近年來(lái)，我國(guó)工控安全領(lǐng)域的政策法規(guī)建設(shè)在不斷完善，合規(guī)監(jiān)管已經(jīng)成為工控安全市場(chǎng)發(fā)展的主要推動(dòng)因素之一。而工控安全領(lǐng)域的合規(guī)需求包括國(guó)家法律、行業(yè)規(guī)范要求和行業(yè)標(biāo)準(zhǔn)要求等。工業(yè)生產(chǎn)企業(yè)應(yīng)該嚴(yán)格按照相關(guān)的安全合規(guī)要求，開展企業(yè)的工控安全規(guī)劃與建設(shè)。

　　工控安全法規(guī)政策梳理

　　我國(guó)工控安全領(lǐng)域的法規(guī)政策主要包括國(guó)家、產(chǎn)業(yè)、行業(yè)三個(gè)層面：

　　國(guó)家層面

　　從國(guó)家層面來(lái)看，工控安全法規(guī)多是通過(guò)具體法律、條例中的規(guī)章，以管理維度要求工業(yè)生產(chǎn)企業(yè)在信息化過(guò)程中需要注意的事項(xiàng)。

　　1、網(wǎng)絡(luò)安全法

　　2017年，我國(guó)頒布《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，標(biāo)志著我國(guó)網(wǎng)絡(luò)安全建設(shè)有法可依。《網(wǎng)絡(luò)安全法》中，關(guān)鍵信息基礎(chǔ)設(shè)施作為獨(dú)立一節(jié)，體現(xiàn)了我國(guó)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重視。而工業(yè)網(wǎng)絡(luò)、工業(yè)系統(tǒng)承擔(dān)著國(guó)家安全、國(guó)計(jì)民生、公共利益的職責(zé)，因此被認(rèn)為是關(guān)鍵信息基礎(chǔ)設(shè)施的一部分。

　　2、數(shù)據(jù)安全法與個(gè)人信息保護(hù)

　　《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行過(guò)程中所產(chǎn)生的業(yè)務(wù)數(shù)據(jù)、個(gè)人隱私數(shù)據(jù)、運(yùn)行數(shù)據(jù)等做出細(xì)化的防護(hù)規(guī)定。

　　3、網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0

　　2019年，網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)正式發(fā)布并實(shí)施。在《GBT22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》中，除安全通用要求外，還提出了工業(yè)控制系統(tǒng)安全擴(kuò)展要求，通過(guò)分析OT網(wǎng)絡(luò)與IT網(wǎng)絡(luò)的區(qū)別，進(jìn)行了針對(duì)安全防護(hù)要求。

　　等保2.0的安全擴(kuò)展要求主要針對(duì)于生產(chǎn)管理層、過(guò)程監(jiān)控層、現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層。其中生產(chǎn)管理層和過(guò)程監(jiān)控層注重對(duì)網(wǎng)絡(luò)通訊和網(wǎng)絡(luò)隔離進(jìn)行要求，現(xiàn)場(chǎng)控制層和現(xiàn)場(chǎng)設(shè)備層作為OT網(wǎng)絡(luò)的主體，包含了從設(shè)備、到資產(chǎn)再到網(wǎng)絡(luò)通訊的全方位安全要求。

　　4、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例

　　2021年9月1日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱“條例”）實(shí)施，定義了從國(guó)家網(wǎng)信部門統(tǒng)籌，公安部監(jiān)督，各級(jí)人民政府、各行業(yè)主管單位配合的監(jiān)管體系。

　　《條例》細(xì)化了《網(wǎng)絡(luò)安全法》中對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的要求?！稐l例》更注重的是從架構(gòu)層面的建設(shè)問(wèn)題，要求工控企業(yè)具備的基本能力，并明確了如果沒(méi)有達(dá)到要求時(shí)相應(yīng)的處罰。這些要求及能力如何具體落地，工業(yè)企業(yè)還需根據(jù)等保2.0相關(guān)標(biāo)準(zhǔn)進(jìn)行執(zhí)行。

