工业信息安全已成为的重要组成，是制造强国与网络强国战略实施的基础支撑，其重要性日益凸显。当前，制造强国的大势刮来了两化融合的风潮，在工业制造业奔腾发展的道路上，工业信息安全形势日趋严峻，安全风险持续攀升，安全事件层出不穷，亟需引起高度重视。我国工业信息安全现阶段主要存在管理机制不健全、安全防护不到位、安全技术和产业支撑能力不足、安全主体意识薄弱等诸多问题，加快提升工业信息安全保障能力迫在眉睫。

　　工业信息安全指工业运行过程中的信息安全，涉及工业领域各个环节，包括工业控制系统信息安全（以下简称工控安全）、工业互联网安全、工业大数据安全、工业云安全、工业电子商务安全等。与传统网络安全相比，工业信息安全需适应工业环境下系统和设备的实时性、高可靠性需求以及工业协议众多等行业特征，防护难度更大。

　　当前，新一代信息技术在加速信息化与工业化深度融合（以下简称两化融合）发展的同时，也带来了日趋严峻的工业信息安全问题。

　　时代引领发展的潮流，信息化不断深入生产生活，数字化一次次给世界带来巨变。在信息化发展的浪潮中，工业企业如逆水行舟，不进则退。全球各国各地区工业企业在奔腾的数字化浪潮中只有通过信息化变革，创新绿色供应链，改善企业内部的生存环境，在战略上实现订单驱动型向创新驱动型的转变，才能不断发展壮大 。以我国为例，自 2007 年 10 月起， 党的报告正式将信息化列入“五化”， 提出两化融合概念后，我国的新型工业化转型道路一直在摸索中前进。2017 年，党的十九大提出“推动互联网、大数据、人工智能和实体经济深度融合”，标志着两化融合进入了新阶段。

　　总在十九届中央局第二次集体学习时强调，要“继续做好信息化和工业化深度融合这篇大文章”“要深入实施工业互联网创新发展战略”，这为新时代新阶段两化深度融合创新发展指明了方向。“中国制造2025”“互联网 +”等战略机遇，促进了以新一代信息技术与实体经济融合的发展，基于互联网的新技术、新模式和新业态取得了空前的进步。

　　截至 2019 年 3 月，全国参加两化融合贯标评定企业已达 13 万家，其中 4400 余家企业通过评定，贯标咨询服务机构数量过千家。截至 2019 年 1 月 31 日，全国已有 13 万家企业开展自评估、自诊断、自对标，通过实施两化融合管理标准体系提升了市场竞争力。与此同时，一批又一批先进而出色的企业、基地相继涌现， 如“互联网 + 工业”的山东即墨模式，成功探索出了一条区域产业转型升级之路，实现了质量效益“双提升”。安全是发展的前提，发展是安全的保障，安全和发展势必要同步推进。

　　随着两化融合这条道路不断拓宽，企业发展机遇前所未有，相伴而生的工业信息安全问题也成为焦点，工业信息安全重要性愈加凸显。工业是国民经济主体，是实现发展升级的“国之重器”，是推进供给侧结构性改革的主战场。工业信息化、自动化、网络化、智能化等基础设施是工业的核心组成部分，是工业各行业、企业的神经中枢。工业信息安全的核心任务就是要确保这些工业神经中枢的安全，没有工业信息安全，两化融合的推进则是空中楼阁。工业信息安全事关经济发展、社会稳定和，是网络安全的重要组成，工业信息安全防护已成为推进各国网络强国和制造强国战略实施的重要抓手。

　　随着网络信息技术的迅猛发展和广泛应用，工业互联持续深入趋势愈发明显，病毒、木马等传统网络威胁持续向工业控制系统（以下简称工控系统）蔓延，勒索攻击等新型攻击模式不断涌现，安全事件频发，整体安全形势严峻。

