工控安全政策系列導讀：資訊安全技術工業控制系統安全控制應用指南

2016年8月29日，國家品質監督檢驗檢疫總局、國家標準化管理委員會正式發佈《GB/T 32919 資訊安全技術工業控制系統安全控制應用指南》。（http://www.bz.bzko.com/bzxx/48889.html）

該標準由全國資訊安全標準化委員會（SAC/TC260）提出，全國資訊安全標準化技術委員會歸口管理。適用於工業控制系統擁有者、使用者、設計實現者以及資訊安全管理部門，為工業控制系統資訊安全設計、實現、整改工作提供指導，也為工業控制系統資訊安全運行、風險評估和安全檢查工作提供參考。方便規約工業控制系統的安全功能需求，為安全設計（包括安全體系結構設計）和安全實現奠定基礎。

一、核心內容

1. 安全控制概述

工業控制系統的安全與其它領域的安全是一樣的，應用管理、運行和技術上的保護措施和對策，以保護工業控制系統及其資訊的保密性、完整性和可用性等。應用這些控制的目的是，減少脆弱性或影響，抵禦工業控制系統所面臨的安全威脅，從而緩解工業控制系統的安全風險，以滿足利益相關者的安全需要。

標準附錄B中給出了可用於工業控制系統的安全控制清單。為了更方便地使用控制選擇和規約過程，把控制概括為管理類、運行類和技術類，十八個族，每個族包含一些與該族的安全功能相關的安全控制。對於每項安全控制，有三方面的內容：

此項安全能力的簡潔陳述，描述了要由組織或工業控制系統進行的與安全相關的活動或動作；

提供了一些與此項安全控制相關的資訊，指導組織在定義、開發和實現安全控制時適當地採用；

對於需要更大保護的工業控制系統，提出控制增強措施。

2. 安全控制基線及其設計

本標準結合工業控制系統基本特徵（參見附錄A），結合以往諸多工業控制系統的安全實踐，將附錄B中工業控制系統的安全控制集分為三個級別，統稱為安全控制基線，即基於工業控制系統安全風險的影響程度對安全控制的一個分級，可作為規劃工業控制系統中選擇安全控制的一個起始點。

附錄C為三個級別的安全控制基線。

安全控制基線應用於以下兩種情況：

第一種情況，基於工業控制系統的安全風險評估，按風險影響程度將工業控制系統劃分為低影響系統、中影響系統和高影響系統。在這種情況下，低影響系統選擇第一級安全控制基線；中影響系統選擇第二級安全控制基線；高影響系統選擇第三級安全控制基線。

第二種情況，通過定級劃分準則（參見國標GB/T 22240-2008《資訊安全技術資訊系統安全等級保護定級指南》），將工業控制系統劃分為相應的安全等級。在這種情況下， 1、2級系統選擇第一級安全控制基線；3級系統選擇第二級安全控制基線；4、5級系統選擇第三級安全控制基線。

3. 安全控制選擇與規約

為了使組織的工業控制系統是安全的，就必須實施選擇並規約安全控制和控制增強的過程，該過程包括以下三個子過程：

a) 選擇初始安全控制基線；

b) 裁剪所選擇的初始安全控制基線；

c) 補充經裁剪的安全控制基線。

安全控制選擇過程應用。安全控制選擇過程可從兩個不同的角度，應用於組織的工業控制系統。一個角度是新系統的開發，另一個角度是在運行系統。

對於新開發系統，由於系統並不存在，並且組織沒有進行初始的安全定級，因此要從需求定義的視角來應用安全控制選擇過程。包含在工業控制系統安全計畫中的安全控制，作為組織的安全規格說明，應用在設計、開發、實現、運行等系統生命週期各階段。

對於在運行系統，當系統本身或所面臨的風險發生重大變更時，基於當前系統處理、存儲和傳輸的不同業務類型，重新評估、確認系統安全級別，重新評審現有安全計畫，分析當前使用的、相關聯的安全控制與安全需求間的切合程度，調整的或重新制定安全計畫中的安全控制。

4. 工業控制系統基本特徵及安全風險分析

附錄A將工業控制系統與傳統資訊系統進行了對比，分析了資訊系統安全威脅與防護措施對工業控制系統的影響，介紹了工業控制系統面臨的威脅，從策略和規程、網路硬體、網路結構、網路邊界、通信和無線連接、網路設備配置、工業控制系統平臺硬體、工業控制系統平臺軟體、工業控制系統平臺配置、工業控制系統平臺病毒防護十個方面分析了工業控制系統脆弱性。

二、閱讀體會

標準是ISO 27002在工控領域的具體應用，有較強的操作性。同時，標準較好地實現了工控安全與等級保護的銜接，提出了分級別的安全基線，並根據等級保護定級指南與基本要求，將安全基線的級別與等級保護的級別建立了對應關係。對於在工控領域落實等級保護政策有非常重要的意義。

讓筆者覺得比較遺憾的，是本標準討論工業控制系統安全的時候，將工業控制系統（ICS）當作一個通用術語，對相關術語、概念和模型在本標準未進行更系統深入的解釋，也沒有引用相關標準，使本標準的適用範圍缺少直觀生動的場景假設。

本標準的內容與GB/T 33007建立工業自動化和控制系統安全程式比較接近，發佈時間相差不到兩個月。兩個標準的發展歷程不同，引用與參考文檔不同，使各自具有不同的特色。下面是兩個標準的主要引用與參考檔說明。

GB/T 33007的引用與參考文件：

本標準（GB/T 32919）的引用檔：

本標準是由全國資訊安全標準化委員會（SAC/TC260）提出的第一個工控安全標準，全國資訊安全標準化委員會正在制訂的工控安全標準還有工業控制系統資訊安全分級規範、工業控制系統風險評估實施指南、工業控制系統安全管理基本要求等。全國資訊安全標準化委員會在資訊安全領域有很強的號照力、權威性和專業基礎，而機械機械工業聯合會在工業控制領域有很強的號照力、權威性和專業基礎。

機械工業聯合會多年以來一直關注工控系統安全，已經提出並被採納為國家標準的包括：《GB/T 26333——2010工業控制網路安全風險評估規範》、《GB/T 30976-2014 工業控制系統資訊安全》（該標準包括評估規範、驗收規範兩個部分）、《GBT 33009-2016 工業自動化和控制系統網路安全集散控制系統(DCS) 》（該標準包括防護要求、管理要求、評估指南、風險與脆弱性檢測要求四個部分），《GBT 33008.1-2016 工業自動化和控制系統網路安全可編程式控制器（PLC) 第1部分：系統要求》、《GBT 33007-2016 工業通信網路網路和系統安全建立工業自動化和控制系統安全程式》。

筆者認為，相關機構和職能部門進行更緊密的溝通協調，對工控安全有非常重要的意義。同時，有必要加強國家工控安全標準體系規劃，做好各標準的定位和相互之間的銜接，做好與資訊安全標準體系及相關國際標準的銜接。

三、閱讀建議

對工控系統安全問題感興趣，想有所瞭解的朋友，標準的附錄A是當前能找到的最好的學習資料之一。

關注工控系統等級保護的朋友，一定要瞭解本標準。