　　產(chǎn)業(yè)層面

　　從產(chǎn)業(yè)層面看，產(chǎn)業(yè)主管部門基于國(guó)家法律規(guī)定，將工控安全要求細(xì)化成可落地建設(shè)的指南，對(duì)在安全技術(shù)應(yīng)用、實(shí)現(xiàn)防護(hù)要求的具體方法進(jìn)行指導(dǎo)，并依據(jù)指導(dǎo)意見(jiàn)建立考核點(diǎn)，以檢查落地的成效。

　　2011年10月，工信部發(fā)布關(guān)于工業(yè)控制安全的《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》（以下簡(jiǎn)稱“《通知》”），從四個(gè)方面提出工控安全建設(shè)要求：加強(qiáng)對(duì)工業(yè)安全重要性的認(rèn)識(shí)；落實(shí)工控安全中的六項(xiàng)管理要求；建立健全工控安全監(jiān)管機(jī)制；強(qiáng)化工控系統(tǒng)安全組織領(lǐng)導(dǎo)工作。

　　2016年10月，工信部印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》，從十一個(gè)方面要求工控企業(yè)做好安全防護(hù)工作?！豆I(yè)控制系統(tǒng)信息安全防護(hù)指南》給出了第一個(gè)細(xì)化的工控安全落實(shí)管理、技術(shù)架構(gòu)?！吨改稀饭彩粭l，對(duì)工業(yè)系統(tǒng)的安全建設(shè)從管理、技術(shù)、應(yīng)急處置、設(shè)備資產(chǎn)管理等多方面進(jìn)行了建議。

　　2017年，工信部辦公廳發(fā)布了“工業(yè)和信息化部關(guān)于印發(fā)《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估工作管理辦法》的通知“，旨在檢驗(yàn)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的實(shí)踐效果。在通知中，同時(shí)發(fā)布了《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評(píng)估方法》，工信部、各行業(yè)單位將依照《評(píng)估辦法》對(duì)部分工控安全企業(yè)進(jìn)行檢查。

　　2020年2月，工信部印發(fā)《工業(yè)數(shù)據(jù)分類分級(jí)指南（試行）》，要求工業(yè)和信息化主管部門、工業(yè)企業(yè)、平臺(tái)企業(yè)等開展工業(yè)數(shù)據(jù)分類分級(jí)工作。企業(yè)的研發(fā)數(shù)據(jù)、生產(chǎn)數(shù)據(jù)、運(yùn)維數(shù)據(jù)、管理數(shù)據(jù)、外部數(shù)據(jù)需要進(jìn)行分類處理，并依據(jù)一旦遭到篡改、破壞、泄露或分發(fā)利用后可能產(chǎn)生的潛在影響進(jìn)行分級(jí)處理。

　　行業(yè)層面

　　從行業(yè)層面看，主要包括能源、電力、交通運(yùn)輸、生產(chǎn)制造等，由于工業(yè)領(lǐng)域各行業(yè)安全現(xiàn)狀有所不同，各工業(yè)系統(tǒng)的安全需求具備差異化，因此各行業(yè)主管部門均在根據(jù)自身情況，推進(jìn)行業(yè)內(nèi)的工業(yè)安全建設(shè)指導(dǎo)，并形成行業(yè)標(biāo)準(zhǔn)。

　　工控安全防護(hù)體系建設(shè)

　　基于工控安全的監(jiān)管合規(guī)要求，工業(yè)企業(yè)應(yīng)根據(jù)自身生產(chǎn)設(shè)備及系統(tǒng)的實(shí)際情況，構(gòu)建一套從工業(yè)設(shè)備管理、到網(wǎng)絡(luò)安全防護(hù)再到綜合安全管理的三層防護(hù)體系：

