★ 王瑾，夏冀，蔡一鸣 中国电子技术标准化研究院

1  新型工业化对工业控制系统网络安全提出更高要求

1.1   新型工业化的内涵与特征

新型工业化并非传统工业化的简单延续，而是以数字化、智能化、绿色化为核心驱动力的系统性重构。其深度融合5G、人工智能、大数据、工业互联网等新一代信息技术与先进制造技术，推动制造业从“规模扩张”向“质量跃升”、从“要素驱动”向“创新驱动”转变。其核心特征可概括为“三化”：全链条数字化、全流程智能化、全生命周期绿色化。这一变革打破了传统工控系统的物理隔离状态，推动操作技术（Operational Technology，OT）与信息技术（Information Technology，IT）从“平行运行”走向“深度融合”[1]。原本封闭、静态、协议专有的工控网络，如今广泛接入企业内网乃至公共云平台，形成高度互联、动态协同的智能生产体系。然而，系统开放在提升生产运行效率的同时，也扩大了网络攻击的“暴露面”。

1.2   工业控制系统安全在新型工业化中的战略地位

2023年全国新型工业化推进大会上，习近平总书记强调：“要统筹发展和安全，把高质量发展的要求贯穿新型工业化全过程。”在此背景下，工业控制系统作为连接物理制造与数字智能的核心枢纽，其基础支撑作用愈发凸显。无论是高端数控装备的精准运行、化工产线的连续调控，还是轨道交通的实时调度，都高度依赖工业控制系统的高可靠性与低时延响应能力。正如智能制造发展规划所强调的，工业控制系统是“智能制造的核心载体”，是实现柔性生产、智能运维和全生命周期管理的技术底座。

然而，随着OT与IT深度融合、边缘计算普及以及工业互联网平台广泛部署，工业控制系统从封闭环境走向开放互联，在释放效率红利的同时，也面临前所未有的网络安全风险。勒索软件、APT攻击等网络安全威胁已将能源、电力、制造等关键领域作为重点攻击目标。一旦工控系统被攻击，一方面可能导致重大经济损失，另一方面可能引发设备损毁、生产中断乃至威胁生命安全。因此，工控系统的安全已超越企业技术保障范畴，上升为维护产业链供应链韧性、保障国家关键信息基础设施稳定运行的战略支点。在新型工业化纵深推进的新阶段，工业控制系统安全不是附加选项，而是核心前提；不是局部问题，而是全局要务。必须将网络安全贯穿于工控系统设计、部署、运行和维护全过程，加快构建内生安全、自主可控的防护体系，为制造强国和网络强国建设提供坚实支撑[2]。

1.3   新形势下工业控制系统的网络安全挑战

当前，我国正处于全面推进中国式现代化的关键阶段，OT/IT深度融合与智能工厂加速普及在释放巨大生产力的同时，也使工业控制系统面临前所未有的网络安全压力。

具体来看，一是攻击面显著扩大：随着5G+工业互联网、远程运维等广泛应用，原本物理隔离的工控网络大量接入企业内网甚至互联网，工控系统暴露面急剧扩大；二是攻击手段持续升级：勒索软件（如LockBit变种）、国家级APT组织（如Lazarus、 APT41）已将能源、制造、交通等关键行业作为重点目标，攻击更具隐蔽性、持久性和破坏性；三是供应链安全风险突出：核心工控软硬件仍高度依赖国外厂商，开源组件漏洞频发且修复滞后，存在“后门”植入与断供“卡脖子”双重隐患；四是安全防护能力滞后：传统IT安全模型难以适配OT环境对高可靠、低时延、长生命周期的特殊要求，导致“防不住、不敢动、难协同”等问题普遍存在。这些问题不仅制约了智能制造的深度落地，更可能因一次成功攻击引发生产线瘫痪、工艺失控乃至重大公共安全事故，严重威胁国家经济安全和社会稳定。因此，必须以底线思维和系统观念，全面筑牢工业控制系统网络安全防线。

