棱鏡門事件后，信息安全一再觸動國家信息安全的敏感神經。而作為國家關鍵基礎設施的神經中樞，工業控制系統的信息安全問題被一波又一波的黑客攻擊事件推到一個新的高度。今年2月，美國國家標準和技術研究院（NIST）發布了《增強關鍵基礎設施網絡安全的框架規范》（以下簡稱《規范》）第1版。這是棱鏡門事件后美國政府首次對國家關鍵基礎設施提出安全標準，也是奧巴馬政府2013年啟動保護關鍵基礎設施信息安全戰略以來的第一個基礎性框架文件。

《規范》以業務驅動指導網絡安全行動，將網絡安全風險納入到企業風險管理程序當中。《規范》核心包括識別、保護、檢測、響應和恢復五項功能，提供全生命周期的網絡安全風險管理戰略。

在實施層，《規范》將網絡安全風險管理能力分為部分實施、風險告知、可重復和自適應四個級別。在內容安排上，《規范》按照功能、類和子類的順序展開，并為每個子類提供了與之對應的標準、指南和最佳實踐等資料性參考文獻。

《規范》索引了6部標準、指南和實踐，其中，與工控信息安全直接相關的有兩部，分別是ANSI/ISA-62443-2-1（99.02.01）-2009《工業自動化和控制系統安全：建立工業自動化和控制系統安全計劃》和ANSI/ISA-62443-3-3（99.03.03）-2013《工業自動化和控制系統安全：系統安全要求和安全等級》。

近年來，美國ICS-CERT接到的工控系統漏洞上報數量持續增加，從2010年的41個上升到了2013年的181個。其中，2013年181個漏洞報告中有177個被確認為是真實的工控系統漏洞，87%的漏洞可通過網絡遠程被操作利用。

《規范》的發布無疑代表了關鍵基礎設施網絡安全特別是工控系統安全標準的走向。特別是信息化與工業化深度融合，物聯網與云計算產業的蓬勃發展，工業控制系統產品越來越多地采用通用協議、通用硬件和通用軟件，并以各種方式與互聯網等公共網絡連接。《規范》亦是針對這一趨勢制定了統一的、涵蓋傳統信息系統與工控系統的網絡安全標準。

工業互聯時代已到來，但因各國調整信息安全戰略導致的全球性“貿易技術壁壘”卻難以回避。中國正在加速研發制造自主可控的工控信息安全國產替代產品。目前，青島海天煒業、北京東土科技、深圳三旺通信、中科網威、上海三零衛士、匡恩網絡等工業控制系統供應商與通信安全設備提供商在為用戶提供各具特色的工控信息安全產品及解決方案。

據gongkong市場研究部研究分析，從2008年到2013年，中國信息安全相關市場規模增長率一直維持在18%以上，2013年約為194億元。相比之下，工業控制系統信息安全市場正處于導入期，當前市場規模不到2億元。從行業應用角度分析，油氣、石化、化工、電力、冶金、煙草為工業控制系統信息安全的核心應用行業，其它行業規模相對較小。工業控制系統信息安全涉及的硬件、軟件、安全服務三大類市場中，大部分細分市場的相關信息安全服務還處于空白階段，未來有很大發展空間和廣闊前景。（GK-zly）