1  引言

隨著中國制造向高質量發展邁進，新型工業化成為國家戰略發展的重要方向，工業網絡化、數字化、智能化進程加速。工業控制系統（Industrial Control Systems， ICS）作為工業生產的核心樞紐，其在提升生產效率、優化工藝、推動創新等方面的作用不可替代。我國ICS已廣泛應用于能源、電力等關鍵領域，規模不斷擴大。截至2025年10月底，超80%涉及國計民生的關鍵基礎設施依賴其自動化作業。?5G+工業互聯網”平臺服務能力增強，全國約400萬家企業上云上平臺，平臺應用覆蓋多領域，形成?數字骨架”。在智能制造方面，眾多智能工廠建成，工業機器人密度遠超全球平均水平，為工業生產與轉型奠定基礎。然而， ICS因高度依賴網絡通信技術，面臨嚴峻安全威脅。近年來，網絡安全漏洞增多，攻擊手段復雜多樣，網絡攻擊事件頻發，且呈現政治、軍事和經濟意圖。在此背景下，如何通過有效的政策和技術提升工控安全水平，成為新型工業化進程中亟待解決的關鍵問題。

2  我國工控安全法律政策已形成覆蓋全鏈條各環節應用的體系

2.1   法律筑基：從頂層設計筑牢工控安全的制度底線

法律法規是保障工控安全、維護國家安全體系的重要基石。我國對ICS安全高度重視，陸續出臺了一系列基礎性、框架性法律文件，從制度層面確立底線要求，為政策實施和執法監管提供了明確的法律依據，構建起我國工控安全法律體系的基本框架，推動了工控安全工作邁向法治化新階段。

《網絡安全法》作為網絡安全領域的基礎性法律，將ICS安全納入法律監管，為工控安全劃定了義務與責任邊界。其明確要求關鍵信息基礎設施運營者強化工控系統安全防護，定期開展風險評估，及時消除隱患，保障工控系統的穩定運行。

《數據安全法》則聚焦工業領域數據安全。該法對數據全流程管理提出了嚴格安全保護要求，涵蓋收集、存儲、使用等各環節，為工控數據安全提供了堅實的法律支撐， 旨在保護大量關系國家、經濟和社會安全的重要數據安全。

此外，《關鍵信息基礎設施安全保護條例》作為《網絡安全法》的配套法規，進一步細化了能源、電力等關鍵領域工控系統安全保護義務，明確了運營者、監管部門責任及違法處罰措施，形成了完整的法律鏈條，提升了工控系統安全防護與國家應對網絡安全事件的能力。

2.2   政策指引：明確ICS全鏈條各環節的防護要求

在法律體系的堅實支撐下，我國圍繞ICS安全出臺了一系列針對性強、覆蓋面廣的政策文件，為工控安全全鏈條防護筑牢了制度根基。其一，政策體系逐步完善，系統性推進工控安全工作。自2011年工信部發布我國首個關于工控安全的專項政策文件《關于加強工業控制系統信息安全管理的通知》起，國家開始系統性推進工控安全工作。此后， 《工業控制系統信息安全行動計劃（2018-2020年）》《工業互聯網安全保障指南》等政策文件陸續出臺，不斷豐富和完善了工控安全政策體系，明確了不同階段的發展目標、重點任務和實施步驟。其二，政策要求日益細化，為企業提供精準指引。2024年1月發布的《工業控制系統網絡安全防護指南》，從安全管理、技術防護、安全運營三個維度提出了31項具體要求，涵蓋資產梳理、邊界防護、數據安全、應急處置等全鏈條環節，為企業開展工控安全防護提供了詳細、可操作的指引。其三，注重數據安全，強化全鏈條保護。2024年2月發布的《工業領域數據安全能力提升實施方案（2024-2026年）》，提出到2026年底基本建立工業領域數據安全保障體系的目標，重點推進企業數據保護、監管能力提升、產業支撐強化三大任務。它進一步細化了工控數據全鏈條安全保護的具體舉措，凸顯了數據安全在工控安全中的重要地位。

