★ 王瑾，夏冀，蔡一鳴 中國電子技術標準化研究院

1  新型工業化對工業控制系統網絡安全提出更高要求

1.1   新型工業化的內涵與特征

新型工業化并非傳統工業化的簡單延續，而是以數字化、智能化、綠色化為核心驅動力的系統性重構。其深度融合5G、人工智能、大數據、工業互聯網等新一代信息技術與先進制造技術，推動制造業從“規模擴張”向“質量躍升”、從“要素驅動”向“創新驅動”轉變。其核心特征可概括為“三化”：全鏈條數字化、全流程智能化、全生命周期綠色化。這一變革打破了傳統工控系統的物理隔離狀態，推動操作技術（Operational Technology，OT）與信息技術（Information Technology，IT）從“平行運行”走向“深度融合”[1]。原本封閉、靜態、協議專有的工控網絡，如今廣泛接入企業內網乃至公共云平臺，形成高度互聯、動態協同的智能生產體系。然而，系統開放在提升生產運行效率的同時，也擴大了網絡攻擊的“暴露面”。

1.2   工業控制系統安全在新型工業化中的戰略地位

2023年全國新型工業化推進大會上，習近平總書記強調：“要統籌發展和安全，把高質量發展的要求貫穿新型工業化全過程。”在此背景下，工業控制系統作為連接物理制造與數字智能的核心樞紐，其基礎支撐作用愈發凸顯。無論是高端數控裝備的精準運行、化工產線的連續調控，還是軌道交通的實時調度，都高度依賴工業控制系統的高可靠性與低時延響應能力。正如智能制造發展規劃所強調的，工業控制系統是“智能制造的核心載體”，是實現柔性生產、智能運維和全生命周期管理的技術底座。

然而，隨著OT與IT深度融合、邊緣計算普及以及工業互聯網平臺廣泛部署，工業控制系統從封閉環境走向開放互聯，在釋放效率紅利的同時，也面臨前所未有的網絡安全風險。勒索軟件、APT攻擊等網絡安全威脅已將能源、電力、制造等關鍵領域作為重點攻擊目標。一旦工控系統被攻擊，一方面可能導致重大經濟損失，另一方面可能引發設備損毀、生產中斷乃至威脅生命安全。因此，工控系統的安全已超越企業技術保障范疇，上升為維護產業鏈供應鏈韌性、保障國家關鍵信息基礎設施穩定運行的戰略支點。在新型工業化縱深推進的新階段，工業控制系統安全不是附加選項，而是核心前提；不是局部問題，而是全局要務。必須將網絡安全貫穿于工控系統設計、部署、運行和維護全過程，加快構建內生安全、自主可控的防護體系，為制造強國和網絡強國建設提供堅實支撐[2]。

1.3   新形勢下工業控制系統的網絡安全挑戰

當前，我國正處于全面推進中國式現代化的關鍵階段，OT/IT深度融合與智能工廠加速普及在釋放巨大生產力的同時，也使工業控制系統面臨前所未有的網絡安全壓力。

具體來看，一是攻擊面顯著擴大：隨著5G+工業互聯網、遠程運維等廣泛應用，原本物理隔離的工控網絡大量接入企業內網甚至互聯網，工控系統暴露面急劇擴大；二是攻擊手段持續升級：勒索軟件（如LockBit變種）、國家級APT組織（如Lazarus、 APT41）已將能源、制造、交通等關鍵行業作為重點目標，攻擊更具隱蔽性、持久性和破壞性；三是供應鏈安全風險突出：核心工控軟硬件仍高度依賴國外廠商，開源組件漏洞頻發且修復滯后，存在“后門”植入與斷供“卡脖子”雙重隱患；四是安全防護能力滯后：傳統IT安全模型難以適配OT環境對高可靠、低時延、長生命周期的特殊要求，導致“防不住、不敢動、難協同”等問題普遍存在。這些問題不僅制約了智能制造的深度落地，更可能因一次成功攻擊引發生產線癱瘓、工藝失控乃至重大公共安全事故，嚴重威脅國家經濟安全和社會穩定。因此，必須以底線思維和系統觀念，全面筑牢工業控制系統網絡安全防線。

