隨著互聯(lián)網(wǎng)在工業(yè)領域的不斷滲透，以及智能設備在各領域的廣泛使用，工業(yè)控制系統(tǒng)的脆弱性正逐漸暴露出來：從2010年“震網(wǎng)”病毒攻擊伊朗科工業(yè)控制系統(tǒng)開始，黑客從計算機為跳板的攻擊正逐漸發(fā)展到直接攻擊控制系統(tǒng)上，工控入侵從利用未公開漏洞的高難度攻擊方式延伸到常規(guī)手段組合式攻擊，甚至繞過工控底層知識的壁壘。

造成這種趨勢一方面是工控產(chǎn)品更新?lián)Q代周期長，制造企業(yè)的系統(tǒng)大多數(shù)已經(jīng)運行了十幾年還在服役，不像現(xiàn)在的傳統(tǒng)信息產(chǎn)業(yè)，三兩年就會更換硬件設備。工控系統(tǒng)以“可靠性”、“穩(wěn)定性”為首要需求且采用大量的私有協(xié)議，軟件難以及時升級、系統(tǒng)補丁兼容性差、發(fā)布周期長等問題，使得企業(yè)不具備及時處理嚴重威脅漏洞的能力。

另一方面，以云計算、大數(shù)據(jù)、人工智能為代表的新一輪科技革命正在孕育興起，并以前所未有的速度和方式影響和改變著工業(yè)信息化進程。制造企業(yè)上云、工業(yè)互聯(lián)網(wǎng)應用為首的轉(zhuǎn)型升級模式，造成了制造企業(yè)業(yè)務應用的不斷增長。不法分子利用在線網(wǎng)絡攻擊方式，例如通過成本更低的自動化工具展開撞庫等攻擊，竊取企業(yè)的關(guān)鍵數(shù)據(jù)。

眾所周知，工業(yè)安全作為國家網(wǎng)絡和信息安全的重要組成部分，是推動中國制造2025、制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的基礎保障。面對逐步開放和互聯(lián)的工業(yè)控制網(wǎng)絡，企業(yè)需要審查自身安全漏洞，建立更新的網(wǎng)絡防護體系。因此，國家出臺了一系列法律法規(guī)如《網(wǎng)絡安全法》等指導制造企業(yè)進行安全防護工作，提升企業(yè)的安全防護能力，這其中就包括：

信息安全等級保護：在《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務院147號令)中首次提出“計算機信息系統(tǒng)實行安全等級保護”概念后，2007年公安部等四部委共同制定《信息安全等級保護管理辦法》(公通字[2007]43號)，將企業(yè)信息系統(tǒng)的安全保護等級分為五級，出臺《信息安全等級保護基本要求》(GB/T 22239-2008)明確對于各等級信息系統(tǒng)的安全保護基本要求。今年6月27日，公安部發(fā)布了《網(wǎng)絡安全等級保護條例(征求意見稿)》，而這一新規(guī)也被業(yè)界普遍稱為“網(wǎng)絡安全等級保護2.0”。

工業(yè)控制系統(tǒng)信息安全防護指南：為貫徹落實《國務院關(guān)于深化制造業(yè)與互聯(lián)網(wǎng)融合發(fā)展的指導意見》（國發(fā)〔2016〕28號）文件精神，應對新時期工控安全形勢，提升工業(yè)企業(yè)工控安全防護水平，2016年10月，工信部印發(fā)了《工業(yè)控制系統(tǒng)信息安全防護指南》，指導工業(yè)企業(yè)開展工控安全防護工作。

工信部“一網(wǎng)一庫三平臺”的要求：今年1月，工信部印發(fā)了《工業(yè)控制系統(tǒng)信息安全行動計劃（2018—2020年）》加快我國工業(yè)控制系統(tǒng)信息安全保障體系建設，提升工業(yè)企業(yè)工業(yè)控制系統(tǒng)信息安全防護能力，促進工業(yè)信息安全產(chǎn)業(yè)發(fā)展。提出到2020年建成工控安全管理工作體系，全系統(tǒng)、全行業(yè)工控安全意識普遍增強，建成“一網(wǎng)一庫三平臺”。其中“一網(wǎng)”是指全國工控安全在線監(jiān)測網(wǎng)絡、“一庫”是指工控安全應急資源庫、“三平臺”是指工控安全仿真測試平臺、信息共享平臺和信息通報平臺。

關(guān)鍵信息技術(shù)設施安全防護條例：2017年7月11日，網(wǎng)信辦發(fā)布了《關(guān)鍵信息基礎設施安全保護條例（征求意見稿）》。關(guān)鍵信息基礎設施（CII）安全保護制度作為《網(wǎng)絡安全法》建立的若干信息網(wǎng)絡安全制度中的核心和重中之重，早在2013年國家信息網(wǎng)絡立法規(guī)劃中就被認定為整個信息網(wǎng)絡立法的最基礎層。《保護條例》對CII范圍、運營者安全保護義務、產(chǎn)品和服務安全、監(jiān)測預警、應急處置和檢測評估等一系列事項進行了詳細的規(guī)定，構(gòu)建了CII安全保護制度的具體框架。

值得一提的是，由于制造業(yè)覆蓋行業(yè)眾多，針對不同行業(yè)而言企業(yè)信息安全的防護重點與手段也不盡相同，因此國家和行業(yè)相關(guān)部門也先后出臺了各自領域的安全防護標準化文件，例如為保障電力系統(tǒng)安全穩(wěn)定運行，建立和完善電網(wǎng)、電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡的安全防護體系，先后發(fā)布了《電網(wǎng)和電廠計算機監(jiān)控系統(tǒng)及調(diào)度數(shù)據(jù)網(wǎng)絡安全防護規(guī)定》（中華人民共和國國家經(jīng)濟貿(mào)易委員會令第30號）、《電力二次系統(tǒng)安全防護規(guī)定》（國家電力監(jiān)管委員會令第5號）、《電力監(jiān)控系統(tǒng)安全防護規(guī)定》（中華人民共和國國家發(fā)展和改革委員會令第14號）、《電力監(jiān)控系統(tǒng)安全防護總體方案》（國能安全【2015】36號)等。

對標這些合規(guī)性要求，企業(yè)可以理清究竟自身所處工控安全到底存在什么問題、有什么缺陷和風險、需要提高到什么樣的水平。此外，一些重大專項例如工信部發(fā)布的“2018年工業(yè)互聯(lián)網(wǎng)創(chuàng)新發(fā)展工程擬支持項目”和“2018年智能制造綜合標準化與新模式應用擬立項項目”中，也對申報企業(yè)的工業(yè)安全作出了具體的要求，讓工業(yè)安全合規(guī)成為企業(yè)邁向智能制造不可或缺的環(huán)節(jié)。