工控安全领域法规及标准简介

“震网”(Stuxnet)一个专门针对工业控制系统进行攻击的病毒，于2010年攻击伊朗的核设施而首次被发现并为人们所熟知。Stuxnet蠕虫病毒（超级工厂病毒）是世界上首个专门针对工业控制系统编写的破坏性病毒，能够利用工控系统的漏洞发起攻击，从而导致相关的工业设施遭到损坏。

工业控制系统（ICS）是数据采集与监视控制系统（SCADA）、分布式控制系统（DCS）、过程控制系统（PCS）、可编程逻辑控制器（PLC）和其他控制系统的总称。广泛应用于石化、钢铁、交通、能源、电力、核工业、通讯等关键基础设施领域，这些设备的工控系统一旦遭到破坏将造成极其严重的经济损失甚至人员伤亡。

震网病毒出现前人们认为使用物理网络隔离的工控系统是安全的，能有效防御网络攻击。而震网病毒利用工控系统的漏洞，攻击了伊朗核设施并破坏了提纯浓缩铀离心机，使得伊朗遭受了重大挫折。震网病毒的出现意味物理网络隔离不再能有效的保护工控系统，针对网络虚拟空间的攻击也可导致现实世界设备被严重破坏，让人们看到网络战争已经不再是实验室里的构想，其不再是遥不可及的事情，而是已经成为了现实。

工业控制系统安全一方面工业控制系统广泛适用于在工业生产过程的控制，是工业生产的核心大脑；另一方面，目前80%以上的国家关键基础设施以及智慧城市业务系统都是依赖于工业控制系统进行控制。

震网病毒暴发之后世界各国纷纷加强了工控安全方面的立法并颁布了多项相关的安全政策，我国工信部2011年发布《关于加强工业信息安全管理的通知》，通知的发布标志着我国工业控制系统的安全工作正式启动。?工业控制系统信息安全(以下简称“工控安全”)是国家网络和信息安全的重要组成部分，是推动中国制造2025、制造业与互联网融合发展的基础保障。

随着我国工控安全工作的推进，国家和相关主管部颁布和实施了多项与工控安全保护工作相关的法律及标准。例如：2016年10月，工业和信息化部印发《工业控制系统信息安全防护指南》，指导和管理全国工业企业工控安全防护和保障工作。

2017年国家颁布《网络安全法》规定国家对能源、交通、水利等行业关键信息基础设施在网络安全等级保护制度的基础上，实行重点保护。工信部相继印发《工业控制系统信息安全防护能力评估工作管理办法》、《工业控制系统信息安全事件应急管理工作指南》、《工业控制系统信息安全行动计划（2018- 2020年）》。

2019年12月1日正式实施等级保护2.0标准，针对工业控制提出安全扩展要求。2021年《数据安全法》提及工业领域是当前强化数据安全保障的重要领域。?《关键信息基础设施安全保护条例》指出关基领域覆盖了电力、核电、煤炭、油气、等10余个涉及工业控制系统的场景；2023年工信部正式实施的《工业和信息化领域数据安全管理办法（试行）》确立了数据分级保护原则，对工业和信息化领域数据安全管理进行了顶层设计。

工业控制系统是支撑国民经济的重要设施，是工业领域的神经中枢。现在工业控制系统已经广泛应用于电力、通信、化工、交通、航天等工业领域，支撑起国计民生的关键基础设施。工控系统是国家关键信息基础设施的重要组成部分。随着工业制造2025、工业4.0、两化融合、物联网等背景下，以及云计算、大数据、人工智能、物联网等新一代信息技术与制造技术的加速融合，工业互联网的产生逐渐打破了IT与OT的边界，工业网络下的工业控制系统安全面临严峻的挑战。工控安全涉及工业控制系统数据、网络和系统安全，保障工控安全对于维护企业生产稳定、保障人员安全以及保护国家关键信息基础设施等方面都具有重要的意义。