面對工控系統(tǒng)信息安全的嚴峻形勢，由中國電子技術標準化研究院信息安全研究中心和其他23家單位共同發(fā)起成立了“工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)聯(lián)盟”。該產(chǎn)業(yè)聯(lián)盟成立的宗旨是搭建政府、用戶、企業(yè)、科研院所之間的交流平臺，發(fā)揮紐帶與橋梁作用，共同推進我國工業(yè)控制系統(tǒng)信息安全產(chǎn)業(yè)發(fā)展，保障關鍵基礎設施安全穩(wěn)定運行，支撐中國工業(yè)健康可持續(xù)發(fā)展。

　　聯(lián)盟致力于為我國工業(yè)控制系統(tǒng)信息安全在體系建設、風險評估、標準制定、產(chǎn)品開發(fā)和評測等方面迅速有效地取得積極成效而搭建一個交流平臺。

　　形勢嚴峻

　　我國正處于工業(yè)轉(zhuǎn)型升級的關鍵期，信息化與工業(yè)化深度融合的智能化生產(chǎn)成為發(fā)展趨勢。在工業(yè)信息化過程中，現(xiàn)有工控系統(tǒng)的軟硬件、通信協(xié)議，以及管理環(huán)節(jié)往往都存在信息安全隱患風險。工控系統(tǒng)信息安全事件在近年來逐年增加，嚴重影響國家和地區(qū)的重要基礎設施安全，造成的損失和危害越來越嚴重，安全形勢刻不容緩。

　　美歐等國已將關鍵基礎設施與工控安全列為國家戰(zhàn)略。美國高度重視工控系統(tǒng)安全，采取了一系列的措施來保障關鍵基礎設施和工控系統(tǒng)的信息安全，通過發(fā)布國家法規(guī)戰(zhàn)略、制定工業(yè)控制系統(tǒng)安全路線圖、制定工控信息安全深度防御策略和標準、開展工控系統(tǒng)信息安全檢查和評估來保障工控系統(tǒng)的安全。

　　反觀現(xiàn)階段我國的工控系統(tǒng)信息安全，就會發(fā)現(xiàn)我國工控系統(tǒng)信息安全產(chǎn)業(yè)的規(guī)模與國外相比還有很大差距，相關工控系統(tǒng)信息安全國家標準還不夠完善。我國工控系統(tǒng)信息安全工作起步晚，總體上技術研究尚屬起步階段，管理制度不健全，相關標準體系不完善，安全防護能力和應急處理測評能力不高。因此，應盡快制定相關政策及標準，將工控系統(tǒng)安全納入到工業(yè)和信息化行業(yè)，并上升到國家網(wǎng)絡安全戰(zhàn)略高度予以部署推進。

　　我國工控系統(tǒng)安全存在多個薄弱環(huán)節(jié)，工控系統(tǒng)國產(chǎn)化程度不高，尤其是在高端市場基本被國外壟斷，核心的技術和元件均掌握在國外廠商手中，工控系統(tǒng)高度依賴國外，安全形勢嚴峻。

　　首先，國外工控系統(tǒng)在產(chǎn)品設計、配置等方面不可避免地存在漏洞，這些漏洞一旦被敵對勢力、恐怖組織、商業(yè)間諜、黑客組織等利用，將帶來關鍵數(shù)據(jù)和信息被竊取、被篡改破壞等問題，還可能使涉及國計民生的工業(yè)、能源、交通等關鍵基礎設施遭到破壞。

　　其次，國外廠商會對工控系統(tǒng)進行遠程維護，關鍵核心數(shù)據(jù)可能被竊取并被利用。

　　當前我國工控系統(tǒng)的安全保護水平和安全管理偏低，表現(xiàn)在缺乏有效的管理標準來監(jiān)管工控系統(tǒng)的安全，未對工控系統(tǒng)采取有效的分層保護措施、未經(jīng)允許控制的遠程訪問等。

　　此外，我國目前還缺乏應用于工控系統(tǒng)的安全防護產(chǎn)品，工控系統(tǒng)的安全防護產(chǎn)品門類不全、為形成應用于各個系統(tǒng)層級、各個應用領域的安全防護產(chǎn)品體系不夠健全。

　　未來重點

　　為保障我國工控系統(tǒng)乃至關鍵基礎設施的安全，在有關政府主管部門的組織下，相關工控企業(yè)、標準研究機構、測評機構、聯(lián)盟組織應全力合作，從建立工作機制、制定標準、提高測評能力、培養(yǎng)工控安全人員信息安全意識等方面推進工控系統(tǒng)信息安全工作。

　　首先，應建立主管部門和工控系統(tǒng)企業(yè)的聯(lián)動工作機制，政府提供政策支持，企業(yè)自身做好管理和技術支持，二者協(xié)調(diào)統(tǒng)一。相關企業(yè)和科研機構應對出現(xiàn)的安全事件的原因分析總結(jié)，及時發(fā)現(xiàn)我國現(xiàn)有工控系統(tǒng)的隱患并給出解決方案。同時，政府指導推動工控行業(yè)和優(yōu)勢企業(yè)，發(fā)展具有自主產(chǎn)權的工控系統(tǒng)的核心軟硬件，改變目前這種嚴重依賴關鍵技術產(chǎn)品進口的不利局面，加速提升我國在工控系統(tǒng)方面的核心競爭力，掌握工控產(chǎn)業(yè)發(fā)展的主動權。

　　其次，應加快制定工控系統(tǒng)信息安全國家標準。依據(jù)工業(yè)和信息化部發(fā)布《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（工信部協(xié)[2011]451號文）和《國務院關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）等相關文件，并結(jié)合ISO/IECJTC1/SC27、IEC62443、NISTSP800-82等工控安全相關國際國外標準，從工控系統(tǒng)的技術線、管理線出發(fā)，以工控系統(tǒng)安全管理標準帶動工控系統(tǒng)技術標準制定，統(tǒng)籌工控安全產(chǎn)業(yè)發(fā)展，建立標準體系，維護工控系統(tǒng)信息安全。

　　再次，應加強工控系統(tǒng)安全評估能力建設。目前，國際上工控系統(tǒng)的物理安全測評認證主要由歐盟、德國、英國主導，工控系統(tǒng)核心安全數(shù)據(jù)、核心評估工具均被國外企業(yè)和評估機構壟斷。在工控系統(tǒng)信息安全測評領域，我國也剛剛起步，亟須加強測評技術研究、測評工具開發(fā)、測評環(huán)境建設等能力提升工作，逐步形成我國獨特的工控系統(tǒng)信息安全測評體系和工控系統(tǒng)網(wǎng)絡安全審查體系。

　　最后，應提高工控系統(tǒng)企業(yè)信息安全意識。當前，很多工控安全事件都是由于企業(yè)信息安全管理不當或員工缺乏信息安全意識的誤操作引起的，因此，相關企業(yè)在對系統(tǒng)進行管理時要對管理人員進行信息安全培訓，國家有關主管部門可定期對管理和操作人員進行考核認證，并建立問責機制。此外還可以委托相關信息安全測評機構建立演練模擬平臺，定期對企業(yè)員工進行信息安全事故演練，模擬在面對工控安全突發(fā)事件時的應急響應。