本文依據工控安全產業生態模型相關的政府主管部門、產業聯盟、科研院所及國內外友商的研究及產品服務發展動態情況，主要討論國內工控安全領域的總體發展態勢。

國外發展動態概述

自從2010年震網事件之后，世界各國對工控系統的安全問題的關注被提升到一個新的高度。世界各國都在政策、標準、技術、方案等方面展開了積極應對。最近工業控制系統安全更成為備受工業和信息安全領域研究機構關注的研究熱點。

作為信息產業發展的領導者，美國很早就十分重視工控系統的安全。2003年將其視為國家安全優先事項;2008年則將其列入國家需重點保護的關鍵基礎設施范疇。2009年頒布《保護工業控制系統戰略》，涵蓋能源、電力、交通等14個行業工控系統的安全。同年，在CERT組織下面成立工業控制系統網絡應急相應小組(ICS-CERT)，專注于工業控制系統相關的安全事故監控、分析執行漏洞和惡意代碼、為事故響應和取證分析提供現場支持;通過信息產品、安全通告以及漏洞及威脅信息的共享提供工業控制系統安全事件監控及行業安全態勢分析，并以季度報告的方式公開發布[ICSCERT1][ICSCERT2]。而且美國國土安全部(TheU.S.DepartmentofHomelandSecurty，DHS)啟動的控制系統安全計劃(ControlSystemSecurityProgram，CSSP)則依托工業控制系統模擬仿真平臺，綜合采用現場檢查測評與實驗室測評相結合的測評方法[DHS2011]，來實施針對工業控制系統產品的脆弱性分析與驗證工作。而美國國家標準與技術研究院、能源局則分別發布了《工業控制系統安全指南》(SP800-82。2013年推出最新修訂版本)[NIST]、《改進SCADA網絡安全的21項措施》等相關的工控系統的安全建設標準指南或最佳實踐文檔。同時其國內的傳統信息安全廠商賽門鐵克、MCAFEE、思科以及傳統工控廠商羅克韋爾、通用電氣以及一些新興的專業工控安全廠商在工控系統的安全防護及產品服務提供方面也都展開了深入研究、實踐及產業化工作，并總體上處于領先的地位。

在歐洲則以德國西門子、法國施耐德電氣為代表的工業控制系統提供商為主，為用戶提供相應的安全產品、服務及相應的解決方案。例如，德國西門子研究院設有工控安全實驗室，可提供安全咨詢服務、培訓、漏洞及補丁的發布。產品方面則有工控防火墻及相應的工控安全解決方案。而在國內西門子的工作則主要側重西門子工控系統的漏洞修補，應從屬于其工控系統業務。同樣施耐德電氣公司在國內也多是配合客戶的安全整改工作，修補其產品漏洞并結合其工控安全防火墻為用戶提供必要的工控安全解決方案。但是在工控系統領域的許多行業，來自歐洲的西門子、施耐德電氣多具有絕對的技術與市場優勢，而工控系統的信息化、智能化以及所帶來安全問題的解決離不開工控廠商的支持，自然西門子等企業的市場和技術優勢也將奠定未來很長一段時間內其在工控安全領域的領先地位。

在專業的工控安全廠商方面，加拿大Tofino(多芬諾)公司曾以其業內著名的工控系統防火墻成為業內領先的工控系統安全的專業廠商，其產品在石化等多個行業應用廣泛。科諾康公司(Codenomicon)則以其用于漏洞發現的fuzzing測試工具而在工控系統安全領域擁有重要的地位。此外，還有一些開源組織提供相應的工控安全工具，例如Nessue，它分為專業版(收費)和免費評估測試版，其專業版可利用相應的工控系統安全插件，對SCADA系統或PLC的控制設備的脆弱性進行檢測評估。在工控安全的國際標準研究方面，除了美國NIST的NIST800-82之外，IEC62443標準也是工控安全研究者最為關注的工控安全標準，需要與NIST800-82的內容相對照，并結合企業自身的業務特點進行綜合考慮的基礎上，制定工控企業實用的工控安全防護方案。

國內政策法規動態

自從工信部451號文發布之后，國內各行各業都對工控系統安全的認識達到了一個新的高度，電力、石化、制造、煙草等多個行業，陸續制定了相應的指導性文件，來指導相應行業的安全檢查與整改活動。國家標準相關的組織TC260、TC124等標準組也已經啟動了相應標準的研究制定工作。具體情況如下：

1.政策法規

●工信部關于工控安全的451號文

●電監會的《電力二次系統安全防護規定》

●電監會2013年50號文，《電力工控信息安全專項監管工作方案》

●國家煙草局《煙草工業企業生產區與管理區網絡互聯安全規范》等

2.標準草案

這兩年在信安標委的指導下，正在草擬的工控安全相關標準主要包括：

●《信息安全技術工業控制系統安全管理基本要求》

●《安全可控信息系統(電力系統)安全指標體系》

●《信息安全技術工業控制系統信息安全檢查指南》

●《信息安全技術工業控制系統安全防護技術要求和測試評價方法》

●《信息安全技術工業控制系統信息安全分級規范》

●《信息安全技術工業控制系統測控終端安全要求》

另外，其他主管部門牽頭制定的標準還有：

●《工業控制系統信息安全等級保護設計技術指南》

國內產業聯盟動態

2014年4月17日，“工業控制系統信息安全產業聯盟”由中國電子技術標準化研究院信息安全研究中心、全國工業過程測量控制和自動化標準化技術委員會、公安部第三研究所、工信部電子科學技術情報研究所、中國軟件評測中心、中國儀器儀表行業協會等涉及國家主管部門、工控系統廠商、信息安全廠商以及行業用戶的24家單位共同發起，以“搭建政府、用戶、企業、科研院所、大專院校之間的交流平臺，發揮紐帶與橋梁作用，共同推進我國工業控制系統信息安全產業發展，保障關鍵基礎設施安全穩定運行，支撐中國工業健康可持續發展”為宗旨，致力于為我國工業控制系統信息安全在體系建設、等級保護、風險評估、標準制定、產品開發和評測等方面迅速有效地取得積極成效而搭建一個交流平臺。

更多資訊請關注運動控制頻道