我国工业控制信息安全研究基础还非常的薄弱

（文章来源：OFweek）

工业控制系统出现的时间要早于互联网，传统的工业控制系统采用专用的硬件、软件和通信协议，安全设计规范要求以抗物理攻击为主，基本没有或很少考虑互联互通所产生的信息安全问题。随着互联网技术的出现与商业运用，低成本的基于IP协议的设备开始逐步取代以往的专用解决方案，为提高工业控制系统与各种业务系统的互联和远程访问的能力，工业控制系统也开始采用信息系统解决方案，导致工业控制系统信息安全脆弱性和隐患增大。

从2002年起，美国就开始重视工业控制系统信息安全问题，由国土安全部和能源部牵头，以石油化工、电力等能源行业为重点，在工业控制系统安全领域进行了大量的工作，已形成相对完整的工业控制系统信息安全管理体制和技术体系。美国相继提出了《工业控制系统安全指南》、《联邦信息系统和组织的安全控制推荐》、《提高SCADA系统网络安全21步》、《控制系统安全一览表：标准推荐》、《加强SCADA系统及工业控制系统的安全》等一系列国家指南；推出了《北美大电力系统可靠性规范》、《美国化工设施反恐标准》、《SCADA通信的加密保护》、《管道SCADA安全》和《石油工业安全指南》等行业标准规范。

美国国土安全部联合国防、能源、交通、外交等14个国家直属部委，2009年推出了《国家关键基础设施保护计划》最新的修订版，提出了一个针对国家关键基础设施的风险管理框架；2010年，国土安全部和能源部联合发布的《能源领域关键基础设施保护计划》，制定了能源领域工业控制系统安全保障路线图，提出在10年内完成对工业控制系统设计、安装、操作和维护等环节的信息安全防护工作。

在技术研究方面，美国国土安全部制定了专门的工业控制系统安全计划，形成了由国家职能部门协调管理、国家级专业队伍、实验室和科研机构提供技术支撑、用户及厂商共同参与的技术研究体系，并依托模拟仿真平台，综合现场检查测评与实验室测评建立了工业控制系统信息安全测评体系。2005年，美国能源部建设并完成了关键基础设施测试靶场，制定了国家SCADA测试床计划。美国国土安全部下属的工业控制系统应急响应小组(ICS-CERT)同联邦计算机安全事件应急响应小组(US-CERT)协作，以工业控制系统安全为关注点，开展了大量的安全测评技术工作。

俄罗斯、英国、德国、法国、日本、韩国等国家均将关键基础设施中的工业控制系统作为网络安全战略重点，但这些国家尚未形成比较成熟的指南、准则和法规，且在相关技术支撑方面还比较匮乏。伊朗核电站事件对欧盟的工业控制系统信息安全敲响了警钟，2011年底，欧盟专门出版了一份名为《保护工业控制系统》的专刊，对工业控制系统信息安全进行了全面、系统的介绍。

2011年10月，我国工信部发布了《关于加强工业控制系统信息安全管理的通知》，标志我国在工业控制系统信息安全领域掀开了新的篇章，但是我国工业控制系统信息安全技术研究基础目前还十分薄弱，工业控制系统信息安全技术研究尚未起步。