法進行說明，對相關工作非常有指導意義。

工控系統可以分為SCADA、DCS、PLC，以筆者看來，DCS安全問題是SCADA安全的基礎，DCS安全問題才是工控系統安全的核心問題，由此可見本標準系列在工控安全領域的重要意義。

閱讀建議

建議從事工業控制系統安全的人員都粗略地閱讀該標準的所有內容。不同人員重點閱讀該標準的不同部分。工控系統安全技術人員重點閱讀第一部分，有管理職能的人員需要在閱讀第一部分的基礎上閱讀第二部分，而工控系統安全檢測機構人員應該全面深入閱讀四個部分。

四、中國制造2025

2015年5月08日，國發【2015】28號發布，文件標題為“國務院關于印發《中國制造2025》的通知”。

《中國制造2025》是我國實施制造強國戰略第一個十年的行動綱領。推進信息化與工業化深度融合是九項戰略任務和重點工作之一。

《中國制造2025》提出，要“加快推動新一代信息技術與制造技術融合發展，把智能制造作為兩化深度融合的主攻方向；著力發展智能裝備和智能產品，推進生產過程智能化，培育新型生產方式，全面提升企業研發、生產、管理和服務的智能化水平”。

要“加強智能制造工業控制系統網絡安全保障能力建設，健全綜合保障體系”。要“研究制定智能制造發展戰略”、“加快發展智能制造裝備和產品”、“推進制造過程智能化”、“深化互聯網在制造領域的應用”、“加強互聯網基礎設施建設”。

《中國制造2025》適用于制造行業管理人員和信息安全人員。

獲取途徑：www.gov.cn

閱讀體會

信息技術與制造技術融合，將會有大量自動控制與智能設備接入信息系統，信息系統的控制與信息采集功能越來越普及，越來越強大，傳統的信息系統安全問題將轉變為工業控制系統的信息安全問題，這一點不容置疑，但關于制造行業圍繞工控系統安全所要做的工作，絕對不僅如此。筆者認為，圍繞《中國制造2025》，制造行業圍繞工控系統安全有以下工作：

一是在工業控制信息系統規劃建設及業務流程再造的同時，同步規劃其與辦公網互連或信息交互的問題，同步規劃安全架構問題，每個工業控制信息系統都必須考慮安全防護、安全管理。安全架構對業務的組織形式、業務能力、業務流程的影響將越來越大。作為智能制造裝備的用戶，要選擇與本單位工業控制系統安全機制相兼容的智能制造裝備。

二是研究、開發、生產安全性強的智能裝備與自動控制產品。這是工控系統安全給裝備制造行業和自動控制行業提供的一個絕好的發展機遇，廠家應該將安全性能作為產品轉形升級的一項重要指標。

三是改進服務體系。智能裝備與自動控制產品是工業控制系統的組成部分，工業控制系統的用戶比普通信息系統用戶對供應商的依賴程度要高，在投入使用后，供應商承擔更多的安全責任，有必要提高服務中的安全管理能力，改進服務體系。

閱讀建議

想了解中國制造業發展規劃及工控系統安全問題的業務背景的朋友值得一讀，以及為制造行業提供工控系統安全服務的朋友特別值得一讀。