　　自 2010 年“震网”事件爆发以来，全球工业信息安全事件屡屡发生，极大地冲击了当事国的经济、社会乃至。

　　2012 年 4 月，伊朗石油部和国家石油公司内部电脑遭受网络病毒攻击， 部分用户数据遭窃取；

　　2015 年 6 月，波兰航空公司地面操作系统遭遇黑客袭击，致使系统瘫痪长达 5 小时，至少 10 个班次的航班被取消，1400 多名乘客滞留机场；

　　2016 年 2 月，日本关键基础设施遭遇代号“沙尘暴”的黑客攻击活动， 电力、石油、天然气、交通运输等诸多组织机构的网络被攻陷；

　　2017 年 6 月，乌克兰境内发现大规模“Petwrap”勒索病毒感染事件，并迅速在全球范围内扩散，涉及电力、轨道交通、石油、金融、电信等多个领域；

　　同年 10 月，新型勒索软件“Bad Rabbit”袭击东欧诸国，基辅地铁、敖德萨机场等交通系统及政府机构遭网络攻击；

　　2017 年 12 月，火眼公司披露最新一款专门针对工控系统的恶意软件 Triton，中东某能源工厂的安全仪表系统遭攻击，并导致工业生产线 月，三一重工泵车失踪案宣判，犯罪分子通过源代码找到远程监控系统的漏洞，得以解锁设备，间接造成企业约 10 亿元的经济损失；

　　同年 8 月，地区积体电路制造三大厂区出现电脑大规模勒索病毒事件，约造成 17.6亿元的营收损失，股票市值下跌 78 亿元。

　　通过分析美国工业控制系统网络应急响应小组（ICS-CERT）披露的报告可知，自 2010 年始，工控安全漏洞数量逐年增长，中高危漏洞占比居高不下，工控系统相关应用系统和软件的安全性能不足，许可、权限和访问控制以及凭据管理等安全漏洞问题依旧凸显。仅2018 年，国家工业信息安全发展研究中心（以下简称“国家工信安全中心”） 收集研判工业控制、智能设备、物联网等领域的漏洞就高达四百余个，其中高危漏洞占比一半以上，严重威胁装备制造、交通、能源、智能楼宇等重要领域。据 2018 年卡巴斯基及 ICS- CERT 发布报告称，供应商对漏洞修复重视程度不足，工业企业及时更新和安装补丁积极性不高，导致漏洞处置进度迟缓，漏洞修复率只有40% 左右。此外，大量工控系统安全漏洞利用方式、攻击方法可通过互联网等多种公开渠道扩散，极易被黑客等不法分子获取利用，进一步降低了针对工控系统的网络攻击技术门槛。

　　近年来，工业领域遭受大量高级可持续性威胁（APT）、网络钓鱼、分布式拒绝服务（DDoS）等定向攻击，攻击手段花样翻新、技术多变，针对性强。近两年尤为典型：“WannaCry”勒索病毒致使某国际知名汽车企业停产、僵尸络“IoT_reaper”大范围感染物联网设备、专门攻击电力工控系统的恶意软件“Industroyer”浮出水面、台积电遭大规模勒索、全球最大铝生产商 Norsk Hydro 遭 LockerGoga 勒索软件攻击等充分表明，勒索攻击、僵尸网络攻击、定向攻击等新型攻击手段愈发成熟，一旦发生安全事件，能源、交通、通信等重要工业相关领域将遭受重创。据卡巴斯基报告称，制造业领域的工控安全风险最为严重， 其次是建筑、交通、运输及工程等行业。卡巴斯基还曾检测到一次针对冶金、电力、建筑及工程领域的大规模鱼叉式钓鱼活动，攻击范围覆盖全球 50 多个国家的 500 多家工业企业。

　　国家工信安全中心监测发现，全球暴露在互联网上的工控系统及设备数量持续上升，工业信息安全风险点不断增加。据卡巴斯基发布报告称，2018 年上半年全球范围内工控系统遭受网络攻击最严重的三个国家为越南、阿尔及利亚和摩洛哥，遭攻击工控系统数量占本国总量比例分别为 75.1%、71.6% 和 64.8%，中国工控系统遭受攻击严重程度排在第六位，比例达 57.4%，较 2017 年排名有所降低， 但比例有所增长。另据国家工信安全中心监测发现，2017 年以来，全球多个国家的 IP 地址对我国工控设备及系统发起过网络探测与攻击， 对我国工业信息安全造成极大威胁。

