1  引言

随着中国制造向高质量发展迈进，新型工业化成为国家战略发展的重要方向，工业网络化、数字化、智能化进程加速。工业控制系统（Industrial Control Systems， ICS）作为工业生产的核心枢纽，其在提升生产效率、优化工艺、推动创新等方面的作用不可替代。我国ICS已广泛应用于能源、电力等关键领域，规模不断扩大。截至2025年10月底，超80%涉及国计民生的关键基础设施依赖其自动化作业。ű5G+工业互联网”平台服务能力增强，全国约400万家企业上云上平台，平台应用覆盖多领域，形成ű数字骨架”。在智能制造方面，众多智能工厂建成，工业机器人密度远超全球平均水平，为工业生产与转型奠定基础。然而， ICS因高度依赖网络通信技术，面临严峻安全威胁。近年来，网络安全漏洞增多，攻击手段复杂多样，网络攻击事件频发，且呈现政治、军事和经济意图。在此背景下，如何通过有效的政策和技术提升工控安全水平，成为新型工业化进程中亟待解决的关键问题。

2  我国工控安全法律政策已形成覆盖全链条各环节应用的体系

2.1   法律筑基：从顶层设计筑牢工控安全的制度底线

法律法规是保障工控安全、维护国家安全体系的重要基石。我国对ICS安全高度重视，陆续出台了一系列基础性、框架性法律文件，从制度层面确立底线要求，为政策实施和执法监管提供了明确的法律依据，构建起我国工控安全法律体系的基本框架，推动了工控安全工作迈向法治化新阶段。

《网络安全法》作为网络安全领域的基础性法律，将ICS安全纳入法律监管，为工控安全划定了义务与责任边界。其明确要求关键信息基础设施运营者强化工控系统安全防护，定期开展风险评估，及时消除隐患，保障工控系统的稳定运行。

《数据安全法》则聚焦工业领域数据安全。该法对数据全流程管理提出了严格安全保护要求，涵盖收集、存储、使用等各环节，为工控数据安全提供了坚实的法律支撑， 旨在保护大量关系国家、经济和社会安全的重要数据安全。

此外，《关键信息基础设施安全保护条例》作为《网络安全法》的配套法规，进一步细化了能源、电力等关键领域工控系统安全保护义务，明确了运营者、监管部门责任及违法处罚措施，形成了完整的法律链条，提升了工控系统安全防护与国家应对网络安全事件的能力。

2.2   政策指引：明确ICS全链条各环节的防护要求

在法律体系的坚实支撑下，我国围绕ICS安全出台了一系列针对性强、覆盖面广的政策文件，为工控安全全链条防护筑牢了制度根基。其一，政策体系逐步完善，系统性推进工控安全工作。自2011年工信部发布我国首个关于工控安全的专项政策文件《关于加强工业控制系统信息安全管理的通知》起，国家开始系统性推进工控安全工作。此后， 《工业控制系统信息安全行动计划（2018-2020年）》《工业互联网安全保障指南》等政策文件陆续出台，不断丰富和完善了工控安全政策体系，明确了不同阶段的发展目标、重点任务和实施步骤。其二，政策要求日益细化，为企业提供精准指引。2024年1月发布的《工业控制系统网络安全防护指南》，从安全管理、技术防护、安全运营三个维度提出了31项具体要求，涵盖资产梳理、边界防护、数据安全、应急处置等全链条环节，为企业开展工控安全防护提供了详细、可操作的指引。其三，注重数据安全，强化全链条保护。2024年2月发布的《工业领域数据安全能力提升实施方案（2024-2026年）》，提出到2026年底基本建立工业领域数据安全保障体系的目标，重点推进企业数据保护、监管能力提升、产业支撑强化三大任务。它进一步细化了工控数据全链条安全保护的具体举措，凸显了数据安全在工控安全中的重要地位。