2  当前我国工业控制系统网络安全能力建设现状与基础

2.1   政策法规体系逐步健全

近年来，我国以《网络安全法》《数据安全法》《密码法》和《关键信息基础设施安全保护条例》为基石，初步构建起覆盖工业控制系统网络安全的法治框架。这四部法规文件从网络空间主权、数据分类分级、关键设施保护等维度，为工控安全提供了根本法律依据和制度支撑。在此基础上，我国加快完善了由行政法规、部门规章和技术标准组成的多层次制度体系。2024年我国发布的《工业控制系统网络安全防护指南》明确提出了33项基线安全要求，涵盖资产识别、边界防护、访问控制、日志审计等关键环节，为重点行业提供了可操作、可落地的实施路径；《工业互联网安全分类分级管理办法》则首次对工业互联网平台、标识解析系统及边缘设备等开展风险等级划分，推动了精准化、差异化监管。《工业数据分类分级指南（试行）》与《工业领域重要数据识别指南》等配套标准形成协同效应，进一步强化了工业领域数据全生命周期的安全管理要求[3]。这一系列制度安排标志着我国工控安全治理正加速迈向体系化、精细化的新阶段。

2.2   标准体系不断完善

标准是技术落地和产业协同的“通用语言”。截至 目前，我 国已正式发布工业控制系统 网络安全国家标准28项，其中安全要求类标准17项，涵盖工业控制系统安全管理、 可编程逻辑控制器（Programmable Logic Controller，PLC）、分布式控制系统（Distributed Control System， DCS）、远程终端单元（Remote Terminal Unit， RTU）等关键设备与场景；安全实施类2项，包括风险评估、安全控制应用指南；安全测评类6项，涉及防护能力成熟度、产品检测等；另有安全分级类标准1项。此外，民航、烟草等行业也发布了8项工控安全行业标准。当前，TC260正加快推进《工业控制系统网络安全防护能力成熟度模型》《工业控制系统安全管理基本要求》等重要标准的修订工作，以持续提升标准体系对政策支撑的全面性，促进相关政策文件落地实施，为新型工业化背景下工控安全防护能力建设提供坚实技术支撑。日趋健全的标准体系，正成为推动工控安全从“有标可依”向“贯标落地、对标提升”跃升的关键引擎。

2.3   专业人才培养体系加快构建

面对工业控制系统安全复合型人才严重短缺的现实，国家多措并举加快人才培养体系建设。在高等教育层面，清华大学、北京航空航天大学、东北大学等高校已开设工控安全相关方面的课程或研究方向；在产教融合方面，华为、奇安信、启明星辰等龙头企业联合高校共建工业控制系统安全实验室，探索“产学研用”一体化培养模式。此外，“铸网”网络安全实战攻防演习、“工业互联网安全深度行”等活动，持续提升了重点企业人员的风险意识与应急处置能力，初步形成了覆盖学历教育、职业认证、在职培训的全链条人才培养生态。

尽管我国在政策法规制定、标准体系建设以及专业人才培养等方面已取得积极进展，但整体仍面临一些问题，亟需以系统观念统筹施策，重点从压实主体责任、加快构建自主可控的安全技术体系、筑牢数据安全与供应链安全防线、深化专业人才培养与安全文化建设四个维度协同发力，全面提升工业控制系统网络安全保障能力。

3  面向新型工业化高质量发展的工业控制系统网络安全能力提升路径

2026年是“十五五”开局之年，也是“十五五”时期全面推进新型工业化、强化工业控制系统安全能力建设的起步阶段。面对工控系统日益严峻的网络安全形势，必须坚持总体国家安全观，将网络安全深度融入新型工业化全过程，以系统思维和底线意识统筹推进能力建设，切实保障产业链供应链安全稳定。

3.1   健全网络安全责任体系

当前，工业控制系统安全治理实践中仍存在职责边界模糊、多方协同机制不畅、主体责任落实不到位等问题，制约了整体防护效能的提升。在新型工业化加速推进、OT/IT深度融合的背景下，亟需以企业为主体，全面强化其在工控系统规划、建设、运行和维护全生命周期中的网络安全责任意识与履责能力，并深入贯彻“谁主管谁负责、谁运营谁负责”的基本原则，推动企业建立健全内部网络安全管理制度，明确决策层、管理层与操作层的安全职责，将安全要求嵌入业务流程与生产运维体系。同时，鼓励行业龙头企业发挥示范引领作用，带动产业链上下游协同提升安全治理水平，加快构建企业自主履责、精准防控、权责清晰、运转高效、内生协同的工业控制系统安全责任体系。

