近年來，我國工控安全領域的政策法規(guī)建設在不斷完善，合規(guī)監(jiān)管已經成為工控安全市場發(fā)展的主要推動因素之一。而工控安全領域的合規(guī)需求包括國家法律、行業(yè)規(guī)范要求和行業(yè)標準要求等。工業(yè)生產企業(yè)應該嚴格按照相關的安全合規(guī)要求，開展企業(yè)的工控安全規(guī)劃與建設。

　　工控安全法規(guī)政策梳理

　　我國工控安全領域的法規(guī)政策主要包括國家、產業(yè)、行業(yè)三個層面：

　　國家層面

　　從國家層面來看，工控安全法規(guī)多是通過具體法律、條例中的規(guī)章，以管理維度要求工業(yè)生產企業(yè)在信息化過程中需要注意的事項。

　　1、網絡安全法

　　2017年，我國頒布《中華人民共和國網絡安全法》，標志著我國網絡安全建設有法可依?！毒W絡安全法》中，關鍵信息基礎設施作為獨立一節(jié)，體現(xiàn)了我國對關鍵信息基礎設施的重視。而工業(yè)網絡、工業(yè)系統(tǒng)承擔著國家安全、國計民生、公共利益的職責，因此被認為是關鍵信息基礎設施的一部分。

　　2、數據安全法與個人信息保護

　　《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》，對關鍵信息基礎設施運行過程中所產生的業(yè)務數據、個人隱私數據、運行數據等做出細化的防護規(guī)定。

　　3、網絡安全等級保護制度2.0

　　2019年，網絡安全等級保護制度2.0標準正式發(fā)布并實施。在《GBT22239-2019信息安全技術網絡安全等級保護基本要求》中，除安全通用要求外，還提出了工業(yè)控制系統(tǒng)安全擴展要求，通過分析OT網絡與IT網絡的區(qū)別，進行了針對安全防護要求。

　　等保2.0的安全擴展要求主要針對于生產管理層、過程監(jiān)控層、現(xiàn)場控制層和現(xiàn)場設備層。其中生產管理層和過程監(jiān)控層注重對網絡通訊和網絡隔離進行要求，現(xiàn)場控制層和現(xiàn)場設備層作為OT網絡的主體，包含了從設備、到資產再到網絡通訊的全方位安全要求。

　　4、關鍵信息基礎設施保護條例

　　2021年9月1日，《關鍵信息基礎設施安全保護條例》（以下簡稱“條例”）實施，定義了從國家網信部門統(tǒng)籌，公安部監(jiān)督，各級人民政府、各行業(yè)主管單位配合的監(jiān)管體系。

　　《條例》細化了《網絡安全法》中對關鍵信息基礎設施的要求。《條例》更注重的是從架構層面的建設問題，要求工控企業(yè)具備的基本能力，并明確了如果沒有達到要求時相應的處罰。這些要求及能力如何具體落地，工業(yè)企業(yè)還需根據等保2.0相關標準進行執(zhí)行。

　　產業(yè)層面

　　從產業(yè)層面看，產業(yè)主管部門基于國家法律規(guī)定，將工控安全要求細化成可落地建設的指南，對在安全技術應用、實現(xiàn)防護要求的具體方法進行指導，并依據指導意見建立考核點，以檢查落地的成效。

　　2011年10月，工信部發(fā)布關于工業(yè)控制安全的《關于加強工業(yè)控制系統(tǒng)信息安全管理的通知》（以下簡稱“《通知》”），從四個方面提出工控安全建設要求：加強對工業(yè)安全重要性的認識；落實工控安全中的六項管理要求；建立健全工控安全監(jiān)管機制；強化工控系統(tǒng)安全組織領導工作。

　　2016年10月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護指南》，從十一個方面要求工控企業(yè)做好安全防護工作?！豆I(yè)控制系統(tǒng)信息安全防護指南》給出了第一個細化的工控安全落實管理、技術架構?！吨改稀饭彩粭l，對工業(yè)系統(tǒng)的安全建設從管理、技術、應急處置、設備資產管理等多方面進行了建議。

