主要从四个方面进行分析：标准解读（即为什么做）、防护产品兼容性及与工控厂家责任划分（即怎么做）、推动项目落地（即如何做）、投入预算（即做多少）

一、为什么要做工控网络安全防御

首先，从法律法规层面讲，国家的法律法规明确要求了相关企业要做好网络安全防御，并给出了相应的防护标准：

1.《中华人民共和国网络安全法》，2017年6月开始正式实施，其中三十一至三十九条，针对石油、石化、化工、交通等关键基础行业的信息系统和网安全运行作了规定，并对关键信息基础设施安全保护办法的制定、负责安全保护工作的部门、运营者的安全保护义务、有关部门的监督和支持等作了规定。

2.《工业控制系统信息安全防护指南》坚持“安全是发展的前提，发展是安全的保障”，以当前我国工业控制系统面临的安全问题为出发点，注重防护要求的可执行性，从管理、技术两方面明确工业企业工控安全防护要求。

3.《信息安全技术网络安全等级保护基本要求》（等保2.0）从2019年12月1日正式实施推广，在扩展要求中，明确工业控制系统的防护规范及要求，从室外控制设备防护、工业控制系统网络架构安全、拨号使用控制、无线使用控制、控制设备安全等多方面说明针对工业特点提出保护措施。

4.《关键信息基础设施防护条例》（试行版）详细阐明了关键信息基础设施的范围、运营者应履行的职责以及对产品和服务的要求，对政府机关，国家行业主管或监管部门，能源、电信、交通等行业，公安机关以及个人进行要求，明确关键信息基础设施范围，规定运营者安全保护的权利和义务及其负责人的职责，要求建立关键信息基础设施网络安全监测预警体系和信息通报制度，违反本条例将会受到行政处罚、判处罚金甚至要承担刑事责任。

5.《关键信息基础设施确定指南》（试行）分析说明了什么是关键信息基础设施，以及关键信息基础实施确定的方式方法。

6.《工业互联网企业网络安全分类分级指南》（试行）明确联网工业企业安全分类分级，并对不同安全级别防护措施、要求予以说明，明确钢铁、有色、石化化工、轨道交通装备、船舶及海洋工程装备、航空航天装备为三类行业，且原则上规定三类行业规模以上企业定位三级企业。

其次，省市地方及企业为响应国家战略布局、政策法规，也出台了大量指导性、督促性文件，有：

7.《关于印发加强工业互联网安全工作的指导意见的通知》

8.省工信厅，开展2019年工业控制系统信息安全检查工作通知

9.省委常委会会议强调 切实贯彻落实网络安全工作责任制

第三，中国工业落后西方国家，我们工业自动化使用的工控机、控制器（PLC、DCS、RTU等）、组态软件、操作系统、数据库等等都是国外产品，存在着大量漏洞，不及时应对，会给企业安全生产带来巨大隐患。

第四，国际网络安全形势严峻，越来越多的黑客团体在网络上进行破坏活动，而且以美国为首的多个国家都在使用或者开发“网络攻击武器”，如震网病毒（Stuxnet）就导致了伊朗核电站近千台离心机损坏；席卷世界的勒索病毒就是美国军方“永恒之蓝”工具的变种，国内中石油等企业都深受其害。

最后，工业是国民生产命脉，一旦遭受网络攻击，对经济、环境、人民甚至政权都会带来重大影响，2019年3月委内瑞拉的大停电事件据报道就是美国通过网络攻击实现的，造成委内瑞拉国内政权的动荡；2015年到2016年间俄罗斯针对乌克兰发起的网络攻击，同样造成乌克兰大面积停电、政府服务网络瘫痪等问题。

二、在现有的基础上怎么做防护

首先对企业的工控系统网络架构进行梳理，详细了解控制系统设备运行情况及使用的通讯协议，协助企业对现有系统进行网络安全自查，针对暴露出的问题短板进行整改。

其次，根据经验，针对老旧工程师站、服务器等进行净化、漏洞修补，构建“白环境”，在DCS系统与数据服务器之间部署防火墙，做到“纵向分层、横向分区”，在汇聚交换机镜像端口旁路部署审计系统，做到“流量监控、日志审计”，在核心机房部署监管平台、态势感知系统，做到“统一管理、资产画像”。

由于防护墙部署在控制层与监管层之间，不在DCS控制系统之内，因此对生产控制无影响，但为了系统的安全可靠，防护墙具有bypass功能，且会通过兼容性测试，与工控厂商进行协调沟通，明确双方职责。

三、如何开展企业工控系统网络安全项目实施

根据各个企业不同的现实情况，具体实施会有所差别。例如某煤化工企业在新建项目中，规划建设智能工厂，在智能工厂方案设计中，就将工控安全统一考虑；某管道公司，在接到政府检查通知的情况下，通过对自查，发现问题，提出整改方案上报集团，审批通过开始实施；某石油炼化企业，按照等保2.0建设要求，对工控网络进行加固完善；某能源石化企业，通过与工控安全厂家合作申报科技项目，共同建设工控网络安全防护体系，等等，每家企业的项目落地及实施方式都存在不一样的地方。

根据交流，建议企业可以这样实施：按照等保建设规划项目，上报集团予以立项，并可以与安全产品厂商合作申报地方在网络安全防护方向的研究课题，在完成安全防护之后，通过系统安全定级及测评。

四、企业投入与回报

企业投入主要在最初的网络加固过程中的硬件采购、软件服务，及安全建设中等保咨询、测评服务，后期投入主要为每年的系统维护升级费用（主要为人工服务费）。

企业回报主要体现有：

首先，是遵守国家法律法规、避免企业安全责任的必要途径；

其次，是保证企业安全生产的必要措施，防止黑客破坏；

第三，在很大程度上为企业的网络安全提供支撑，为企业培养一批专业的网络安全技术人员。

目前主管的政府单位：网信办（中央网络安全和信息化委员会），以习近平书记为领导，负责协调和统筹国家网络安全和信息化发展。工信部（厅），按照网信办指导，引导行业工控网络安全产业发展及行业标准贯彻、实施。公安，执法单位，按照《网络安全法》规定，对企业进行执法检查，并依法作出处罚。由各地网安大队负责，负责协调、监督、检查、指导网络安全领域的相关问题。