2  當前我國工業控制系統網絡安全能力建設現狀與基礎

2.1   政策法規體系逐步健全

近年來，我國以《網絡安全法》《數據安全法》《密碼法》和《關鍵信息基礎設施安全保護條例》為基石，初步構建起覆蓋工業控制系統網絡安全的法治框架。這四部法規文件從網絡空間主權、數據分類分級、關鍵設施保護等維度，為工控安全提供了根本法律依據和制度支撐。在此基礎上，我國加快完善了由行政法規、部門規章和技術標準組成的多層次制度體系。2024年我國發布的《工業控制系統網絡安全防護指南》明確提出了33項基線安全要求，涵蓋資產識別、邊界防護、訪問控制、日志審計等關鍵環節，為重點行業提供了可操作、可落地的實施路徑；《工業互聯網安全分類分級管理辦法》則首次對工業互聯網平臺、標識解析系統及邊緣設備等開展風險等級劃分，推動了精準化、差異化監管。《工業數據分類分級指南（試行）》與《工業領域重要數據識別指南》等配套標準形成協同效應，進一步強化了工業領域數據全生命周期的安全管理要求[3]。這一系列制度安排標志著我國工控安全治理正加速邁向體系化、精細化的新階段。

2.2   標準體系不斷完善

標準是技術落地和產業協同的“通用語言”。截至 目前，我 國已正式發布工業控制系統 網絡安全國家標準28項，其中安全要求類標準17項，涵蓋工業控制系統安全管理、 可編程邏輯控制器（Programmable Logic Controller，PLC）、分布式控制系統（Distributed Control System， DCS）、遠程終端單元（Remote Terminal Unit， RTU）等關鍵設備與場景；安全實施類2項，包括風險評估、安全控制應用指南；安全測評類6項，涉及防護能力成熟度、產品檢測等；另有安全分級類標準1項。此外，民航、煙草等行業也發布了8項工控安全行業標準。當前，TC260正加快推進《工業控制系統網絡安全防護能力成熟度模型》《工業控制系統安全管理基本要求》等重要標準的修訂工作，以持續提升標準體系對政策支撐的全面性，促進相關政策文件落地實施，為新型工業化背景下工控安全防護能力建設提供堅實技術支撐。日趨健全的標準體系，正成為推動工控安全從“有標可依”向“貫標落地、對標提升”躍升的關鍵引擎。

2.3   專業人才培養體系加快構建

面對工業控制系統安全復合型人才嚴重短缺的現實，國家多措并舉加快人才培養體系建設。在高等教育層面，清華大學、北京航空航天大學、東北大學等高校已開設工控安全相關方面的課程或研究方向；在產教融合方面，華為、奇安信、啟明星辰等龍頭企業聯合高校共建工業控制系統安全實驗室，探索“產學研用”一體化培養模式。此外，“鑄網”網絡安全實戰攻防演習、“工業互聯網安全深度行”等活動，持續提升了重點企業人員的風險意識與應急處置能力，初步形成了覆蓋學歷教育、職業認證、在職培訓的全鏈條人才培養生態。

盡管我國在政策法規制定、標準體系建設以及專業人才培養等方面已取得積極進展，但整體仍面臨一些問題，亟需以系統觀念統籌施策，重點從壓實主體責任、加快構建自主可控的安全技術體系、筑牢數據安全與供應鏈安全防線、深化專業人才培養與安全文化建設四個維度協同發力，全面提升工業控制系統網絡安全保障能力。

3  面向新型工業化高質量發展的工業控制系統網絡安全能力提升路徑

2026年是“十五五”開局之年，也是“十五五”時期全面推進新型工業化、強化工業控制系統安全能力建設的起步階段。面對工控系統日益嚴峻的網絡安全形勢，必須堅持總體國家安全觀，將網絡安全深度融入新型工業化全過程，以系統思維和底線意識統籌推進能力建設，切實保障產業鏈供應鏈安全穩定。

3.1   健全網絡安全責任體系

當前，工業控制系統安全治理實踐中仍存在職責邊界模糊、多方協同機制不暢、主體責任落實不到位等問題，制約了整體防護效能的提升。在新型工業化加速推進、OT/IT深度融合的背景下，亟需以企業為主體，全面強化其在工控系統規劃、建設、運行和維護全生命周期中的網絡安全責任意識與履責能力，并深入貫徹“誰主管誰負責、誰運營誰負責”的基本原則，推動企業建立健全內部網絡安全管理制度，明確決策層、管理層與操作層的安全職責，將安全要求嵌入業務流程與生產運維體系。同時，鼓勵行業龍頭企業發揮示范引領作用，帶動產業鏈上下游協同提升安全治理水平，加快構建企業自主履責、精準防控、權責清晰、運轉高效、內生協同的工業控制系統安全責任體系。