2.3   標準規范：統 一 規范全鏈條防護的技術要求

在法律法規和政策的指引下，我國積極推進工控安全標準體系建設，形成了涵蓋基礎通用、技術要求、管理規范、測試評估等類別的標準體系。

從“邊界隔離”轉向“深度防御”與“動態對抗”，從理念上統一全鏈條防護技術要求。我國在基礎通用領域制定了《工業控制系統信息安全 術語》 《工業控制系統信息安全 分級規范》等標準，明確了工控安全的核心概念和分級依據；在技術要求領域出臺了《工業控制系統信息安全 主機防護要求》 《工業控制系統信息安全 邊界防護要求》等標準，規范了各環節技術防護的具體指標；在測試評估領域發布了《工業控制系統信息安全 測評要求》《工業控制系統信息安全 風險評估方法》等標準，為安全評估和檢測認證提供了統一依據。我國新修訂制定的標準強調“主動對抗”，要求構建“預測—防御—響應—恢復”的全鏈條閉環。標準不再僅僅要求“防住門口”，更要求具備“內網可見、行為可判、攻擊可阻”的縱深防御能力，實現從“被動合規”到“主動防御”的轉變。

從“單一設備”延伸到“全生命周期”與“新領域 ”，從業務全覆蓋上統一全鏈條防護技術要求。我國在工控安全標準已形成涵蓋多業務領域、各應用環節的標準體系，呈現出顯著的“全鏈條”特征，將防護范圍延伸至工業數據、供應鏈以及新技術應用領域。首先，在數據安全方面，標準緊密銜接《數據安全法》，配套制定《工業領域重要數據識別指南》《工業企業數據安全防護要求》等標準， 明確數據分類分級、 全生命周期安全防護要求，填補了數據安全標準的空白；其次，在供應鏈安全方面，標準要求將安全要求前移，覆蓋設備研發、生產、交付、運維的全過程，強調對供應商的安全評估和入廠檢測，防范源頭性風險；最后，針對工業云平臺、邊緣計算、5G應用等新場景，標準及時納入了相關安全要求，確保了新技術應用與安全防護同步規劃、同步建設，全方位統一了全鏈條防護的技術要求。

從“基礎防護”升級為“分級分類”與“精準施策”，從具體細化方面統一全鏈條防護技術要求。我國工控安全標準正從籠統的“基礎防護”向精細化的“分級分類”管理轉變，具有更好更強的操作性和指導性。《工業控制系統網絡安全防護指南》（2024年版）及相關的專項行動方案，明確提出了要建立完善重點企業清單，實施分類分級管理。標準根據不同行業（如能源、制造、交通）的特點和風險承受能力，以及不同系統的重要程度，設定了差異化的防護基線和成熟度等級要求。例如，對于承載核心業務、一旦受損將造成嚴重后果的“重要ICS”，標準提出了更嚴格的冗余備份、異地容災、實時監測等高級防護要求。此外，我國還積極參與國際標準制定，其自主研發的AUTBUS工業網絡總線技術已成為國家標準和IEC國際標準，為全球工控安全標準體系貢獻了中國方案，進一步推動了全鏈條防護技術要求的國際統一。

3  我國ICS安全相關法律政策有力推動了工控整體防護能力的系統性提升、技術創新的突破以及安全產業的生態繁榮

面對日益復雜嚴峻的工控網絡安全形勢，工業和信息化部等部門陸續出臺了一系列法律法規與政策文件，有力推動了工控安全產業的繁榮、技術創新的突破以及整體防護能力的系統性提升。

3.1    強化頂層設計， 引領工控安全防護體系化、規范化發展

3.1.1  防護理念：從“物理隔離”轉向“主動對抗與內生安全”

隨著工業數字化、智能化應用的深入， IT （Information Technology，信息技術）與OT （Operational Technology，運營技術）深度融合，傳統靜態防御早已失效，工控安全防控開始“變被動為主動”。 一方面，國家層面發布了《工業控制系統網絡安全防護指南》，強調安全與系統建設的  “三同步”（同步規劃、建設、運行），將安全能力內生于工業系統設計之初；另一方面，防護思路不再迷信隔離，而是構建“對抗性”能力，開始重視對攻擊鏈的全流程阻斷，從單純的邊界防御轉向了涵蓋預測、防護、檢測、響應的全生命周期閉環，甚至利用數字孿生技術構建平行系統來實時監控異常。

3.1.2  技術手段：已從“規則匹配”邁向“AI驅動的自動化識別”

面對層出不窮的0day漏洞和APT（Advanced Persistent Threat，高級持續性威脅）攻擊，人工智能與大數據技術已經深度介入工控安全防護，我國工控安全體系正在向“智能化”演進。行業普遍利用機器學習建立工業協議和工藝流程的“白環境”，一旦行為出現偏離正常基線的操作（如非法讀寫、參數篡改），即使沒有病毒特征也能被精準識別。借助AI算法，系統能從海量日志中自動挖掘威脅情報，實現從“人工研判”向“自動化響應”的跨越，大幅縮短了風險識別處置時間。