2.3   标准规范：统 一 规范全链条防护的技术要求

在法律法规和政策的指引下，我国积极推进工控安全标准体系建设，形成了涵盖基础通用、技术要求、管理规范、测试评估等类别的标准体系。

从“边界隔离”转向“深度防御”与“动态对抗”，从理念上统一全链条防护技术要求。我国在基础通用领域制定了《工业控制系统信息安全 术语》 《工业控制系统信息安全 分级规范》等标准，明确了工控安全的核心概念和分级依据；在技术要求领域出台了《工业控制系统信息安全 主机防护要求》 《工业控制系统信息安全 边界防护要求》等标准，规范了各环节技术防护的具体指标；在测试评估领域发布了《工业控制系统信息安全 测评要求》《工业控制系统信息安全 风险评估方法》等标准，为安全评估和检测认证提供了统一依据。我国新修订制定的标准强调“主动对抗”，要求构建“预测—防御—响应—恢复”的全链条闭环。标准不再仅仅要求“防住门口”，更要求具备“内网可见、行为可判、攻击可阻”的纵深防御能力，实现从“被动合规”到“主动防御”的转变。

从“单一设备”延伸到“全生命周期”与“新领域 ”，从业务全覆盖上统一全链条防护技术要求。我国在工控安全标准已形成涵盖多业务领域、各应用环节的标准体系，呈现出显著的“全链条”特征，将防护范围延伸至工业数据、供应链以及新技术应用领域。首先，在数据安全方面，标准紧密衔接《数据安全法》，配套制定《工业领域重要数据识别指南》《工业企业数据安全防护要求》等标准， 明确数据分类分级、 全生命周期安全防护要求，填补了数据安全标准的空白；其次，在供应链安全方面，标准要求将安全要求前移，覆盖设备研发、生产、交付、运维的全过程，强调对供应商的安全评估和入厂检测，防范源头性风险；最后，针对工业云平台、边缘计算、5G应用等新场景，标准及时纳入了相关安全要求，确保了新技术应用与安全防护同步规划、同步建设，全方位统一了全链条防护的技术要求。

从“基础防护”升级为“分级分类”与“精准施策”，从具体细化方面统一全链条防护技术要求。我国工控安全标准正从笼统的“基础防护”向精细化的“分级分类”管理转变，具有更好更强的操作性和指导性。《工业控制系统网络安全防护指南》（2024年版）及相关的专项行动方案，明确提出了要建立完善重点企业清单，实施分类分级管理。标准根据不同行业（如能源、制造、交通）的特点和风险承受能力，以及不同系统的重要程度，设定了差异化的防护基线和成熟度等级要求。例如，对于承载核心业务、一旦受损将造成严重后果的“重要ICS”，标准提出了更严格的冗余备份、异地容灾、实时监测等高级防护要求。此外，我国还积极参与国际标准制定，其自主研发的AUTBUS工业网络总线技术已成为国家标准和IEC国际标准，为全球工控安全标准体系贡献了中国方案，进一步推动了全链条防护技术要求的国际统一。

3  我国ICS安全相关法律政策有力推动了工控整体防护能力的系统性提升、技术创新的突破以及安全产业的生态繁荣

面对日益复杂严峻的工控网络安全形势，工业和信息化部等部门陆续出台了一系列法律法规与政策文件，有力推动了工控安全产业的繁荣、技术创新的突破以及整体防护能力的系统性提升。

3.1    强化顶层设计， 引领工控安全防护体系化、规范化发展

3.1.1  防护理念：从“物理隔离”转向“主动对抗与内生安全”

随着工业数字化、智能化应用的深入， IT （Information Technology，信息技术）与OT （Operational Technology，运营技术）深度融合，传统静态防御早已失效，工控安全防控开始“变被动为主动”。 一方面，国家层面发布了《工业控制系统网络安全防护指南》，强调安全与系统建设的  “三同步”（同步规划、建设、运行），将安全能力内生于工业系统设计之初；另一方面，防护思路不再迷信隔离，而是构建“对抗性”能力，开始重视对攻击链的全流程阻断，从单纯的边界防御转向了涵盖预测、防护、检测、响应的全生命周期闭环，甚至利用数字孪生技术构建平行系统来实时监控异常。

3.1.2  技术手段：已从“规则匹配”迈向“AI驱动的自动化识别”

面对层出不穷的0day漏洞和APT（Advanced Persistent Threat，高级持续性威胁）攻击，人工智能与大数据技术已经深度介入工控安全防护，我国工控安全体系正在向“智能化”演进。行业普遍利用机器学习建立工业协议和工艺流程的“白环境”，一旦行为出现偏离正常基线的操作（如非法读写、参数篡改），即使没有病毒特征也能被精准识别。借助AI算法，系统能从海量日志中自动挖掘威胁情报，实现从“人工研判”向“自动化响应”的跨越，大幅缩短了风险识别处置时间。

