震網病毒、烏克蘭電網大停電事件、韓國核電站資料泄露等事件暴露了工業控制系統安全隱患對社會的危害，近年來，工業控制系統安全事件發生數持續增加，讓我國的相關企業機構越來越重視工業控制系統的信息安全。但國產化工業控制系統的信息安全發展還存在一些問題。本文介紹了我國工業控制系統信息安全發展中存在的問題，對發展現狀進行分析，并提出了一些建議。

　　一.存在的問題

　　1.工業控制系統信息安全生產企業工作熱情很高，但產品推廣難度很大

　　在工業控制系統信息安全領域出現了一批新興的信息安全生產和服務供應商，建立了工業控制系統信息安全服務體系，實現了較快的發展。一些國外廠商也開始進入我國工業控制系統信息安全市場，對國產化系統造成了一定的沖擊。

　　由于安全防護功能可能會影響系統性能，增加成本；另一方面安全防護設備對于操作人員要求較高，企業普遍缺乏相關人才，因此，系統應用企業的工業控制系統信息安全工作積極性不高，讓產品推廣收到一定的阻力。

　　2.新興技術在傳統信心安全領域得到應用，但工業控制系統信息安全領域應用較少

　　近年來，云安全、基于大數據理論的網絡安全防護等新興技術已經應用到傳統信息安全領域，這些新技術可以對終端惡意文件進行有效識別，挖掘用戶使用習慣，建立操作模型，實現自動生成防御策略，在安全方面實現了智能化，但這些技術在工業控制系統領域應用的較少。

　　3.具備了一定的工業控制系統信息安全標準化工作基礎，但缺乏標準測試和標準驗證能力

　　工信部某研究院從工業控制系統的技術線、管理線出發，制定形成了多項工業控制系統信息安全標準草案；初步建立了工業控制系統信息安全標準的標準驗證仿真平臺，形成了火力發電、軌道交通等網絡安全仿真驗證環境；提出了貫穿工業控制系統信息安全標準研制各階段的標準驗證流程；但目前已有工業控制系統信息安全仿真驗證環境缺乏相關配套的標準測試工具，標準驗證測試床尚不完備，形成的標準驗證能力有限。

　　二.相關建議

　　針對產業現狀，賽迪工控建議：

　　1.支持國產工控系統關鍵技術產品研發

　　國外產品對我們來說是“黑箱”，在不能了解防護對象的情況下進行安全防護工作十分困難，發展國產工控系統關鍵技術產品，加快國產化進程是國內工控信息安全相關機構與企業必須努力的方向。

　　2.推動實施企業工業控制系統信息安全防護能力提升工程

　　工業控制系統的信息安全不僅可能造成信息丟失，還可能造成工業生產故障，引起環境問題和社會問題。防止工業控制系統安全事件的發生，已經成為政府和企業關注的熱點，工業和信息化部下發的《關于加強工業控制系統信息安全管理的通知》，明確了加強工業控制系統信息安全管理的重要性和緊迫性、具體管理要求以及制度建設的迫切需要。應根據相關政策文件，研發工業控制系統安全防護智能化技術，開發符合標準的安全防護工具。

　　在國內關鍵領域信息系統產品投入使用之前，應采用第三方測評業務進行安全評測，同時，還要完善安全測評服務體系，不斷提升信息安全服務質量。

　　3.進一步開展工業控制系統信息安全標準化工作

　　工控系統中安全問題的發生除了傳統的技術原因，更重要的是網絡安全管理的規范化缺乏造成的。應該有針對性的提升我國信息安全標準化工作水平，帶動信息技術產業及相關產業行業發展實現更大突破，支撐國家網絡安全審查制度的順利實施。