　　2017年，工信部辦公廳發(fā)布了“工業(yè)和信息化部關于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護能力評估工作管理辦法》的通知“，旨在檢驗《工業(yè)控制系統(tǒng)信息安全防護指南》的實踐效果。在通知中，同時發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》，工信部、各行業(yè)單位將依照《評估辦法》對部分工控安全企業(yè)進行檢查。

　　2020年2月，工信部印發(fā)《工業(yè)數據分類分級指南（試行）》，要求工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺企業(yè)等開展工業(yè)數據分類分級工作。企業(yè)的研發(fā)數據、生產數據、運維數據、管理數據、外部數據需要進行分類處理，并依據一旦遭到篡改、破壞、泄露或分發(fā)利用后可能產生的潛在影響進行分級處理。

　　行業(yè)層面

　　從行業(yè)層面看，主要包括能源、電力、交通運輸、生產制造等，由于工業(yè)領域各行業(yè)安全現(xiàn)狀有所不同，各工業(yè)系統(tǒng)的安全需求具備差異化，因此各行業(yè)主管部門均在根據自身情況，推進行業(yè)內的工業(yè)安全建設指導，并形成行業(yè)標準。

　　工控安全防護體系建設

　　基于工控安全的監(jiān)管合規(guī)要求，工業(yè)企業(yè)應根據自身生產設備及系統(tǒng)的實際情況，構建一套從工業(yè)設備管理、到網絡安全防護再到綜合安全管理的三層防護體系：

　　1、 在工業(yè)設備管理層面，需要對對工業(yè)體系內部的物理設備進行管理，保證其運行的安全問題。針對工業(yè)系統(tǒng)及工業(yè)設備，企業(yè)需通過驗證供應商資質、加密合同等方式，構建安全的采購供應鏈路。對于已部署的工業(yè)信息資產，做好設備的梳理工作，明確工控網絡、資產、設備等拓撲結構，確保接入到工業(yè)系統(tǒng)的設備是可控的。同時還需要從物理安全層面、容災層面進行考量。

　　2、 網絡安全防護層則是通過部署安全產品，依照“一個中心三重防護”的安全要求進行。安全防護是進行工控安全體系建設的核心。安全防護能力建設可以分為針對計算環(huán)境的安全建設、對邊界的安全建設以及對網絡通訊的安全建設。需要注意的是，工控網絡的安全防護需要做好分層防護，每一層次要根據企業(yè)自身的特點做好物理防護、終端防護、網絡防護等。

　　隨著安全設備數量的增加以及網絡拓撲結構復雜度增加，統(tǒng)一安全管理平臺將成為必備的安全產品。而由于工業(yè)企業(yè)安全運營能力的不足，企業(yè)需要考慮如何用好這些設備，可通過采購專業(yè)的安全服務，例如安全托管服務、安全測試服務、應急響應服務等，快速提升安全防護能力。

　　3、 安全管理是指建立相應的組織架構、管理體系，從制度維度做好工控安全防護。工業(yè)企業(yè)需構建專門的工控安全組織管理部門，明確組織架構，負責對企業(yè)內部網絡安全的規(guī)劃、建設、實施。建立相應的安全制度，以做到工業(yè)企業(yè)內部的人員管理、配置管理及補丁管理，做到記錄和審計。構建一套應急響應流程，有效應對安全生產、網絡安全、數據安全帶來的風險。形成報送機制，有成熟的報送流程、報送格式、報送接口等。

　　結    語

　　工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設不能照搬互聯(lián)網防護。當前，我國工控安全還處于起步階段，工業(yè)領域整體防護水平有待提高，專業(yè)的工業(yè)安全人才缺乏。近年來，國家頒布的一系列網絡安全法律法規(guī)一方面對工業(yè)安全提出了要求，另一方面也對工業(yè)安全的建設提供了指導。工業(yè)企業(yè)應根據自身的情況，由簡入繁，以網絡安全提升生產安全，完成兩化融合的信息化改造，切實提升企業(yè)的生產能力。