3.1.3  智能化防御：AI驅動的主動免疫體系

隨著人工智能技術的快速發展，其在工控安全領域的應用前景愈發廣闊。基于AI的主動免疫體系能夠通過機器學習算法對工業網絡中的異常行為進行實時監測和預測，從而實現對未知威脅的早期預警和快速響應。例如，利用深度學習模型分析工業控制協議的數據流，可以有效識別隱藏在正常通信中的惡意指令，進而阻止潛在攻擊。此外，AI技術還可以與區塊鏈相結合，構建分布式安全架構，進一步增強了工控系統的數據完整性和可信度。當前，我國已在多個行業試點推廣AI驅動的工控安全解決方案，并取得了初步成效，但仍需進一步完善技術標準和應用場景。

3.2   聚焦技術創新，破解工控安全“卡脖子”難題

隨著5G、工業互聯網、云計算等新技術在工業領域的廣泛應用，工控系統邊界逐漸模糊，攻擊面持續擴大。政策文件精準把握這一趨勢，在強調傳統主機與終端安全的同時，針對“上云上平臺”、無線接入、遠程訪問等新場景提出了具體安全技術要求。例如，《防護指南》專門設置工業云平臺安全、智能終端安全等條款，鼓勵采用商用密碼、應用白名單、深度包檢測等先進技術。這種“問題導向”“場景牽引”的政策指引，有效激發了市場對新型工控安全技術與產品的需求，促使安全廠商加大了技術創新投入，推動了工控安全技術從單一邊界防御向全方位、智能化主動防御體系轉變。此外，企業技術創新動力增強不斷推動我國核心技術突破，“卡脖子”難題逐步得到解決。近年來，國家通過專項資金支持和政策引導，鼓勵企業加大對自主可控技術的研發投入，力求在關鍵領域工控安全核心技術取得突破，破解“卡脖子”難題。此外，供應鏈安全管理被提上日程，要求對入廠設備進行固件級檢測和SBOM（Software Bill of Materials，軟件物料清單）管理，防止“預置后門”，確保從芯片、操作系統到應用軟件的全鏈條安全。國內科研機構也在積極探索新一代工控安全技術，如基于國產密碼算法的數據加密技術和支持多協議解析的工業通信安全網關，這些技術的應用將顯著提升我國工控系統的抗攻擊能力。面對核心設備依賴進口的“卡脖子”風險，行業正加速國產化替代。

3.3   壓實主體責任，培育工控安全產業生態與人才隊伍

3.3.1  壓實企業主體責任，筑牢工業領域安全根基

近年來，我國工控安全政策體系持續健全，明確了企業法定代表人或主要負責人是數據安全第一責任人，以此壓實企業主體責任，確保各項政策真正落實。

第一，上位法為“企業主體責任”與“負責人負責制”提供依據。《網絡安全法》規定網絡運營者需承擔網絡安全主體責任，《數據安全法》進一步要求重要數據處理者需明確數據安全負責人和管理機構，落實保護責任。在工控與數據安全方面，結合安全生產領域的要求，企業法定代表人或主要負責人需對安全工作全面負責，確保責任可追溯、問責有依據。

第二，工業領域細化“第一責任人”及分類分級管理。相關管理辦法明確了工業數據處理者要落實數據全生命周期安全管理，按數據重要性分級保護，并向監管部門備案重要、核心數據目錄。實踐中，各地要求企業簽署工控安全承諾書，法定代表人簽字承諾擔責，從組織與制度層面壓實責任。

第三，通過檢查評估與問責推動責任落實。法律政策的生命力在于有效執行，為此工控系統信息安全檢查和等級保護評估將責任體系與安全負責人明確情況作為重點。對于未履行安全保護義務的，相關法律設定了多種處罰措施，形成“組織+個人”雙重追責，促使法定代表人重視數據安全。

3.3.2  我國高度重視工控安全人才隊伍建設，將其視為工控安全產業生態建設的基石

第一，強化應急實戰導向，打造專業應急隊伍。2011年我國發布的《關于加強工業控制系統信息安全管理的通知》，明確要求落實應急技術支撐隊伍，圍繞應急預案組建專業團隊，并通過演練提升實戰能力。此舉既確保了在突發事件中具備“拉得出、用得上”的技術力量，也推動了行業應急能力從單點防護向體系化升級。