3.2   加快自主安全技术创新

目前，我国在PLC、DCS、数据采集与监控系统（Supervisory Control and Data Acquisition， SCADA）等工控设备部分领域的应用方面仍高度依赖国外厂商，存在潜在“后门”风险威胁。因此，我国必须坚持自主创新，加大基础研发投入，重点突破工业协议深度解析引擎、嵌入式固件动态分析、轻量化商密算法适配等关键技术。同时，引导龙头企业联合高校、科研院所组建创新联合体，通过“揭榜挂帅”等方式开展协同攻关，探索将零信任等安全理念融入OT网络，并支持国产操作系统（如OpenEuler、鸿蒙）与工控软件深度集成，打造覆盖芯片、操作系统、中间件到应用层的全栈式可信生态。通过首台套保险、政府采购倾斜等政策工具，可加速国产工控产品在能源、轨道交通等关键领域的规模化验证与应用。

3.3   提升供应链安全水平

当前，我国工业控制系统对外部软硬件产品和服务依赖度较高，黎巴嫩BP机爆炸事件所暴露出的安全问题再次警示我们：供应链已成为安全风险的重要源头，关键设备来源不可信、不可靠，将带来严重的风险隐患。企业应建立健全覆盖软硬件全生命周期的安全审查机制，严格落实供应商准入与评估制度，强化对关键工控设备、操作系统、工业软件等核心组件的来源可溯性与安全性验证；对进口工控设备探索建立安全检测制度，要求供应商签署漏洞披露与应急响应承诺书，推动建立国家级工业软件源代码托管与审计平台；鼓励采用“白名单+沙箱”技术对第三方组件进行运行监控，防范供应链投毒攻击。同时，支持第三方安全机构开展常态化众测，切实提升产业链供应链整体韧性。

3.4   加强专业人才培养

人才短缺是制约工业控制系统安全能力建设的突出短板。国家应加快推动高等教育改革，在自动化、计算机、信息安全等专业增设“工业控制系统安全”方向课程，编写统一教材，强化PLC编程、 Modbus/TCP协议分析、工控防火墙配置等实操训练；应支持职业院校与龙头企业共建产业学院，开设“工控安全运维”“OT/IT融合工程师”等定向培养项目；应依托国家网络安全产业园区、重点实验室建设区域性工业控制系统安全实训基地，定期组织CTF工控专项赛、红蓝对抗演练，选拔和储备实战型人才；应强化企业人员培训，将工业控制系统安全纳入相关领域员工培训体系，对管理层开展风险意识与合规培训，对操作人员强化安全操作规程与应急处置演练，打造“安全即生产力”的企业文化氛围，实现从“被动防御”向“主动免疫”的转变。

4  结论与展望

新型工业化是我国迈向现代化强国的必由之路，工业控制系统已演变为高度互联、数据驱动的智能中枢，网络和数据安全则是其不可逾越的安全屏障[4]。未来，随着AI、边缘计算等技术渗透，工业控制系统安全将面临攻击智能化、边界模糊化等新挑战。我们必须坚持自主创新，构建全栈式安全可信体系，推动产业安全理念从“合规驱动”向“主动防护”转变，并通过健全责任体系、加快安全技术创新、提升供应链安全水平、加强专业人才培养等措施，系统打造具有韧性、弹性与智能性的新一代工业控制系统网络安全防护体系，为制造强国与网络强国建设筑牢坚实根基。

作者简介：

  王   瑾（1997-），辽宁沈阳人，工程师，硕士，现就职于中国电子技术标准化研究院，主要从事工控安全方面的研究。

夏   冀（1992-），河南驻马店人，工程师，硕士，现就职于中国电子技术标准化研究院，主要从事工控安全方面的研究。

蔡一鸣（1990-）北京人，高级工程师，硕士，现就职于中国电子技术标准化研究院，主要从事网络安全方面的研究。

参考文献：

[1] 雷文鑫. 基于边缘计算的工业物联网安全技术研究[D]. 成都: 电子科技大学, 2023.

[2] 张瑞, 靳倩. 工业互联网安全视域下工业APP建设的思考[J]. 工业控制计算机, 2020, 33 (05) : 147 + 153.

[3] 韩钢, 刘琨, 孙树鹏. 数据全生命周期的合规安全治理研究[J]. 通信管理与技术, 2024, (05) : 51 – 54 + 58.

[4] 韩晓露, 鲍旭华. 关键信息基础设施安全防护研究[J]. 信息安全研究, 2025, 11 (12) : 1074.

摘自《自动化博览》2026年第二期暨《工业控制系统信息安全专刊（第十二辑）》