3.1.3  智能化防御：AI驱动的主动免疫体系

随着人工智能技术的快速发展，其在工控安全领域的应用前景愈发广阔。基于AI的主动免疫体系能够通过机器学习算法对工业网络中的异常行为进行实时监测和预测，从而实现对未知威胁的早期预警和快速响应。例如，利用深度学习模型分析工业控制协议的数据流，可以有效识别隐藏在正常通信中的恶意指令，进而阻止潜在攻击。此外，AI技术还可以与区块链相结合，构建分布式安全架构，进一步增强了工控系统的数据完整性和可信度。当前，我国已在多个行业试点推广AI驱动的工控安全解决方案，并取得了初步成效，但仍需进一步完善技术标准和应用场景。

3.2   聚焦技术创新，破解工控安全“卡脖子”难题

随着5G、工业互联网、云计算等新技术在工业领域的广泛应用，工控系统边界逐渐模糊，攻击面持续扩大。政策文件精准把握这一趋势，在强调传统主机与终端安全的同时，针对“上云上平台”、无线接入、远程访问等新场景提出了具体安全技术要求。例如，《防护指南》专门设置工业云平台安全、智能终端安全等条款，鼓励采用商用密码、应用白名单、深度包检测等先进技术。这种“问题导向”“场景牵引”的政策指引，有效激发了市场对新型工控安全技术与产品的需求，促使安全厂商加大了技术创新投入，推动了工控安全技术从单一边界防御向全方位、智能化主动防御体系转变。此外，企业技术创新动力增强不断推动我国核心技术突破，“卡脖子”难题逐步得到解决。近年来，国家通过专项资金支持和政策引导，鼓励企业加大对自主可控技术的研发投入，力求在关键领域工控安全核心技术取得突破，破解“卡脖子”难题。此外，供应链安全管理被提上日程，要求对入厂设备进行固件级检测和SBOM（Software Bill of Materials，软件物料清单）管理，防止“预置后门”，确保从芯片、操作系统到应用软件的全链条安全。国内科研机构也在积极探索新一代工控安全技术，如基于国产密码算法的数据加密技术和支持多协议解析的工业通信安全网关，这些技术的应用将显著提升我国工控系统的抗攻击能力。面对核心设备依赖进口的“卡脖子”风险，行业正加速国产化替代。

3.3   压实主体责任，培育工控安全产业生态与人才队伍

3.3.1  压实企业主体责任，筑牢工业领域安全根基

近年来，我国工控安全政策体系持续健全，明确了企业法定代表人或主要负责人是数据安全第一责任人，以此压实企业主体责任，确保各项政策真正落实。

第一，上位法为“企业主体责任”与“负责人负责制”提供依据。《网络安全法》规定网络运营者需承担网络安全主体责任，《数据安全法》进一步要求重要数据处理者需明确数据安全负责人和管理机构，落实保护责任。在工控与数据安全方面，结合安全生产领域的要求，企业法定代表人或主要负责人需对安全工作全面负责，确保责任可追溯、问责有依据。

第二，工业领域细化“第一责任人”及分类分级管理。相关管理办法明确了工业数据处理者要落实数据全生命周期安全管理，按数据重要性分级保护，并向监管部门备案重要、核心数据目录。实践中，各地要求企业签署工控安全承诺书，法定代表人签字承诺担责，从组织与制度层面压实责任。

第三，通过检查评估与问责推动责任落实。法律政策的生命力在于有效执行，为此工控系统信息安全检查和等级保护评估将责任体系与安全负责人明确情况作为重点。对于未履行安全保护义务的，相关法律设定了多种处罚措施，形成“组织+个人”双重追责，促使法定代表人重视数据安全。

3.3.2  我国高度重视工控安全人才队伍建设，将其视为工控安全产业生态建设的基石

第一，强化应急实战导向，打造专业应急队伍。2011年我国发布的《关于加强工业控制系统信息安全管理的通知》，明确要求落实应急技术支撑队伍，围绕应急预案组建专业团队，并通过演练提升实战能力。此举既确保了在突发事件中具备“拉得出、用得上”的技术力量，也推动了行业应急能力从单点防护向体系化升级。

