信息化时代 工控安全防护体系建设需提速

随着工业自动化系统的发展，工业控制系统的信息安全技术也得到了长足的发展。未来，工业控制系统的信息安全技术将进一步利用传统的IT技术，使其更加智能化、网络化，成为控制系统不可或缺的一部分。

与传统IP互联网相似，工业控制系统的信息安全产品将在信息安全与工业生产控制之间找到契合点，形成具有工业控制系统鲜明特色的安全输入、安全控制和安全输出产品体系。

工控安全考虑功能、物理和信息安全。

一般来说，工业控制系统的安全可以分为三个方面，即功能安全、物理安全和信息安全。

安全是实现设备和工厂的安全功能。受保护和受控设备的安全相关部分必须正确执行其功能，当故障或失效发生时，设备或系统必须仍能维持安全条件或进入安全状态。

物理安全就是减少触电、火灾、辐射、机械危险、化学危险等因素造成的伤害。

IEC62443对工业控制系统信息安全的定义是：“为保护系统而采取的措施；通过建立和维护保护系统的措施获得的系统状态；避免对系统资源的未经授权的访问以及未经授权或意外的更改、破坏或丢失；基于计算机系统的能力，可以保证未授权的人员和系统既不能修改软件及其数据，也不能访问系统功能，但保证授权的人员和系统不被阻塞；防止对工业控制系统的非法或有害入侵或干扰其正确和有计划的操作。”

工控安全法规政策梳理

我国工控安全领域的法规政策主要包括国家、产业、行业三个层面：

国家层面

从国家层面来看，工控安全法规多是通过具体法律、条例中的规章，以管理维度要求工业生产企业在信息化过程中需要注意的事项。

1、网络安全法

2017年，我国颁布《中华人民共和国网络安全法》，标志着我国网络安全建设有法可依。《网络安全法》中，关键信息基础设施作为独立一节，体现了我国对关键信息基础设施的重视。而工业网络、工业系统承担着国家安全、国计民生、公共利益的职责，因此被认为是关键信息基础设施的一部分。

2、数据安全法与个人信息保护

《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》，对关键信息基础设施运行过程中所产生的业务数据、个人隐私数据、运行数据等做出细化的防护规定。

3、网络安全等级保护制度2.0

2019年，网络安全等级保护制度2.0标准正式发布并实施。在《GBT22239-2019信息安全技术网络安全等级保护基本要求》中，除安全通用要求外，还提出了工业控制系统安全扩展要求，通过分析OT网络与IT网络的区别，进行了针对安全防护要求。

等保2.0的安全扩展要求主要针对于生产管理层、过程监控层、现场控制层和现场设备层。其中生产管理层和过程监控层注重对网络通讯和网络隔离进行要求，现场控制层和现场设备层作为OT网络的主体，包含了从设备、到资产再到网络通讯的全方位安全要求。

4、关键信息基础设施保护条例

2021年9月1日，《关键信息基础设施安全保护条例》(以下简称“条例”)实施，定义了从国家网信部门统筹，公安部监督，各级人民政府、各行业主管单位配合的监管体系。

《条例》细化了《网络安全法》中对关键信息基础设施的要求。《条例》更注重的是从架构层面的建设问题，要求工控企业具备的基本能力，并明确了如果没有达到要求时相应的处罚。这些要求及能力如何具体落地，工业企业还需根据等保2.0相关标准进行执行。

产业层面

从产业层面看，产业主管部门基于国家法律规定，将工控安全要求细化成可落地建设的指南，对在安全技术应用、实现防护要求的具体方法进行指导，并依据指导意见建立考核点，以检查落地的成效。

2011年10月，工信部发布关于工业控制安全的《关于加强工业控制系统信息安全管理的通知》(以下简称“《通知》”)，从四个方面提出工控安全建设要求：加强对工业安全重要性的认识；落实工控安全中的六项管理要求；建立健全工控安全监管机制；强化工控系统安全组织领导工作。

2016年10月，工信部印发《工业控制系统信息安全防护指南》，从十一个方面要求工控企业做好安全防护工作。《工业控制系统信息安全防护指南》给出了第一个细化的工控安全落实管理、技术架构。《指南》共十一条，对工业系统的安全建设从管理、技术、应急处置、设备资产管理等多方面进行了建议。

2017年，工信部办公厅发布了“工业和信息化部关于印发《工业控制系统信息安全防护能力评估工作管理办法》的通知“，旨在检验《工业控制系统信息安全防护指南》的实践效果。在通知中，同时发布了《工业控制系统信息安全防护能力评估方法》，工信部、各行业单位将依照《评估办法》对部分工控安全企业进行检查。

2020年2月，工信部印发《工业数据分类分级指南(试行)》，要求工业和信息化主管部门、工业企业、平台企业等开展工业数据分类分级工作。企业的研发数据、生产数据、运维数据、管理数据、外部数据需要进行分类处理，并依据一旦遭到篡改、破坏、泄露或分发利用后可能产生的潜在影响进行分级处理。

行业层面

从行业层面看，主要包括能源、电力、交通运输、生产制造等，由于工业领域各行业安全现状有所不同，各工业系统的安全需求具备差异化，因此各行业主管部门均在根据自身情况，推进行业内的工业安全建设指导，并形成行业标准。