工控安全政策系列導讀：國家安全戰略、工控安全指南、GB/T 33009與中國製造2025

2016年信息安全高速發展，國家各部委出台了一系列信息安全與工控安全的政策、標準。同時，智能製造的發展給製造行業帶來的工控安全問題，則越來越受到業界各方面的高度重視。

為了便於各位關心工控安全工作的朋友能夠快速了解有關情況，安全牛聯繫到該領域的資深人士——亞光（筆名）。亞光從製造業的角度，系統地收集分析了相關的資料，並結合自己的閱讀感受，做了一個系列導讀，介紹2016年以及此前發布的工控安全相關資料，希望能對關心工控安全的人士有所幫助。本文為導讀系列之一，分別為國家網路安全戰略、工控安全指南與國標GB/T 33009。

一、國家網路空間安全戰略

2016年12月27日，經中央網路安全和信息化領導小組批准，國家互聯網信息辦公室發布《國家網路空間安全戰略》（以下簡稱《戰略》）。

第一部分介紹機遇和挑戰。網路空間是信息傳播的新渠道、生產生活的新空間、經濟發展的新引擎、文化繁榮的新載體、社會治理的新平台、交流合作的新紐帶、國家主權的新疆域，正在全面改變人們的生產生活方式，深刻影響人類社會歷史發展進程，是重大機遇。

但是，國家政治、經濟、文化、社會、國防安全及公民在網路空間的合法權益面臨嚴峻風險與挑戰，網路滲透危害政治安全、網路攻擊威脅經濟安全、網路有害信息侵蝕文化安全、網路恐怖和違法犯罪破壞社會安全、網路空間的國際競爭方興未艾。網路空間機遇和挑戰並存，機遇大於挑戰。

第二部分介紹了戰略目標。推進網路空間和平、安全、開放、合作、有序，維護國家主權、安全、發展利益，實現建設網路強國的戰略目標。

第四部分介紹了九項戰略任務。堅定捍衛網路空間主權，堅決維護國家安全，保護關鍵信息基礎設施，加強網路文化建設，打擊網路恐怖和違法犯罪，完善網路治理體系，夯實網路安全基礎，提升網路空間防護能力，強化網路空間國際合作。

「發展是安全的基礎，不發展是最大的不安全。」筆者認為《戰略》提出的統籌網路安全與發展，是工控安全工作需要解決的一個重要認識問題，是工控安全的難點和重點問題。

筆者認為工業控制系統是關鍵信息基礎設施的核心組成部分，《戰略》關於關鍵信息基礎設施的相關內容，大部分適用於工業控制系統安全問題。

如：「採取一切必要措施保護關鍵信息基礎設施及其重要數據不受攻擊破壞。堅持技術和管理並重、保護和震懾並舉，著眼識別、防護、檢測、預警、響應、處置等環節，建立實施關鍵信息基礎設施保護制度，從管理、技術、人才、資金等方面加大投入，依法綜合施策，切實加強關鍵信息基礎設施安全防護。」

關鍵信息基礎設施保護是政府、企業和全社會的共同責任，主管、運營單位和組織要按照法律法規、制度標準的要求，採取必要措施保障關鍵信息基礎設施安全，逐步實現先評估后使用。加強關鍵信息基礎設施風險評估...建立政府、行業與企業的網路安全信息有序共享機制，充分發揮企業在保護關鍵信息基礎設施中的重要作用。

關於夯實網路安全基礎方面，「做好等級保護、風險評估、漏洞發現等基礎性工作，完善網路安全監測預警和網路安全重大事件應急處置機制」，筆者認為也是工控安全工作應遵循的思路。

閱讀建議

通過閱讀《戰略》，了解工控系統安全工作的時代背景和國家政策背景，自覺地將局部工作與國家整體戰略相結合，在國家發展的大潮中尋找機遇，在實現個人利益與國家利益的雙贏中，推進事業的發展。

二、工業控制系統信息安全防護指南

2016年10月17日，工業和信息化部通過工信軟函〔2016〕338號印發《工業控制系統信息安全防護指南》（以下簡稱《指南》）。

文件說明，為貫徹落實《國務院關於深化製造業與互聯網融合發展的指導意見》（國發〔2016〕28號），保障工業企業工業控制系統信息安全，制定《指南》。工業和信息化部指導和管理全國工業企業工控安全防護和保障工作，並根據實際情況對指南進行修訂。地方工業和信息化主管部門根據工業和信息化部統籌安排，指導本行政區域內的工業企業制定工控安全防護實施方案。

《指南》適用於工業控制系統應用企業以及從事工業控制系統規劃、設計、建設、運維、評估的企事業單位。

通過十一個方面的要求抓住了工控安全的要點，精練、充實、全面，可以作為工控安全的工作清單來使用。

閱讀建議

1. 通過閱讀《指南》，了解工控系統安全工作的要點。《指南》提出的每一條要求，都需要結合工控系統及其應用背景來落實，值得深入思考；

2. 建議結合等級保護以及關鍵基礎設施保護工作來落實《指南》要求，屬於等級保護三級及以上工業控制系統，或屬於關鍵基礎設施的工業控制系統，建議逐條對照，選擇應對措施，優化操作規程；

3. 《指南》是工作要求，具體落實的時候要根據工控系統生命周期、崗位職責分工、業務流程、資產等維度進行任務分解。任務分解的過程就是工控安全管理機制的規劃設計過程。

三、GB/T 33009 工業自動化和控制系統網路安全 集散控制系統(DCS)

