国标《工业控制系统网络安全防护能力成熟度模型》拟出台

随着工业4.0和智能制造的快速发展，工业控制系统与IT系统的深度融合催生了新的安全风险。近年来，针对工控系统的网络攻击事件频发，如乌克兰电网攻击事件、伊朗百余艘油轮通信被切断、美国油气管道感染勒索病毒等，凸显了工控安全防护的紧迫性。我国作为工业大国，关键信息基础设施的安全稳定运行直接关系到国家经济命脉和公共安全。

在此背景下，全国网络安全标准化技术委员会近日发布《网络安全技术 工业控制系统网络安全防护能力成熟度模型》（征求意见稿），旨在建立一套科学、系统的工控安全防护能力评估体系。该标准将代替2022年实施的 GB/T 41400-2022《信息安全技术 工业控制系统信息安全防护能力成熟度模型》，以重点填补工业互联网时代的安全缺口。

从政策衔接来看，标准与我国现行法规体系高度协同：

标准要求工控系统运营者建立全生命周期安全管理体系，覆盖数据分类分级、访问控制、日志留存等关键环节，直接响应法律对关键信息基础设施的保护要求。例如，《网络安全法》要求日志留存不少于六个月，该标准在“规范防护级”中明确要求部署日志审计系统，实现日志集中管理和分析。

标准提出的“核心保护对象安全”和“通用安全”两大能力建设过程，对应条例中对关键信息基础设施识别、防护、监测、应急的全流程管理要求。例如，在“集成管控级”中，要求通过工业防火墙、入侵检测系统实现网络边界安全防护，与条例中“实施分区分域管理”的规定一致。

标准是《工业控制系统网络安全防护指南》（工信部网安〔2024〕14号）有关要求的具体贯彻落实，将其要求细化为41个过程域（PA），实现政策的技术性落地。同时，标准参考了国际标准IEC 62443中工业控制系统典型分层架构模型，与国际工控安全最佳实践接轨。

标准采用安全能力要素 + 能力成熟度等级 + 能力建设过程 的三重维度框架，从技术、管理、运营等层面提出具体要求：

工业控制系统网络安全防护能力成熟度模型架构图

• 机构建设：工业控制系统网络安全机构的设立、职责分配和沟通协作；

• 制度流程：组织在工业控制系统网络安全领域的制度和流程执行；

• 技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作；

• 人员能力：执行工业控制系统网络安全防护工作的人员的安全意识及相关专业能力。

工业控制系统网络安全防护能力成熟度等级

重点解决“有没有”的问题，要求完成资产梳理、基线配置等基础工作，能力建设主要基于特定业务场景，多依赖人员主观经验，尚未形成可复制的安全防护能力；

重点达成“规范化”管理，要求通过技术工具落实安全策略，制定规范化安全防护制度，能够针对工业控制设备、工业主机、工业网络、工业平台、工业数据等方面形成独立、可复制的安全防护能力；

重点实现“体系化”防护，要求通过集成化工具、系统等，对相对独立的单点防护设备进行集中统一管控，同时整合相关防护制度，实现组织内部工业控制系统网络安全的集中管理、统一控制的安全防护能力；

重点形成“协同化”防御，要求跨产线、跨厂区、跨产业链上下游建立多级协同的安全管理体系，并通过态势感知、统一管控等技术手段实现综合决策、协调防护的安全能力；

重点建立“智能化”体系，要求通过AI等技术与已有安全防护设备、系统、制度体系深度融合，构建可智能化演进的安全防护系统，形成具有自决策、自进化能力的安全防护体系。

将工业控制系统网络安全防护分解为6类核心保护对象安全与5类通用安全，形成11类、共41个过程域（PA）的完整体系。

工业控制系统网络安全防护PA体系

其设计遵循从对象防护到全局加固的逻辑，既聚焦关键设施防护，又建立系统性防御生态。核心保护对象安全精准锚定工控关键靶点，覆盖工业控制系统的实体与数据要素；而通用安全构建纵深防御体系，为保护对象提供跨域安全支撑。

工业组织对工业控制系统网络安全防护能力成熟度模型的使用应“因地制宜”。

能力成熟度模型使用步骤

首先应立足业务的实际情况，结合业务规模（如中小离散制造与大型流程工业的差异）、业务对工业控制系统的依赖性（如DCS系统保障生产连续性需更高等级），以及组织对工业控制系统网络安全防护工作的定位，确定目标能力成熟度等级。

然后依据核心保护对象所覆盖的业务场景，筛选适用的过程域（PA），如无远程运维场景可剔除PA10（远程访问安全），未部署云平台则可不纳入PA12（工业平台安全），确保资源精准投放至业务真实风险点。

同时在实施过程中，基于对标准模型的理解，识别当前防护能力与目标等级的差距，制定分阶段改进计划，以逐步提升工业控制系统网络安全防护能力。这种按需匹配且动态进化的实施逻辑，使组织在业务持续发展中始终保持安全能力与风险态势的精准匹配。