工控安全政策系列导读:国家安全战略、工控安全指南、GB/T 33009与中国制造2025
2016年信息安全高速发展,国家各部委出台了一系列信息安全与工控安全的政策、标准。同时,智能制造的发展给制造行业带来的工控安全问题,则越来越受到业界各方面的高度重视。
为了便于各位关心工控安全工作的朋友能够快速了解有关情况,安全牛联系到该领域的资深人士——亚光(笔名)。亚光从制造业的角度,系统地收集分析了相关的资料,并结合自己的阅读感受,做了一个系列导读,介绍2016年以及此前发布的工控安全相关资料,希望能对关心工控安全的人士有所帮助。本文为导读系列之一,分别为国家网络安全战略、工控安全指南与国标GB/T 33009。
一、国家网络空间安全战略
2016年12月27日,经中央网络安全和信息化领导小组批准,国家互联网信息办公室发布《国家网络空间安全战略》(以下简称《战略》)。
《战略》分四个部分:
第一部分介绍机遇和挑战。网络空间是信息传播的新渠道、生产生活的新空间、经济发展的新引擎、文化繁荣的新载体、社会治理的新平台、交流合作的新纽带、国家主权的新疆域,正在全面改变人们的生产生活方式,深刻影响人类社会历史发展进程,是重大机遇。
但是,国家政治、经济、文化、社会、国防安全及公民在网络空间的合法权益面临严峻风险与挑战,网络渗透危害政治安全、网络攻击威胁经济安全、网络有害信息侵蚀文化安全、网络恐怖和违法犯罪破坏社会安全、网络空间的国际竞争方兴未艾。网络空间机遇和挑战并存,机遇大于挑战。
第二部分介绍了战略目标。推进网络空间和平、安全、开放、合作、有序,维护国家主权、安全、发展利益,实现建设网络强国的战略目标。
第三部分介绍了四条原则。尊重维护网络空间主权,和平利用网络空间,依法治理网络空间,统筹网络安全与发展。
第四部分介绍了九项战略任务。坚定捍卫网络空间主权,坚决维护国家安全,保护关键信息基础设施,加强网络文化建设,打击网络恐怖和违法犯罪,完善网络治理体系,夯实网络安全基础,提升网络空间防护能力,强化网络空间国际合作。
《战略》获取途径:www.cac.gov.cn
阅读体会
“发展是安全的基础,不发展是最大的不安全。”笔者认为《战略》提出的统筹网络安全与发展,是工控安全工作需要解决的一个重要认识问题,是工控安全的难点和重点问题。
笔者认为工业控制系统是关键信息基础设施的核心组成部分,《战略》关于关键信息基础设施的相关内容,大部分适用于工业控制系统安全问题。
如:“采取一切必要措施保护关键信息基础设施及其重要数据不受攻击破坏。坚持技术和管理并重、保护和震慑并举,着眼识别、防护、检测、预警、响应、处置等环节,建立实施关键信息基础设施保护制度,从管理、技术、人才、资金等方面加大投入,依法综合施策,切实加强关键信息基础设施安全防护。”
关键信息基础设施保护是政府、企业和全社会的共同责任,主管、运营单位和组织要按照法律法规、制度标准的要求,采取必要措施保障关键信息基础设施安全,逐步实现先评估后使用。加强关键信息基础设施风险评估...建立政府、行业与企业的网络安全信息有序共享机制,充分发挥企业在保护关键信息基础设施中的重要作用。
关于夯实网络安全基础方面,“做好等级保护、风险评估、漏洞发现等基础性工作,完善网络安全监测预警和网络安全重大事件应急处置机制”,笔者认为也是工控安全工作应遵循的思路。
阅读建议
通过阅读《战略》,了解工控系统安全工作的时代背景和国家政策背景,自觉地将局部工作与国家整体战略相结合,在国家发展的大潮中寻找机遇,在实现个人利益与国家利益的双赢中,推进事业的发展。
二、工业控制系统信息安全防护指南
2016年10月17日,工业和信息化部通过工信软函〔2016〕338号印发《工业控制系统信息安全防护指南》(以下简称《指南》)。
文件说明,为贯彻落实《国务院关于深化制造业与互联网融合发展的指导意见》(国发〔2016〕28号),保障工业企业工业控制系统信息安全,制定《指南》。工业和信息化部指导和管理全国工业企业工控安全防护和保障工作,并根据实际情况对指南进行修订。地方工业和信息化主管部门根据工业和信息化部统筹安排,指导本行政区域内的工业企业制定工控安全防护实施方案。
《指南》适用于工业控制系统应用企业以及从事工业控制系统规划、设计、建设、运维、评估的企事业单位。
《指南》获取途径:www.miit.gov.cn
阅读体会
通过十一个方面的要求抓住了工控安全的要点,精练、充实、全面,可以作为工控安全的工作清单来使用。
阅读建议
1. 通过阅读《指南》,了解工控系统安全工作的要点。《指南》提出的每一条要求,都需要结合工控系统及其应用背景来落实,值得深入思考;
2. 建议结合等级保护以及关键基础设施保护工作来落实《指南》要求,属于等级保护三级及以上工业控制系统,或属于关键基础设施的工业控制系统,建议逐条对照,选择应对措施,优化操作规程;
3. 《指南》是工作要求,具体落实的时候要根据工控系统生命周期、岗位职责分工、业务流程、资产等维度进行任务分解。任务分解的过程就是工控安全管理机制的规划设计过程。
三、GB/T 33009 工业自动化和控制系统网络安全 集散控制系统(DCS)