　　美国、欧盟、日本、英国等国家和地区高度重视、积极行动，纷纷采取成立机构、实施战略、制定法律标准、投入资金、加强技术研究等诸多举措以加强工业信息安全保障能力。如在成立机构方面：

　　美国拥有数量庞大的网络安全研究机构，爱达荷国家实验室（INL）、桑迪亚国家实验室（SNL）、西北太平洋国家实验室（PNNL）等均是美国网络安全研究的重要力量；

　　英国于 1996 年和 2014 年成立了网络应急响应小组；2016 年 11 月，英国设立国内首个网络安全学院，旨在培养下一代密码破解者；

　　日本控制系统安全中心（CSSC） 专门负责工业信息安全防护研究，包括控制系统高级安全技术、系统安全验证技术、可控安全测试床等方面的研究与开发，截至 2017 年 5月，其会员单位已由成立时的 8 家增加至 31 家。2017 年，日本控制系统安全中心开展一系列的网络安全研讨会，如 2 月 6 日至 10 日举办“控制设备安全开发流程，设计与验证研讨会”， 10 月 13 日举办关于关键基础设施“系统防御技术”网络安全研讨会。

　　2013 年初，美国发布《维护关键信息基础设施安全性和可恢复性》总统令和《加强关键基础设施网络安全》行政令， 就关键信息基础设施安全保障的相关事宜明确了部门职责及工作内容等；

　　同年，欧盟发布《欧盟网络安全战略》《关键基础设施保护计划》等战略规划，明确了对欧盟关键基础设施的网络安全管理内容和计划；

　　2014 年 12 月，欧洲网络与信息安全局发布《ICS/SCADA 专业人员的网络安全技能认证》报告，探讨了如何在工业控制网络中应用现有信息安全技术及手段，明确了工控安全面临的挑战并提出了一系列的发展建议；

　　同年，新加坡发布了《国家网络安全总体规划》，强调了应对国家关键基础设施网络攻击的紧迫性和重要性；

　　2018 年，美军方发布《美军网络司令部愿景：实现并维持网络空间优势》战略文件，提出了美在网络空间新的指导思想和作战方式，勾勒出美网络司令部的未来发展路线图。

　　美国自克林顿政府以来， 出台了大量相关法律法规文件，如第 13010 号行政令、第 63 号总统令、《爱国者法案》《国土安全法》、第 7 号总统令、第 13636号行政命令、第 21 号总统令、《网络安全法》等，2014 年，美国发布《国家网络安全保案》，从法律层面提出要加强关键基础设施信息共享、标准制定、教育培训以及技术队伍建设；

　　2017 年 5 月，美国总统特朗普签署《增强联邦政府网络与关键基础设施网络安全》行政令， 要求采取一系列措施来增强联邦政府及关键基础设施的网络安全，该行政令从联邦政府网络、关键基础设施和国家网络安全三个方面提出增强网络安全的措施。

　　2016 年 7 月，欧盟正式通过《网络和信息系统安全指令》，明确规范了基础服务运营者、数字服务提供者的网络风险管理、网络安全事故应对与通知等义务，以更好地应对和处置电力供应、空中交通管制等关键基础设施遭受的网络攻击。

　　2017 年 7 月，英国渗透测试认证机构 CREST 发布的报告《工业控制系统—技术安全保障意见书》指出，随着工业信息安全形势不断恶化，设立工控安全技术保障标准的需求日趋迫切；

　　各国际标准组织和国家针对工业信息安全测试和性能评估、重点工业行业领域等也积极开展标准制定和完善工作。国际自动化协会（ISA）制定的《工业自动化控制系统（IACS）安全》（ISA/IEC 62443） 系列标准是工控安全领域最为全面的国际通用标准，美国国家标准与技术研究院（NIST）针对工控安全先是发布《工业控制系统安全指南》（NIST SP 800-82）， 对工控安全防护提供指导，又于 2017 年 9 月发布《网络安全框架制造简 介 》（Cybersecurity Framework Manufacturing Profile），为制造环境中开发网络安全框架（CSF） 提供实施细。