　　1、 在工業(yè)設(shè)備管理層面，需要對(duì)對(duì)工業(yè)體系內(nèi)部的物理設(shè)備進(jìn)行管理，保證其運(yùn)行的安全問(wèn)題。針對(duì)工業(yè)系統(tǒng)及工業(yè)設(shè)備，企業(yè)需通過(guò)驗(yàn)證供應(yīng)商資質(zhì)、加密合同等方式，構(gòu)建安全的采購(gòu)供應(yīng)鏈路。對(duì)于已部署的工業(yè)信息資產(chǎn)，做好設(shè)備的梳理工作，明確工控網(wǎng)絡(luò)、資產(chǎn)、設(shè)備等拓?fù)浣Y(jié)構(gòu)，確保接入到工業(yè)系統(tǒng)的設(shè)備是可控的。同時(shí)還需要從物理安全層面、容災(zāi)層面進(jìn)行考量。

　　2、 網(wǎng)絡(luò)安全防護(hù)層則是通過(guò)部署安全產(chǎn)品，依照“一個(gè)中心三重防護(hù)”的安全要求進(jìn)行。安全防護(hù)是進(jìn)行工控安全體系建設(shè)的核心。安全防護(hù)能力建設(shè)可以分為針對(duì)計(jì)算環(huán)境的安全建設(shè)、對(duì)邊界的安全建設(shè)以及對(duì)網(wǎng)絡(luò)通訊的安全建設(shè)。需要注意的是，工控網(wǎng)絡(luò)的安全防護(hù)需要做好分層防護(hù)，每一層次要根據(jù)企業(yè)自身的特點(diǎn)做好物理防護(hù)、終端防護(hù)、網(wǎng)絡(luò)防護(hù)等。

　　隨著安全設(shè)備數(shù)量的增加以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)復(fù)雜度增加，統(tǒng)一安全管理平臺(tái)將成為必備的安全產(chǎn)品。而由于工業(yè)企業(yè)安全運(yùn)營(yíng)能力的不足，企業(yè)需要考慮如何用好這些設(shè)備，可通過(guò)采購(gòu)專業(yè)的安全服務(wù)，例如安全托管服務(wù)、安全測(cè)試服務(wù)、應(yīng)急響應(yīng)服務(wù)等，快速提升安全防護(hù)能力。

　　3、 安全管理是指建立相應(yīng)的組織架構(gòu)、管理體系，從制度維度做好工控安全防護(hù)。工業(yè)企業(yè)需構(gòu)建專門的工控安全組織管理部門，明確組織架構(gòu)，負(fù)責(zé)對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)安全的規(guī)劃、建設(shè)、實(shí)施。建立相應(yīng)的安全制度，以做到工業(yè)企業(yè)內(nèi)部的人員管理、配置管理及補(bǔ)丁管理，做到記錄和審計(jì)。構(gòu)建一套應(yīng)急響應(yīng)流程，有效應(yīng)對(duì)安全生產(chǎn)、網(wǎng)絡(luò)安全、數(shù)據(jù)安全帶來(lái)的風(fēng)險(xiǎn)。形成報(bào)送機(jī)制，有成熟的報(bào)送流程、報(bào)送格式、報(bào)送接口等。

　　結(jié)    語(yǔ)

　　工業(yè)環(huán)境的特殊性造成了工業(yè)企業(yè)的安全建設(shè)不能照搬互聯(lián)網(wǎng)防護(hù)。當(dāng)前，我國(guó)工控安全還處于起步階段，工業(yè)領(lǐng)域整體防護(hù)水平有待提高，專業(yè)的工業(yè)安全人才缺乏。近年來(lái)，國(guó)家頒布的一系列網(wǎng)絡(luò)安全法律法規(guī)一方面對(duì)工業(yè)安全提出了要求，另一方面也對(duì)工業(yè)安全的建設(shè)提供了指導(dǎo)。工業(yè)企業(yè)應(yīng)根據(jù)自身的情況，由簡(jiǎn)入繁，以網(wǎng)絡(luò)安全提升生產(chǎn)安全，完成兩化融合的信息化改造，切實(shí)提升企業(yè)的生產(chǎn)能力。