2011年，中國工業(yè)和信息化部發(fā)布了《關(guān)于加強工業(yè)控制系統信息安全管理的通知》（以下簡(jiǎn)稱(chēng)《通知》），該《通知》表示，基于2010年發(fā)生的“震網(wǎng)”病毒事件的前車(chē)之鑒，一旦工業(yè)控制系統信息安全出現漏洞，將對工業(yè)生產(chǎn)運行和國家經(jīng)濟安全造成重大隱患?！锻ㄖ分忻鞔_了重點(diǎn)加強核設施、鋼鐵、有色、化工、石油石化、電力、天然氣、先進(jìn)制造、水利樞紐、環(huán)境保護、鐵路、城市軌道交通、民航、城市供水供氣供熱以及其他與國計民生緊密相關(guān)領(lǐng)域的工業(yè)控制系統信息安全管理，落實(shí)安全管理要求。由此可見(jiàn)，中國的工業(yè)控制系統信息安全正面臨著(zhù)嚴峻的考驗。

    工業(yè)安全問(wèn)題主要分為兩部分詮釋?zhuān)汗δ馨踩c信息安全。在“震網(wǎng)”事件爆發(fā)前，工業(yè)領(lǐng)域的安全問(wèn)題還主要集中在功能安全上，而安全產(chǎn)品也多指安全開(kāi)關(guān)、安全光柵等產(chǎn)品。近年來(lái)，隨著(zhù)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、云計算和大數據等新技術(shù)的應運而生，信息安全的漏洞引起了極大的關(guān)注。

    人們初初認識信息安全一詞無(wú)疑是在IT界。當IT技術(shù)方案逐漸應用到工業(yè)控制系統中，用于提高企業(yè)業(yè)務(wù)系統之間的連接和遠程訪(fǎng)問(wèn)能力時(shí)，控制系統網(wǎng)絡(luò )也逐漸向更開(kāi)放的工業(yè)以太網(wǎng)結構發(fā)展。開(kāi)放性越來(lái)越強在給工業(yè)控制系統帶來(lái)更好、更快發(fā)展的同時(shí)，IT技術(shù)的負面困擾也引入了工業(yè)控制系統，危及信息安全。然而，與傳統的IT信息安全不同，工業(yè)控制系統的安全事件會(huì )導致輕則系統性能下降、關(guān)鍵數據喪失，重則系統失控、環(huán)境災難、人員傷亡、嚴重經(jīng)濟損失，甚至危害公眾生活和國家安全。

    事實(shí)上，所謂信息安全就是防止非法的攻擊和病毒的傳播，保證計算機系統和通信系統的正常運作，保證信息不被非法訪(fǎng)問(wèn)和篡改。隨著(zhù)國家大力推進(jìn)工業(yè)化與信息化的深度融合，工業(yè)控制系統越來(lái)越多地采用通用協(xié)議、通用硬件和通用軟件，以各種方式與辦公網(wǎng)絡(luò )、互聯(lián)網(wǎng)等公共網(wǎng)絡(luò )連接，病毒、木馬等威脅正在向工業(yè)控制系統擴散。面對這樣的挑戰，我們首先要做的是進(jìn)行網(wǎng)絡(luò )防護，在自動(dòng)化網(wǎng)絡(luò )與辦公網(wǎng)絡(luò )之間使用防火墻進(jìn)行隔離，或是利用一些三層交換機的安全策略進(jìn)行網(wǎng)絡(luò )隔離和保護。其次，要在監控計算機上安裝必要的殺毒軟件防止一些惡意軟件和病毒木馬的入侵。

    在落實(shí)工業(yè)控制系統信息安全方面，采用工業(yè)網(wǎng)絡(luò )縱深防御是比較普遍且行之有效的方法。將“縱深防御”引入過(guò)程控制系統的信息安全解決方案，在外部邊界的威脅和工控網(wǎng)絡(luò )之間建立盡可能多層次的保護。從風(fēng)險評估，到安全規劃，再到按照縱深防御理念構建安全防護體系，包括網(wǎng)絡(luò )分區與隔離、訪(fǎng)問(wèn)控制、系統加固、補丁管理等，最后完成持續改進(jìn)的安全管理，通過(guò)四個(gè)階段建立起工業(yè)網(wǎng)絡(luò )縱深防御的體系框架。

    當然，解決工業(yè)控制系統信息安全問(wèn)題，三分靠技術(shù)，七分靠管理，切實(shí)做好工業(yè)控制系統的安全培訓工作與培養安全意識極為重要?！锻ㄖ芬蔡岢?，要建立工業(yè)控制系統安全測評檢查和漏洞發(fā)布制度。工業(yè)和信息化部要適時(shí)對重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全進(jìn)行抽查。同時(shí)，要進(jìn)一步加強工業(yè)控制系統信息安全工作的組織領(lǐng)導。加強對工業(yè)控制系統信息安全工作的指導和督促檢查。加強對重點(diǎn)領(lǐng)域工業(yè)控制系統信息安全管理工作的指導監督，結合行業(yè)實(shí)際制定完善相關(guān)規章制度，提出具體要求，并加強督促檢查確保落到實(shí)處。

    如今，工業(yè)信息安全問(wèn)題已經(jīng)不完全以竊取信息和破壞計算機系統本體為目的，轉而以破壞工業(yè)控制系統的被控對象為目的，并針對特定工業(yè)生產(chǎn)控制系統進(jìn)行攻擊。制造商必須將安全視為業(yè)務(wù)發(fā)展的需要，而不是一次性投資。同時(shí)，更要加強培養使用者對工業(yè)控制系統的安全意識，杜絕一切信息安全隱患。