第二，发挥平台牵引作用，构建培训演练体系。《工业控制系统信息安全行动计划（2018-2020年）》提出加快人才培养，鼓励企业与院校联合培养，借助 “一网一库三平台”等载体，持续开展培训、演练和技术攻关，培养门类齐全、技术精湛的专业人才。平台化模式有效贯通了理论教学、实验实训与真实场景演练。

第三，完善顶层设计，形成多层次人才梯队。 《关于加强和改进工业和信息化人才队伍建设的实施意见》系统布局战略科学家、领军人才及高技能人才，并通过多项计划推动政产学研用协同育人，为工控安全产业输送了复合型、实战型人才，形成了规模适度、结构合理的人才队伍。《工业领域数据安全能力提升实施方案（2024-2026年）》明确提出，到2026年底培养超5000名专业人才。

3.3.3  生态建设成效显著，实现“全链条”生态协同

工控安全产业的发展离不开生态协同，而“产学研用”融合则是构建这一生态的重要路径。近年来，我国通过政策引导和项目支持，推动了工业企业、高校、科研机构和第三方服务机构的深度合作。各地还建立了多个工控安全创新示范基地，为企业提供了技术研发、测试验证和人才培养的一站式服务平台。这种生态协同模式不仅加速了技术成果的转化，还培养了大量高素质的工控安全专业人才，为我国工控安全产业的可持续发展奠定了坚实基础。此外，安全架构不再局限于单个工厂，而是形成了“云端情报共享、边缘侧快速过滤、终端侧可信执行”的协同防御矩阵，基本实现了公共安全云网边端协同，破解了工控安全碎片化、设备厂商互不相通的突出问题。

4  政策驱动下，提升我国工控全链条防护能力的策略建议

4.1   进一步夯实企业主体责任 筑牢工控安全基础

随着工业数字化转型的深入， ICS安全已成为保障生产安全的生命线。企业作为责任主体，需切实从“被动合规”向“主动防御”转变。一是健全组织架构，压实全员责任：设立专职工控安全管理机构，明确 “一把手”负责制，将工控安全指标纳入企业绩效考核体系；严格落实 “一岗一责”，细化制定从管理层到一线操作员的安全责任清单，确保责任无死角、建设资金有保障，真正形成自上而下的责任闭环。二是强化过程管控，落实技术防护：严格执行“三同步”原则，将安全防护深度融入工控系统规划、建设、运行的全生命周期；建立常态化监测与风险评估机制，定期开展漏洞扫描、渗透测试以及安全演练。三是提升人员素养，完善应急机制：针对关键岗位人员开展定制化安全技能培训，杜绝弱口令、违规外联等低级错误；建立完善的应急预案，定期组织跨部门联合演练。此外，企业还应建立畅通的事件报告与奖惩机制，激励全员参与安全建设，筑牢人才防线。

4.2   加快完善监管机制 提升工控安全治理效能

当前工控安全监管体系已具雏形，但面对日益复杂的网络威胁，企业需进一步创新监管手段，提升现代化治理水平。一是构建“数字监管”大脑，实现动态感知：打破传统“定期报送”的滞后模式，依托工业互联网安全监测与态势感知平台，利用大数据和AI技术对重点企业工控系统进行全天候在线监测；建立风险预警模型，从被动响应转向主动发现，提升监管的实时性和精准度。二是探索“监管+保险”联动，引入市场机制：推动建立工控安全责任保险制度，将安全测评结果与保险费率挂钩；监管部门联合保险公司制定行业标准，通过第三方专业风控机构进行“体检”，利用经济杠杆倒逼企业落实主体责任，形成“预防—补偿—监管”的良性循环。三是实施基于信用的分级分类监管：建立企业工控安全信用档案，推行“白名单”与“黑名单”制度。对安全记录良好的企业减少现场检查频次，实施“无感监管”；对高风险或失信企业实施重点监控与飞行检查，优化监管资源配置，提高执法效率。