2016年10月13日，GB/T 33009由國家質量監督檢驗檢疫總局、國家標準化管理委員會正式發布。由機械工業聯合會提出，全國工業過程測量、控制和自動化標準化技術委員會（SAC/TC124）和全國信息安全標準化技術委員會（SAC/TC260）歸口管理。

該標準由四個文檔組成：

其中GB/T 33009.1介紹了通用DCS系統的網路結構，提出了DCS防護總體要求和原則、物理訪問控制要求，從過程監控層信息安全、現場控制層信息安全、現場設備層信息安全三個角度提出了三個層次的保護強度要求，分別為基本要求、常規加強要求、深度加強要求。

GB/T 33009.2介紹了DCS系統、運行安全總體要求、基於PDCA模型的DCS信息安全管理體系。從十四個方面闡述了DCS安全管理要素，這十四個方面在27001都能找到相對應的要求。

GB/T 33009.3介紹了DCS系統、DCS安全風險評估流程和評估結果，從評估工作準備、DCS安全要素識別、DCS風險分析、安全風險評估文檔記錄做了說明，附錄A介紹了DCS生命周期各階段的安全風險評估，附錄B介紹了風險評估工具和集散控制系統(DCS)常見的測試內容，附錄C風險的計算方法。

GB/T 33009.4為風險與脆弱性檢測。內容包括DCS風險與脆弱性檢測概述，DCS軟體安全風險與脆弱性，DCS網路通信安全風險與脆弱性。

GB/T 33009適用於涉及集散控制系統安全防護的電力、石油、化工、水利、冶金、交通、裝備製造等領域，適用於集散控制系統的設計、採購、建設、改造、安全性管理，適用於集散控制系統生產商、集成商、用戶、安全檢測服務提供商、運行維護服務提供商。

該套標準吸收了國外在工控系統安全方面的研究成果，有一定的先進性；將信息安全相關理論和工作方法與DCS系統的實際相結合，融先進性、實用性、可操作性於一體。

第一部分安全防護要求較好地體現了信息系統安全等級保護基本要求的思想。第二部分可以理解為信息安全管理體系標準ISO27001在DCS領域的應用指南。第三部分可以理解為信息安全風險評估指南 GB/T 20984 在DCS領域的應用指南，閱讀該部分非常有利於加強對工業控制系統安全風險的認識。第四部分針對DCS風險與脆弱性檢測中需要關注的重要風險點及檢測工作方法進行說明，對相關工作非常有指導意義。

工控系統可以分為SCADA、DCS、PLC，以筆者看來，DCS安全問題是SCADA安全的基礎，DCS安全問題才是工控系統安全的核心問題，由此可見本標準系列在工控安全領域的重要意義。

閱讀建議

建議從事工業控制系統安全的人員都粗略地閱讀該標準的所有內容。不同人員重點閱讀該標準的不同部分。工控系統安全技術人員重點閱讀第一部分，有管理職能的人員需要在閱讀第一部分的基礎上閱讀第二部分，而工控系統安全檢測機構人員應該全面深入閱讀四個部分。

四、製造2025

2015年5月08日，國發【2015】28號發布，文件標題為「國務院關於印發《製造2025》的通知」。

《製造2025》是實施製造強國戰略第一個十年的行動綱領。推進信息化與工業化深度融合是九項戰略任務和重點工作之一。

《製造2025》提出，要「加快推動新一代信息技術與製造技術融合發展，把智能製造作為兩化深度融合的主攻方向；著力發展智能裝備和智能產品，推進生產過程智能化，培育新型生產方式，全面提升企業研發、生產、管理和服務的智能化水平」。

要「加強智能製造工業控制系統網路安全保障能力建設，健全綜合保障體系」。要「研究制定智能製造發展戰略」、「加快發展智能製造裝備和產品」、「推進位造過程智能化」、「深化互聯網在製造領域的應用」、「加強互聯網基礎設施建設」。

《製造2025》適用於製造行業管理人員和信息安全人員。

信息技術與製造技術融合，將會有大量自動控制與智能設備接入信息系統，信息系統的控制與信息採集功能越來越普及，越來越強大，傳統的信息系統安全問題將轉變為工業控制系統的信息安全問題，這一點不容置疑，但關於製造行業圍繞工控系統安全所要做的工作，絕對不僅如此。筆者認為，圍繞《製造2025》，製造行業圍繞工控系統安全有以下工作：

一是在工業控制信息系統規劃建設及業務流程再造的同時，同步規劃其與辦公網互連或信息交互的問題，同步規劃安全架構問題，每個工業控制信息系統都必須考慮安全防護、安全管理。安全架構對業務的組織形式、業務能力、業務流程的影響將越來越大。作為智能製造裝備的用戶，要選擇與本單位工業控制系統安全機制相兼容的智能製造裝備。

二是研究、開發、生產安全性強的智能裝備與自動控制產品。這是工控系統安全給裝備製造行業和自動控制行業提供的一個絕好的發展機遇，廠家應該將安全性能作為產品轉形升級的一項重要指標。

三是改進服務體系。智能裝備與自動控制產品是工業控制系統的組成部分，工業控制系統的用戶比普通信息系統用戶對供應商的依賴程度要高，在投入使用后，供應商承擔更多的安全責任，有必要提高服務中的安全管理能力，改進服務體系。

想了解製造業發展規劃及工控系統安全問題的業務背景的朋友值得一讀，以及為製造行業提供工控系統安全服務的朋友特別值得一讀。