第二，發揮平臺牽引作用，構建培訓演練體系。《工業控制系統信息安全行動計劃（2018-2020年）》提出加快人才培養，鼓勵企業與院校聯合培養，借助 “一網一庫三平臺”等載體，持續開展培訓、演練和技術攻關，培養門類齊全、技術精湛的專業人才。平臺化模式有效貫通了理論教學、實驗實訓與真實場景演練。

第三，完善頂層設計，形成多層次人才梯隊。 《關于加強和改進工業和信息化人才隊伍建設的實施意見》系統布局戰略科學家、領軍人才及高技能人才，并通過多項計劃推動政產學研用協同育人，為工控安全產業輸送了復合型、實戰型人才，形成了規模適度、結構合理的人才隊伍。《工業領域數據安全能力提升實施方案（2024-2026年）》明確提出，到2026年底培養超5000名專業人才。

3.3.3  生態建設成效顯著，實現“全鏈條”生態協同

工控安全產業的發展離不開生態協同，而“產學研用”融合則是構建這一生態的重要路徑。近年來，我國通過政策引導和項目支持，推動了工業企業、高校、科研機構和第三方服務機構的深度合作。各地還建立了多個工控安全創新示范基地，為企業提供了技術研發、測試驗證和人才培養的一站式服務平臺。這種生態協同模式不僅加速了技術成果的轉化，還培養了大量高素質的工控安全專業人才，為我國工控安全產業的可持續發展奠定了堅實基礎。此外，安全架構不再局限于單個工廠，而是形成了“云端情報共享、邊緣側快速過濾、終端側可信執行”的協同防御矩陣，基本實現了公共安全云網邊端協同，破解了工控安全碎片化、設備廠商互不相通的突出問題。

4  政策驅動下，提升我國工控全鏈條防護能力的策略建議

4.1   進一步夯實企業主體責任 筑牢工控安全基礎

隨著工業數字化轉型的深入， ICS安全已成為保障生產安全的生命線。企業作為責任主體，需切實從“被動合規”向“主動防御”轉變。一是健全組織架構，壓實全員責任：設立專職工控安全管理機構，明確 “一把手”負責制，將工控安全指標納入企業績效考核體系；嚴格落實 “一崗一責”，細化制定從管理層到一線操作員的安全責任清單，確保責任無死角、建設資金有保障，真正形成自上而下的責任閉環。二是強化過程管控，落實技術防護：嚴格執行“三同步”原則，將安全防護深度融入工控系統規劃、建設、運行的全生命周期；建立常態化監測與風險評估機制，定期開展漏洞掃描、滲透測試以及安全演練。三是提升人員素養，完善應急機制：針對關鍵崗位人員開展定制化安全技能培訓，杜絕弱口令、違規外聯等低級錯誤；建立完善的應急預案，定期組織跨部門聯合演練。此外，企業還應建立暢通的事件報告與獎懲機制，激勵全員參與安全建設，筑牢人才防線。

4.2   加快完善監管機制 提升工控安全治理效能

當前工控安全監管體系已具雛形，但面對日益復雜的網絡威脅，企業需進一步創新監管手段，提升現代化治理水平。一是構建“數字監管”大腦，實現動態感知：打破傳統“定期報送”的滯后模式，依托工業互聯網安全監測與態勢感知平臺，利用大數據和AI技術對重點企業工控系統進行全天候在線監測；建立風險預警模型，從被動響應轉向主動發現，提升監管的實時性和精準度。二是探索“監管+保險”聯動，引入市場機制：推動建立工控安全責任保險制度，將安全測評結果與保險費率掛鉤；監管部門聯合保險公司制定行業標準，通過第三方專業風控機構進行“體檢”，利用經濟杠桿倒逼企業落實主體責任，形成“預防—補償—監管”的良性循環。三是實施基于信用的分級分類監管：建立企業工控安全信用檔案，推行“白名單”與“黑名單”制度。對安全記錄良好的企業減少現場檢查頻次，實施“無感監管”；對高風險或失信企業實施重點監控與飛行檢查，優化監管資源配置，提高執法效率。