4.3   积极推动人工智能、物联网等数字技术的深度应用 推动防护体系“智能免疫”升级

ICS的开放性日益增强，工控系统面临的安全形势空前复杂严峻，亟需推动防护体系从“被动应对”向“主动防御”“智能免疫”转变，筑牢我国工控系统安全屏障。第一，深化AI技术赋能，构建未知威胁智能识别体系：推动AI、物联网与工控安全深度融合，运用机器学习等算法，对工控协议流量等建模分析；通过建立正常基线，实现异常行为检测与实时预警；针对加密流量攻击，利用AI分析元数据与行为特征，突破检测盲区，实现不破密而识威胁。第二，推广数字孪生技术，构建风险防控“预演沙箱”：创建工控系统虚拟镜像，开辟安全防护新路径。第三，把 AI技术融入工控安全“监测、防护、处置”全周期，提升协同防御效果：在主动免疫方面，在关键节点部署AI自适应安全代理，拦截恶意代码、保护关键数据；在智能协同响应上，搭建AI威胁情报共享平台，实现 “一点发现、全网阻断”。

4.4   进一步制定修订相关标准，构建从“被动合规”向“主动防御”转变的工控安全标准体系

我国工业控制标准规范体系正经历从“被动合规”到“主动防御”的深刻变革，需要通过理念革新、范围拓展和要求细化，构建起适应新型工业化需求的动态、立体、全链条防护要求的标准体系。第一，深化“技术+管理”融合标准：强化安全运营能力规范要求，将安全配置管理等日常运营活动列为必选项，明确运营频次、质量与记录留存要求。同时，细化人员安全意识培训、技能考核及第三方人员访问管理要求，堵塞因人员操作和管理疏漏引发的安全风险，确保安全防护体系有效且安全运行。第二，强化供应链安全全链条管控标准：构建覆盖“产品—服务—过程”的溯源标准体系，明确设备软件检测、漏洞修复标准，建立“物料清单”制度，制定集成商与服务商安全评估及监管标准。第三，前瞻布局新兴技术应用安全标准：重点制定“AI+工控安全”应用标准，规范AI应用准则与数据接口，防范模型风险，同时完善工业数据安全配套标准，实现防护理念升级。

5  结论

政策驱动全链条防护在我国工控安全领域的研究与实践取得了显著成效，为新型工业化进程提供了坚实的安全保障。通过政策引导与多方协作，我国工控安全防护体系逐步完善，形成了涵盖安全管理、技术防护和人才培养等多维度的综合防护机制。政策驱动全链条防护不仅提升了我国工控安全的整体水平，还为新型工业化进程提供了强有力的支撑。未来，应进一步深化政策实施效果，加强技术创新与人才培养，推动工控安全从“被动响应”向“主动预测”转变，构建更加智能化、服务化和生态化的工控安全防护体系，以应对日益复杂的网络安全威胁。

作者简介 :

刘   权（1972-），男，河北魏县人，正高级工程

师，博士，俄罗斯自然科学院外籍院士，现就职于中国电子信息产业发展研究院，主要从事网络安全、数据安全与治理、人工智能、数字经济等领域规划战略、方案策划等方面的研究。

参考文献：

[1] 郝志强, 杨佳宁, 张晓帆. 面向多场景融合的工控安全应急响应系统研究[J]. 工业信息安全, 2022, (8) : 6 - 11.

[2] 庞林源, 刘权. 面向WEB3.0的社会工程攻击防御策略研究[J]. 保密科学技术, 2023, (12) : 30 - 33.

[3] 刘权, 王超. 新时代我国网络安全产业发展成效、挑战与应对[J]. 中国信息安全, 2024, (4) : 42 - 46.

[4] 李晓龙. 工业控制系统信息安全面临的紧迫问题分析[J]. 自动化博览, 2019, 36 (S2) : 81 - 84.

[5] 林南南, 曹紫薇, 刘志钢. 基于云计算的工业互联网平台安全体系设计[J]. 信息技术与网络安全, 2021, 40 (9) : 32 - 37.

[6] 姚相振, 赵梓桐, 周睿康, 李琳. 《信息安全技术工业控制系统信息安全防护能力成熟度模型》国家标准解读[J]. 自动化博览, 2022, 39 (7) : 48 - 52.

[7] 工信部印发《工业控制系统信息安全行动计划(2018～2020年)》[J]. 信息技术与标准化, 2018, (1) : 11.

[8] 王秋华, 吴国华, 魏东晓, 苗功勋, 徐艳飞, 任一支. 工业互联网安全产业发展态势及路径研究[J]. 中国工程科学, 2021, 23 (2) : 46 - 55.

摘自《自动化博览》2026年第二期暨《工业控制系统信息安全专刊（第十二辑）》