近年來，我國工控安全領域的政策法規建設在不斷完善，合規監管已經成為工控安全市場發展的主要推動因素之一。而工控安全領域的合規需求包括國家法律、行業規范要求和行業標準要求等。工業生產企業應該嚴格按照相關的安全合規要求，開展企業的工控安全規劃與建設。

工控安全法規政策梳理

我國工控安全領域的法規政策主要包括國家、產業、行業三個層面：

國家層面

從國家層面來看，工控安全法規多是通過具體法律、條例中的規章，以管理維度要求工業生產企業在信息化過程中需要注意的事項。

1、網絡安全法

2017年，我國頒布《中華人民共和國網絡安全法》，標志著我國網絡安全建設有法可依。《網絡安全法》中，關鍵信息基礎設施作為獨立一節，體現了我國對關鍵信息基礎設施的重視。而工業網絡、工業系統承擔著國家安全、國計民生、公共利益的職責，因此被認為是關鍵信息基礎設施的一部分。

2、數據安全法與個人信息保護

《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》，對關鍵信息基礎設施運行過程中所產生的業務數據、個人隱私數據、運行數據等做出細化的防護規定。

3、網絡安全等級保護制度2.0

2019年，網絡安全等級保護制度2.0標準正式發布并實施。在《GBT22239-2019信息安全技術網絡安全等級保護基本要求》中，除安全通用要求外，還提出了工業控制系統安全擴展要求，通過分析OT網絡與IT網絡的區別，進行了針對安全防護要求。

等保2.0的安全擴展要求主要針對于生產管理層、過程監控層、現場控制層和現場設備層。其中生產管理層和過程監控層注重對網絡通訊和網絡隔離進行要求，現場控制層和現場設備層作為OT網絡的主體，包含了從設備、到資產再到網絡通訊的全方位安全要求。

4、關鍵信息基礎設施保護條例

2021年9月1日，《關鍵信息基礎設施安全保護條例》(以下簡稱“條例”)實施，定義了從國家網信部門統籌，公安部監督，各級人民政府、各行業主管單位配合的監管體系。

《條例》細化了《網絡安全法》中對關鍵信息基礎設施的要求。《條例》更注重的是從架構層面的建設問題，要求工控企業具備的基本能力，并明確了如果沒有達到要求時相應的處罰。這些要求及能力如何具體落地，工業企業還需根據等保2.0相關標準進行執行。

產業層面

從產業層面看，產業主管部門基于國家法律規定，將工控安全要求細化成可落地建設的指南，對在安全技術應用、實現防護要求的具體方法進行指導，并依據指導意見建立考核點，以檢查落地的成效。

2011年10月，工信部發布關于工業控制安全的《關于加強工業控制系統信息安全管理的通知》(以下簡稱“《通知》”)，從四個方面提出工控安全建設要求：加強對工業安全重要性的認識;落實工控安全中的六項管理要求;建立健全工控安全監管機制;強化工控系統安全組織領導工作。

2016年10月，工信部印發《工業控制系統信息安全防護指南》，從十一個方面要求工控企業做好安全防護工作。《工業控制系統信息安全防護指南》給出了第一個細化的工控安全落實管理、技術架構。《指南》共十一條，對工業系統的安全建設從管理、技術、應急處置、設備資產管理等多方面進行了建議。

2017年，工信部辦公廳發布了“工業和信息化部關于印發《工業控制系統信息安全防護能力評估工作管理辦法》的通知“，旨在檢驗《工業控制系統信息安全防護指南》的實踐效果。在通知中，同時發布了《工業控制系統信息安全防護能力評估方法》，工信部、各行業單位將依照《評估辦法》對部分工控安全企業進行檢查。

2020年2月，工信部印發《工業數據分類分級指南(試行)》，要求工業和信息化主管部門、工業企業、平臺企業等開展工業數據分類分級工作。企業的研發數據、生產數據、運維數據、管理數據、外部數據需要進行分類處理，并依據一旦遭到篡改、破壞、泄露或分發利用后可能產生的潛在影響進行分級處理。

行業層面

從行業層面看，主要包括能源、電力、交通運輸、生產制造等，由于工業領域各行業安全現狀有所不同，各工業系統的安全需求具備差異化，因此各行業主管部門均在根據自身情況，推進行業內的工業安全建設指導，并形成行業標準。

工控安全防護體系建設

基于工控安全的監管合規要求，工業企業應根據自身生產設備及系統的實際情況，構建一套從工業設備管理、到網絡安全防護再到綜合安全管理的三層防護體系：

1、 在工業設備管理層面，需要對對工業體系內部的物理設備進行管理，保證其運行的安全問題。針對工業系統及工業設備，企業需通過驗證供應商資質、加密合同等方式，構建安全的采購供應鏈路。對于已部署的工業信息資產，做好設備的梳理工作，明確工控網絡、資產、設備等拓撲結構，確保接入到工業系統的設備是可控的。同時還需要從物理安全層面、容災層面進行考量。

2、 網絡安全防護層則是通過部署安全產品，依照“一個中心三重防護”的安全要求進行。安全防護是進行工控安全體系建設的核心。安全防護能力建設可以分為針對計算環境的安全建設、對邊界的安全建設以及對網絡通訊的安全建設。需要注意的是，工控網絡的安全防護需要做好分層防護，每一層次要根據企業自身的特點做好物理防護、終端防護、網絡防護等。

隨著安全設備數量的增加以及網絡拓撲結構復雜度增加，統一安全管理平臺將成為必備的安全產品。而由于工業企業安全運營能力的不足，企業需要考慮如何用好這些設備，可通過采購專業的安全服務，例如安全托管服務、安全測試服務、應急響應服務等，快速提升安全防護能力。

3、 安全管理是指建立相應的組織架構、管理體系，從制度維度做好工控安全防護。工業企業需構建專門的工控安全組織管理部門，明確組織架構，負責對企業內部網絡安全的規劃、建設、實施。建立相應的安全制度，以做到工業企業內部的人員管理、配置管理及補丁管理，做到記錄和審計。構建一套應急響應流程，有效應對安全生產、網絡安全、數據安全帶來的風險。形成報送機制，有成熟的報送流程、報送格式、報送接口等。

結 語

工業環境的特殊性造成了工業企業的安全建設不能照搬互聯網防護。當前，我國工控安全還處于起步階段，工業領域整體防護水平有待提高，專業的工業安全人才缺乏。近年來，國家頒布的一系列網絡安全法律法規一方面對工業安全提出了要求，另一方面也對工業安全的建設提供了指導。工業企業應根據自身的情況，由簡入繁，以網絡安全提升生產安全，完成兩化融合的信息化改造，切實提升企業的生產能力。