4.3   積極推動人工智能、物聯網等數字技術的深度應用 推動防護體系“智能免疫”升級

ICS的開放性日益增強，工控系統面臨的安全形勢空前復雜嚴峻，亟需推動防護體系從“被動應對”向“主動防御”“智能免疫”轉變，筑牢我國工控系統安全屏障。第一，深化AI技術賦能，構建未知威脅智能識別體系：推動AI、物聯網與工控安全深度融合，運用機器學習等算法，對工控協議流量等建模分析；通過建立正常基線，實現異常行為檢測與實時預警；針對加密流量攻擊，利用AI分析元數據與行為特征，突破檢測盲區，實現不破密而識威脅。第二，推廣數字孿生技術，構建風險防控“預演沙箱”：創建工控系統虛擬鏡像，開辟安全防護新路徑。第三，把 AI技術融入工控安全“監測、防護、處置”全周期，提升協同防御效果：在主動免疫方面，在關鍵節點部署AI自適應安全代理，攔截惡意代碼、保護關鍵數據；在智能協同響應上，搭建AI威脅情報共享平臺，實現 “一點發現、全網阻斷”。

4.4   進一步制定修訂相關標準，構建從“被動合規”向“主動防御”轉變的工控安全標準體系

我國工業控制標準規范體系正經歷從“被動合規”到“主動防御”的深刻變革，需要通過理念革新、范圍拓展和要求細化，構建起適應新型工業化需求的動態、立體、全鏈條防護要求的標準體系。第一，深化“技術+管理”融合標準：強化安全運營能力規范要求，將安全配置管理等日常運營活動列為必選項，明確運營頻次、質量與記錄留存要求。同時，細化人員安全意識培訓、技能考核及第三方人員訪問管理要求，堵塞因人員操作和管理疏漏引發的安全風險，確保安全防護體系有效且安全運行。第二，強化供應鏈安全全鏈條管控標準：構建覆蓋“產品—服務—過程”的溯源標準體系，明確設備軟件檢測、漏洞修復標準，建立“物料清單”制度，制定集成商與服務商安全評估及監管標準。第三，前瞻布局新興技術應用安全標準：重點制定“AI+工控安全”應用標準，規范AI應用準則與數據接口，防范模型風險，同時完善工業數據安全配套標準，實現防護理念升級。

5  結論

政策驅動全鏈條防護在我國工控安全領域的研究與實踐取得了顯著成效，為新型工業化進程提供了堅實的安全保障。通過政策引導與多方協作，我國工控安全防護體系逐步完善，形成了涵蓋安全管理、技術防護和人才培養等多維度的綜合防護機制。政策驅動全鏈條防護不僅提升了我國工控安全的整體水平，還為新型工業化進程提供了強有力的支撐。未來，應進一步深化政策實施效果，加強技術創新與人才培養，推動工控安全從“被動響應”向“主動預測”轉變，構建更加智能化、服務化和生態化的工控安全防護體系，以應對日益復雜的網絡安全威脅。

作者簡介 :

劉   權（1972-），男，河北魏縣人，正高級工程

師，博士，俄羅斯自然科學院外籍院士，現就職于中國電子信息產業發展研究院，主要從事網絡安全、數據安全與治理、人工智能、數字經濟等領域規劃戰略、方案策劃等方面的研究。

參考文獻：

[1] 郝志強, 楊佳寧, 張曉帆. 面向多場景融合的工控安全應急響應系統研究[J]. 工業信息安全, 2022, (8) : 6 - 11.

[2] 龐林源, 劉權. 面向WEB3.0的社會工程攻擊防御策略研究[J]. 保密科學技術, 2023, (12) : 30 - 33.

[3] 劉權, 王超. 新時代我國網絡安全產業發展成效、挑戰與應對[J]. 中國信息安全, 2024, (4) : 42 - 46.

[4] 李曉龍. 工業控制系統信息安全面臨的緊迫問題分析[J]. 自動化博覽, 2019, 36 (S2) : 81 - 84.

[5] 林南南, 曹紫薇, 劉志鋼. 基于云計算的工業互聯網平臺安全體系設計[J]. 信息技術與網絡安全, 2021, 40 (9) : 32 - 37.

[6] 姚相振, 趙梓桐, 周睿康, 李琳. 《信息安全技術工業控制系統信息安全防護能力成熟度模型》國家標準解讀[J]. 自動化博覽, 2022, 39 (7) : 48 - 52.

[7] 工信部印發《工業控制系統信息安全行動計劃(2018～2020年)》[J]. 信息技術與標準化, 2018, (1) : 11.

[8] 王秋華, 吳國華, 魏東曉, 苗功勛, 徐艷飛, 任一支. 工業互聯網安全產業發展態勢及路徑研究[J]. 中國工程科學, 2021, 23 (2) : 46 - 55.

摘自《自動化博覽》2026年第二期暨《工業控制系統信息安全專刊（第十二輯）》