從工業控制系統自身來看，隨著計算機和網絡技術的發展，尤其是信息化與工業化的深度融合，工業控制系統越來越多地采用通用協議、通用硬件和通用軟件，通過互聯網等公共網絡連接的業務系統也越來越普遍，這使得針對工業控制系統的攻擊行為大幅度增長，也使得工業控制系統的脆弱性正在逐漸顯現，面臨的信息安全問題日益突出。

2010年的“震網”病毒、2012年的超級病毒“火焰”、2014年的Havex病毒等專門針對工業控制系統的病毒給用戶帶來了巨大的損失，同時也直接或間接地威脅到國家安全。從2015年發生的烏克蘭電力遭受攻擊事件我們可以看到，在不需要利用復雜攻擊手段、不需要完整還原業務系統運行過程的情況下，就可以對工控系統的運行造成影響。

隨著各方對工控系統的關注，近年來工控系統被挖掘的漏洞呈現總體上升的趨勢，但由于工業控制系統漏洞具有更高的價值，仍有大量的工控漏洞已被發現，卻未被曝光，因此，實際的工控漏洞數量應超出已有統計數，同時，SCADA、HMI、PLC、工業交換機等占曝光的漏洞數的前幾位。從分布的廠商來看，Siemens、advantech、scheider仍是漏洞大戶，他們的漏洞總和占全體工控漏洞總數的近30%。

我國同樣遭受著工業控制系統信息安全漏洞的困擾，比如2010年齊魯石化、2011年大慶石化煉油廠，工控系統分別感染Conficker病毒，都造成控制系統服務器與控制器通訊不同程度地中斷。

伴隨著國家政策的指引以及行業內對工控安全的行業引導，在相關因素驅動下，工控安全產品應用實例的增多及實際應用效果得到業界的認可，預計在不久的將來，工業控制系統的安全必將迅猛發展。

IEC 62443是在國際上被廣泛采納和認可的工控系統標準。各國、各行業制定工控相關標準政策都會參考和吸收該標準提供的概念、方法、模型。不論是想系統地了解工控安全問題及其應對措施，還是想了解部分內容，都可以從該標準入手。

IEC62443針對工控系統信息安全的定義是：

A、保護系統所采取的措施；

B、由建立和維護保護系統的措施所得到的系統狀態；

C、能夠免于對系統資源的非授權訪問和非授權或意外的變更、破壞或者損失；

D、基于計算機系統的能力，能夠保證非授權人員和系統既無法修改軟件及其數據也無法訪問系統功能，卻保證授權人員和系統不被阻止；

E、防止對工控系統的非法或有害入侵，或者干擾其正確和計劃的操作。

縱觀國際工控安全的發展態勢，美國是最早開始研究和執行工控安全標準的國家，北美電力可靠性公司給予 CIP系列標準的要求開展在北美電力開展針對電力企業安全安全檢查（包含核電）；歐洲已經按照 WIB標準來檢測工控產品安全，并且以德國為代表的國家，已經開始基于 ISO 27000系列的ISO 27009 進行工控安全的建設；日本基于 IEC 62443要求結合阿基里斯認證要求，從 2013年起規定所有工控產品必須通過國家標準認證才能在國內使用，并且已經在一些重點行業如能源和化工行業開始了工控安全檢查和建設；以色列已成立國家級工控產品安全檢測中心，用于工控安全產品入網前的安全檢測。

2011年，工信部出臺了《關于加強工業控制系統信息安全管理的通知》（工信部協［2011］451號）文件，第一次對工控安全管理工作提出了具體要求。近年來隨著信息技術與工業生產活動的不斷融合，工控安全形勢日益嚴峻，原451號文件在指導開展工控安全防護工作上存在操作性不強、技術性不夠等不足之處。工控安全主管部門和工業控制系統應用單位，都急需一個簡單明了、措施化、易于落地的防護指導手冊。

2016年對于我國工業控制系統信息安全市場來說，應該是收獲頗為豐厚的一年。尤其是在相關法律法規、標準等方面都取得了突破性的進展。

2016年10月，工業和信息化部印發的《工業控制系統信息安全防護指南》，其中指出，工業控制系統應用企業應從安全軟件選擇與管理、配置和補丁管理、邊界安全防護、物理和環境安全防護、身份認證、遠程訪問安全、安全監測和應急預案演練、資產安全、數據安全、供應鏈管理、落實責任11個方面做好工控安全防護工作。《指南》的發布是對國家關鍵信息基礎設施安全保護要求的充分落實，也為新時期、新形勢下做好工控安全防護工作提供了重要的參考。

《指南》在充分考慮可操作性、務實性、實施便利性等基礎上，提出了11大項、30小項工控安全防護措施，為相關單位開展工控安全防護工作提供了有效參考。

對大型分布式控制系統（DCS）實施信息安全比可編程控制器（PLC）系統要容易得多，因為它們多數部署在大型廠內，且DCS系統的設計安裝要依據最佳工程實踐，有一致性的標準和驗收流程。而多數安裝在工廠的PLC系統，則沒有統一的設計、規劃、實施和驗收，因為購買金額相對較小，安裝和調試的管理相對簡單粗狂，因此留下諸多隱患。

為了防止網絡攻擊，信息安全項目需要一種有效和切實可行的機制，包括人員、規程和技術。我們不能指望多數制造商很快就對他們的自動化系統實施網絡信息安全項目。

從性質上看，工控安全是生產經營安全，工業企業承擔工控安全防護的主體責任。企業要建立健全企業的工控安全生產責任制，不斷完善企業工控安全管理制度、加強企業人員管理、供應鏈管理及系統運維管理。

工業企業認真研究和討論IEC62443標準和《工業控制系統信息安全防護指南》，檢查工廠的自動化系統，對工廠整體的運行情況進行評估，發現可能存在的隱含漏洞，和你的有關團隊一起討論信息安全策略和解決方案，這不僅能提高工廠運行的效率，而且隨時防止有一天可能出現的網絡攻擊，保護工廠的資產、人員和環境。

要從工控系統全生命周期做好安全防護。由于工業生產各業務環節及相關系統之間的連接越來越緊密，工業控制系統在設計、選型、建設、測試、運行、檢修、廢棄各階段均需要做好防護工作，《指南》中的防護措施貫穿了工控系統的整個生命周期。

工控安全防護要從系統與設備安全、網絡安全、主機安全和數據安全方面建立綜合防護能力。傳統的單點防護已經不能應對日益嚴峻的安全形勢，《指南》提出要在工控系統與設備、工業網絡、工業主機、工業數據各核心要素上都建立防護能力，大幅提高黑客攻擊工控系統的難度，切實提升工控系統安全水平。

要加快培養工控安全專業技術隊伍。當前我國在工控安全方面的風險評估、防護方案規劃與實施方面的人才存在較大缺口，工業企業在落實《指南》中的防護措施時，急需相關專業技術人員來實施有關工作。相關主管部門要通過專業建設、人才培育等多種措施，加快工控安全人才力量的建設。

小結：隨著信息化網絡化等技術的不斷發展，控制系統接入互聯網也是大勢所趨，所以對于控制系統的信息安全和抵御黑客攻擊能力會要求更高。工業企業可參照《指南》選擇工控安全防護產品或解決方案，促進企業落實工控安全防護措施，切實提升工控系統安全水平。