現階段我國工控系統的安全形勢非常嚴峻。調查發現，約80%的企業從來不對工控系統進行升級和漏洞修補，有52%的工控系統與企業的管理系統、內網甚至互聯網連接;此外，一些存在漏洞的國外工控產品依然在國內的某些重要裝置上使用。更為嚴重的問題還在于，我們對于發現風險源頭缺乏手段，對控制風險的技術與方法缺乏必要的研究。

        工控系統信息安全成為新的關注點主要有兩個方面的原因：一方面，過去的工業控制系統是使用專業的系統、專業的隊伍、專業的設備，只有小范圍人群了解和掌握。隨著計算機技術的發展，很多專業的系統實現了通用化，現在的工控系統開始在通用技術的基礎上做專業的系統設計，如操作系統、數據庫軟件、通訊協議等計算機通用產品和協議，這樣一來，存在于計算機信息系統中的漏洞被帶到了工控系統里。另一方面，長期以來工控系統并沒有因為信息安全問題發生大的事故，人們普遍存在“病毒很少能對工業控制系統造成危害”的意識。但是，伊朗的“震網”事件，給了全世界一個警示，計算機病毒不僅可以感染到工控系統，而且可以對控制對象進行物質破壞。

        關鍵基礎設施信息安全事關國家安全，為有效應對網絡攻擊的新變化，提升我國關鍵基礎設施安全防護能力，應從以下幾方面著手：

         抓緊建立關鍵基礎設施信息安全法律體系。我國雖已建立重要信息系統等級保護制度，但還缺乏體系化的關鍵基礎設施信息安全立法。建議充分借鑒國外關鍵基礎設施網絡安全保護相關法律，分析我國現有立法的不足和主要問題，抓緊建立我國關鍵基礎設施信息安全法律體系,從法律層面明確關鍵基礎設施的定義和范圍、界定政府部門的職責、規范運營者和所有者的運營資質要求。

         盡快建立關鍵基礎設施風險信息共享機制。關鍵基礎設施網絡安全涉及部門多，影響范圍廣，共享網絡威脅信息有助于更好地應對網絡攻擊。建議借鑒美國、歐盟等的先進經驗，充分了解關鍵基礎設施設備提供商、運營單位、政府部門、信息安全承包商、專家隊伍、公眾等各方對信息共享的需求，盡快建立有效的關鍵基礎設施風險信息共享機制，明確信息共享的條件，確定信息共享步驟，建立信息共享公共服務平臺。

        抓緊制定關鍵基礎設施網絡安全風險分級規范。關鍵基礎設施數量眾多，其重要性和潛在的破壞力也不盡相同，有必要劃分關鍵基礎設施信息安全風險等級并對其進行分級管理。建議抓緊制定關鍵基礎設施網絡安全風險分級規范，根據關鍵基礎設施的重要性、不可替代性、一旦出現問題之后的影響范圍，以及網絡攻擊的可能性等因素，提出界定關鍵基礎設施信息安全風險等級的量化標準，分級別制定管理要求。

        加快推動關鍵基礎設施相關產品的國產化替代。當前我國關鍵基礎設施中信息技術產品高度依賴進口，存在極大信息安全隱患。建議加強高端通用芯片、操作系統等基礎技術攻關，支持國內企業基于國產芯片研發信息技術裝備、大型數據采集與監控系統(SCADA)等控制設備和系統，加快國產技術產品的應用推廣，逐步實現對國外產品的替代。

         督促關鍵基礎設施運營單位加強管理。主要包括：斷開與公共網絡之間的所有不必要連接，對確實需要的連接，采取必要的防護措施，并定期進行風險評估;嚴格控制在工業控制系統和公共網絡之間交叉使用移動存儲介質以及便攜式計算機;建立控制服務器等工業控制系統關鍵設備安全配置和審計制度，嚴格賬戶和口令管理，定期對賬戶、口令、端口、服務等進行檢查等措施。