1.1. 项目背景
随着计算机网络技术的发展，特别是互联网及社会公共网络平台的快速发 展，在“两化”融合的行业发展需求下，为了提高生产高效运行、生产管理效率， 国内众多行业大力推进自动化系统自身的集成化，集中化管理，系统的互联互通 性逐步加强。但是自动化系统建设时更多的是考虑各自系统的可用性， 并没有考 虑系统之间互联互通的安全风险和防护建设。使得国际国内针对自动化系统的攻 击事件层出不穷，“震网”病毒事件为全球自动化系统安全问题敲响了警钟，促 使国家和社会逐渐重视自动化系统的信息安全问题。

近些年来随着工控系统的安全事件不断频发，国家相关部门也出台了一些政策法 规，首先 2017 年 6 月 1 日《中华人民共和国网络安全法》正式施行，里面明确提到了相关惩罚措施，同时 2019 年 12 月工信部发布《工业互联网企业网络安全分类分级指南（试行）》指导工业企业开展网络安全分类分级工作，里面明确 要求对工业互联网企业应当依照法律、行政法规的规定和相关标准的要求， 采取 技术、管理等综合措施，保障工业互联网相关设备、控制、网络、平台、应用、 数据等网络安全，有效防范应对网络安全事件等相关要求，因此对制药工控系统 的安全建设迫在眉睫。
1.2. 基本情况
1.2.1. 客户简介
XXX 制药厂位于 XX ，现场 DCS 系统是属于 XX 自动化厂商，用户现场子 系统分别有 XX 系统、XX 系统、XX 系统等，目前用户现有的工控系统未做任 何安全防护，工控网络系统存在一定的安全隐患，此次针对用户现有的安全问题 进行方案设计，提升制药厂的工控系统安全防护能力。
1.2.2. 系统定级情况
制药厂 DCS 系统逻辑层次一般分：现场控制层、集中监控层、 MES 层和企 业管理层。MES  层通过工业以太网实现现场设备的数据采集，并对数据集中分析。

制药车间作为制药厂重要的工控系统，其合规性主要以满足《信息安全技术  网络安全等级保护基本要求》和《工业互联网企业网络安全分类分级指南（试行）》 的要求为主，一般按等保 2.0 三级标准建设。

1.3. 项目建设目标及范围、依据
制药厂生产车间网络安全保护建设工作是贯彻落实国家网络安全等级保护 制度和国家监管机构相关文件、遵循等保 2.0 的基本要求与设计要求，在建设规 划方面，需要遵从网络安全与信息化工作同步规划、同步建设、同步使用的“三 同步”原则，坚持“谁主管、谁负责，谁运营、谁负责”的要求，切实落实安全主 体责任制。
1.3.1. 建设目标
通过项目的建设实施，构建制药工控系统网络安全的纵深防御体系，保护工 业控制系统免受病毒、木马、恶意程序、非法入侵、误操作等的侵害， 保障所有 生产车间的生产安全和稳定运行，解决工控系统网络安全风险问题，提高工控网 络的整体防御能力。同时，通过此次工控安全建设，使得车间的工控安全防护体 系满足《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本 要求》，使单位免于潜在的法律、法规风险，以及行业处罚。
1.3.2. 建设依据
本方案引用参考下列文件，凡是标注日期的引用文件版本适用于本文件。凡 是不标注日期的引用文件，其最新版本（包括所有的修订单）适用于本文件。
表 1-1 参考标准
 

法规、政策、指南类文件
序号	文件名称
1	中华人民共和国主席令〔2017〕第 53 号《中华人民共和国网络安全法》
2	《关于加强工业控制系统网络安全管理的通知》（工信部【2011】451 号）
3	《信息化和工业化融合发展规划（2016-2020 年）》
4	《工业控制系统信息安全防护指南》（工信软函〔2016〕338 号）
5	《工业控制系统信息安全事件应急管理工作指南》（工信部信软【2017】122 号）
6	《中华人民共和国计算机信息系统安全保护条例》（国务院令第 147 号）
标准规范类
序号	规范名称
1	GB/T 30976.1-2014《工业控制系统网络安全第 1 部分：评估规范》
2	GB/T 30976.2-2014《工业控制系统网络安全第 2 部分：验收规范》
3	GB/T 32919-2016《信息安全技术 工业控制系统安全应用指南》
4	GB/T 33007-2016《工业通信网络 网络和系统安全 建立工业自动化和控制系统安 全程序》
5	GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》