3.2   加快自主安全技術創新

目前，我國在PLC、DCS、數據采集與監控系統（Supervisory Control and Data Acquisition， SCADA）等工控設備部分領域的應用方面仍高度依賴國外廠商，存在潛在“后門”風險威脅。因此，我國必須堅持自主創新，加大基礎研發投入，重點突破工業協議深度解析引擎、嵌入式固件動態分析、輕量化商密算法適配等關鍵技術。同時，引導龍頭企業聯合高校、科研院所組建創新聯合體，通過“揭榜掛帥”等方式開展協同攻關，探索將零信任等安全理念融入OT網絡，并支持國產操作系統（如OpenEuler、鴻蒙）與工控軟件深度集成，打造覆蓋芯片、操作系統、中間件到應用層的全棧式可信生態。通過首臺套保險、政府采購傾斜等政策工具，可加速國產工控產品在能源、軌道交通等關鍵領域的規模化驗證與應用。

3.3   提升供應鏈安全水平

當前，我國工業控制系統對外部軟硬件產品和服務依賴度較高，黎巴嫩BP機爆炸事件所暴露出的安全問題再次警示我們：供應鏈已成為安全風險的重要源頭，關鍵設備來源不可信、不可靠，將帶來嚴重的風險隱患。企業應建立健全覆蓋軟硬件全生命周期的安全審查機制，嚴格落實供應商準入與評估制度，強化對關鍵工控設備、操作系統、工業軟件等核心組件的來源可溯性與安全性驗證；對進口工控設備探索建立安全檢測制度，要求供應商簽署漏洞披露與應急響應承諾書，推動建立國家級工業軟件源代碼托管與審計平臺；鼓勵采用“白名單+沙箱”技術對第三方組件進行運行監控，防范供應鏈投毒攻擊。同時，支持第三方安全機構開展常態化眾測，切實提升產業鏈供應鏈整體韌性。

3.4   加強專業人才培養

人才短缺是制約工業控制系統安全能力建設的突出短板。國家應加快推動高等教育改革，在自動化、計算機、信息安全等專業增設“工業控制系統安全”方向課程，編寫統一教材，強化PLC編程、 Modbus/TCP協議分析、工控防火墻配置等實操訓練；應支持職業院校與龍頭企業共建產業學院，開設“工控安全運維”“OT/IT融合工程師”等定向培養項目；應依托國家網絡安全產業園區、重點實驗室建設區域性工業控制系統安全實訓基地，定期組織CTF工控專項賽、紅藍對抗演練，選拔和儲備實戰型人才；應強化企業人員培訓，將工業控制系統安全納入相關領域員工培訓體系，對管理層開展風險意識與合規培訓，對操作人員強化安全操作規程與應急處置演練，打造“安全即生產力”的企業文化氛圍，實現從“被動防御”向“主動免疫”的轉變。

4  結論與展望

新型工業化是我國邁向現代化強國的必由之路，工業控制系統已演變為高度互聯、數據驅動的智能中樞，網絡和數據安全則是其不可逾越的安全屏障[4]。未來，隨著AI、邊緣計算等技術滲透，工業控制系統安全將面臨攻擊智能化、邊界模糊化等新挑戰。我們必須堅持自主創新，構建全棧式安全可信體系，推動產業安全理念從“合規驅動”向“主動防護”轉變，并通過健全責任體系、加快安全技術創新、提升供應鏈安全水平、加強專業人才培養等措施，系統打造具有韌性、彈性與智能性的新一代工業控制系統網絡安全防護體系，為制造強國與網絡強國建設筑牢堅實根基。

作者簡介：

  王   瑾（1997-），遼寧沈陽人，工程師，碩士，現就職于中國電子技術標準化研究院，主要從事工控安全方面的研究。

夏   冀（1992-），河南駐馬店人，工程師，碩士，現就職于中國電子技術標準化研究院，主要從事工控安全方面的研究。

蔡一鳴（1990-）北京人，高級工程師，碩士，現就職于中國電子技術標準化研究院，主要從事網絡安全方面的研究。

參考文獻：

[1] 雷文鑫. 基于邊緣計算的工業物聯網安全技術研究[D]. 成都: 電子科技大學, 2023.

[2] 張瑞, 靳倩. 工業互聯網安全視域下工業APP建設的思考[J]. 工業控制計算機, 2020, 33 (05) : 147 + 153.

[3] 韓鋼, 劉琨, 孫樹鵬. 數據全生命周期的合規安全治理研究[J]. 通信管理與技術, 2024, (05) : 51 – 54 + 58.

[4] 韓曉露, 鮑旭華. 關鍵信息基礎設施安全防護研究[J]. 信息安全研究, 2025, 11 (12) : 1074.

摘自《自動化博覽》2026年第二期暨《工業控制系統信息安全專刊（第十二輯）》