2011年，中國工業(yè)和信息化部發(fā)布了《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（以下簡稱《通知》），該《通知》表示，基于2010年發(fā)生的“震網(wǎng)”病毒事件的前車之鑒，一旦工業(yè)控制系統(tǒng)信息安全出現(xiàn)漏洞，將對工業(yè)生產(chǎn)運(yùn)行和國家經(jīng)濟(jì)安全造成重大隱患。《通知》中明確了重點(diǎn)加強(qiáng)核設(shè)施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護(hù)、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計(jì)民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統(tǒng)信息安全管理，落實(shí)安全管理要求。由此可見，中國的工業(yè)控制系統(tǒng)信息安全正面臨著嚴(yán)峻的考驗(yàn)。

    工業(yè)安全問題主要分為兩部分詮釋：功能安全與信息安全。在“震網(wǎng)”事件爆發(fā)前，工業(yè)領(lǐng)域的安全問題還主要集中在功能安全上，而安全產(chǎn)品也多指安全開關(guān)、安全光柵等產(chǎn)品。近年來，隨著互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計(jì)算和大數(shù)據(jù)等新技術(shù)的應(yīng)運(yùn)而生，信息安全的漏洞引起了極大的關(guān)注。

    人們初初認(rèn)識信息安全一詞無疑是在IT界。當(dāng)IT技術(shù)方案逐漸應(yīng)用到工業(yè)控制系統(tǒng)中，用于提高企業(yè)業(yè)務(wù)系統(tǒng)之間的連接和遠(yuǎn)程訪問能力時(shí)，控制系統(tǒng)網(wǎng)絡(luò)也逐漸向更開放的工業(yè)以太網(wǎng)結(jié)構(gòu)發(fā)展。開放性越來越強(qiáng)在給工業(yè)控制系統(tǒng)帶來更好、更快發(fā)展的同時(shí)，IT技術(shù)的負(fù)面困擾也引入了工業(yè)控制系統(tǒng)，危及信息安全。然而，與傳統(tǒng)的IT信息安全不同，工業(yè)控制系統(tǒng)的安全事件會導(dǎo)致輕則系統(tǒng)性能下降、關(guān)鍵數(shù)據(jù)喪失，重則系統(tǒng)失控、環(huán)境災(zāi)難、人員傷亡、嚴(yán)重經(jīng)濟(jì)損失，甚至危害公眾生活和國家安全。

    事實(shí)上，所謂信息安全就是防止非法的攻擊和病毒的傳播，保證計(jì)算機(jī)系統(tǒng)和通信系統(tǒng)的正常運(yùn)作，保證信息不被非法訪問和篡改。隨著國家大力推進(jìn)工業(yè)化與信息化的深度融合，工業(yè)控制系統(tǒng)越來越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與辦公網(wǎng)絡(luò)、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散。面對這樣的挑戰(zhàn)，我們首先要做的是進(jìn)行網(wǎng)絡(luò)防護(hù)，在自動化網(wǎng)絡(luò)與辦公網(wǎng)絡(luò)之間使用防火墻進(jìn)行隔離，或是利用一些三層交換機(jī)的安全策略進(jìn)行網(wǎng)絡(luò)隔離和保護(hù)。其次，要在監(jiān)控計(jì)算機(jī)上安裝必要的殺毒軟件防止一些惡意軟件和病毒木馬的入侵。

    在落實(shí)工業(yè)控制系統(tǒng)信息安全方面，采用工業(yè)網(wǎng)絡(luò)縱深防御是比較普遍且行之有效的方法。將“縱深防御”引入過程控制系統(tǒng)的信息安全解決方案，在外部邊界的威脅和工控網(wǎng)絡(luò)之間建立盡可能多層次的保護(hù)。從風(fēng)險(xiǎn)評估，到安全規(guī)劃，再到按照縱深防御理念構(gòu)建安全防護(hù)體系，包括網(wǎng)絡(luò)分區(qū)與隔離、訪問控制、系統(tǒng)加固、補(bǔ)丁管理等，最后完成持續(xù)改進(jìn)的安全管理，通過四個(gè)階段建立起工業(yè)網(wǎng)絡(luò)縱深防御的體系框架。

    當(dāng)然，解決工業(yè)控制系統(tǒng)信息安全問題，三分靠技術(shù)，七分靠管理，切實(shí)做好工業(yè)控制系統(tǒng)的安全培訓(xùn)工作與培養(yǎng)安全意識極為重要。《通知》也提出，要建立工業(yè)控制系統(tǒng)安全測評檢查和漏洞發(fā)布制度。工業(yè)和信息化部要適時(shí)對重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全進(jìn)行抽查。同時(shí)，要進(jìn)一步加強(qiáng)工業(yè)控制系統(tǒng)信息安全工作的組織領(lǐng)導(dǎo)。加強(qiáng)對工業(yè)控制系統(tǒng)信息安全工作的指導(dǎo)和督促檢查。加強(qiáng)對重點(diǎn)領(lǐng)域工業(yè)控制系統(tǒng)信息安全管理工作的指導(dǎo)監(jiān)督，結(jié)合行業(yè)實(shí)際制定完善相關(guān)規(guī)章制度，提出具體要求，并加強(qiáng)督促檢查確保落到實(shí)處。

    如今，工業(yè)信息安全問題已經(jīng)不完全以竊取信息和破壞計(jì)算機(jī)系統(tǒng)本體為目的，轉(zhuǎn)而以破壞工業(yè)控制系統(tǒng)的被控對象為目的，并針對特定工業(yè)生產(chǎn)控制系統(tǒng)進(jìn)行攻擊。制造商必須將安全視為業(yè)務(wù)發(fā)展的需要，而不是一次性投資。同時(shí)，更要加強(qiáng)培養(yǎng)使用者對工業(yè)控制系統(tǒng)的安全意識，杜絕一切信息安全隱患。