2016年10月13日,GB/T 33009 由国家质量监督检验检疫总局、国家标准化管理委员会正式发布。由中国机械工业联合会提出,全国工业过程测量、控制和自动化标准化技术委员会(SAC/TC124)和全国信息安全标准化技术委员会(SAC/TC260)归口管理。
该标准由四个文档组成:
GB/T 33009.1防护要求;
GB/T 33009.2管理要求;
GB/T 33009.3评估指南;
GB/T 33009.4风险与脆弱性检测要求。
其中 GB/T 33009.1 介绍了通用DCS系统的网络结构,提出了DCS防护总体要求和原则、物理访问控制要求,从过程监控层信息安全、现场控制层信息安全、现场设备层信息安全三个角度提出了三个层次的保护强度要求,分别为基本要求、常规加强要求、深度加强要求。
GB/T 33009.2介绍了DCS系统、运行安全总体要求、基于PDCA模型的DCS信息安全管理体系。从十四个方面阐述了DCS安全管理要素,这十四个方面在27001都能找到相对应的要求。
GB/T 33009.3介绍了DCS系统、DCS安全风险评估流程和评估结果,从评估工作准备、DCS安全要素识别、DCS风险分析、安全风险评估文档记录做了说明,附录A介绍了DCS生命周期各阶段的安全风险评估,附录B介绍了风险评估工具和集散控制系统(DCS)常见的测试内容,附录C风险的计算方法。
GB/T 33009.4为风险与脆弱性检测。内容包括DCS风险与脆弱性检测概述,DCS软件安全风险与脆弱性,DCS网络通信安全风险与脆弱性。
GB/T 33009 适用于涉及集散控制系统安全防护的电力、石油、化工、水利、冶金、交通、装备制造等领域,适用于集散控制系统的设计、采购、建设、改造、安全性管理,适用于集散控制系统生产商、集成商、用户、安全检测服务提供商、运行维护服务提供商。
阅读体会
该套标准吸收了国外在工控系统安全方面的研究成果,有一定的先进性;将信息安全相关理论和工作方法与DCS系统的实际相结合,融先进性、实用性、可操作性于一体。
第一部分安全防护要求较好地体现了信息系统安全等级保护基本要求的思想。第二部分可以理解为信息安全管理体系标准ISO27001在DCS领域的应用指南。第三部分可以理解为信息安全风险评估指南 GB/T 20984 在DCS领域的应用指南,阅读该部分非常有利于加强对工业控制系统安全风险的认识。第四部分针对DCS风险与脆弱性检测中需要关注的重要风险点及检测工作方法进行说明,对相关工作非常有指导意义。
工控系统可以分为SCADA、DCS、PLC,以笔者看来,DCS安全问题是SCADA安全的基础,DCS安全问题才是工控系统安全的核心问题,由此可见本标准系列在工控安全领域的重要意义。
阅读建议
建议从事工业控制系统安全的人员都粗略地阅读该标准的所有内容。不同人员重点阅读该标准的不同部分。工控系统安全技术人员重点阅读第一部分,有管理职能的人员需要在阅读第一部分的基础上阅读第二部分,而工控系统安全检测机构人员应该全面深入阅读四个部分。
四、中国制造2025
2015年5月08日,国发【2015】28号发布,文件标题为“国务院关于印发《中国制造2025》的通知”。
《中国制造2025》是我国实施制造强国战略第一个十年的行动纲领。推进信息化与工业化深度融合是九项战略任务和重点工作之一。
《中国制造2025》提出,要“加快推动新一代信息技术与制造技术融合发展,把智能制造作为两化深度融合的主攻方向;着力发展智能装备和智能产品,推进生产过程智能化,培育新型生产方式,全面提升企业研发、生产、管理和服务的智能化水平”。
要“加强智能制造工业控制系统网络安全保障能力建设,健全综合保障体系”。要“研究制定智能制造发展战略”、“加快发展智能制造装备和产品”、“推进制造过程智能化”、“深化互联网在制造领域的应用”、“加强互联网基础设施建设”。
《中国制造2025》适用于制造行业管理人员和信息安全人员。
获取途径:www.gov.cn
阅读体会
信息技术与制造技术融合,将会有大量自动控制与智能设备接入信息系统,信息系统的控制与信息采集功能越来越普及,越来越强大,传统的信息系统安全问题将转变为工业控制系统的信息安全问题,这一点不容置疑,但关于制造行业围绕工控系统安全所要做的工作,绝对不仅如此。笔者认为,围绕《中国制造2025》,制造行业围绕工控系统安全有以下工作:
一是在工业控制信息系统规划建设及业务流程再造的同时,同步规划其与办公网互连或信息交互的问题,同步规划安全架构问题,每个工业控制信息系统都必须考虑安全防护、安全管理。安全架构对业务的组织形式、业务能力、业务流程的影响将越来越大。作为智能制造装备的用户,要选择与本单位工业控制系统安全机制相兼容的智能制造装备。
二是研究、开发、生产安全性强的智能装备与自动控制产品。这是工控系统安全给装备制造行业和自动控制行业提供的一个绝好的发展机遇,厂家应该将安全性能作为产品转形升级的一项重要指标。
三是改进服务体系。智能装备与自动控制产品是工业控制系统的组成部分,工业控制系统的用户比普通信息系统用户对供应商的依赖程度要高,在投入使用后,供应商承担更多的安全责任,有必要提高服务中的安全管理能力,改进服务体系。
阅读建议
想了解中国制造业发展规划及工控系统安全问题的业务背景的朋友值得一读,以及为制造行业提供工控系统安全服务的朋友特别值得一读。