国家标准计划《信息安全技术 工业控制系统网络审计产品安全技术要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 珠海市鸿瑞软件技术有限公司 、公安部第三研究所 、北京和利时系统工程有限公司 。

目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

随着计算机和网络技术的发展，特别是信息化与工业化深度融合，逐步形成了管理与控制的一体化，导致生产控制系统不再是一个独立运行的系统，其接入的范围不仅扩展到了企业网甚至互联网，从而面临着来自互联网的威胁。

同时，随着工控系统产品越来越多地采用通用协议、通用硬件和通用软件，病毒、木马等威胁正在向工控系统扩散，工控系统信息安全问题日益突出因此如何将工控系统与管理系统进行安全防护已经破在眉捷，必须尽快建立安全标准以满足国家信息安全的战略需要。

工控系统中的国外引进设备，其核心芯片和系统内核逻辑编程都掌握在他人之手，无法保证我们的有效监控，更为严重的是存在国外情报机构有意埋伏安全陷阱的可能，一旦出现国家利益冲突时，工控系统的信息安全则完全受制于人。

因此在网络安全成为国防热点，国家安全意识日益提高，国产工控信息安全产品将发挥其在国家安全策略方面的重要作用。

工控系统与传统信息系统具有很大区别，传统信息系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。

工控系统安全目标优先级顺序则恰好相反，其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑。

鉴于以上情况，采用传统的网络异常行为审计系统难以满足相关要求，因此有必要制定针对工控系统的网络异常行为审计系统标准，其总体目标是对工控系统中具有恶意未知行为和异常行为的发现与检测，以及对工控网络进行内容监测、事件与行为的审计等功能，并能适用于不同的工业控制网络应用场景。

因此，工控网络异常行为审计系统标准的制订能很好的解决当前工控系统的信息安全需求，为工控系统全方位多层次的安全防护提供了有力的技术支撑，可以进一步补充和完善我国工业控制领域信息安全标准体系，对提高我国工控系统信息安全防护强度具有十分重要的意义。

工业控制系统审计产品的应用范围如下： 应用于工控系统网络异常行为的审计管理，应用范围包涵核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利枢纽、城市设施及相关重要领域工控系统。 工业控制系统审计产品的技术内容主要有： (1) 支持工业控制网络流量信息包含工控系统通信协议OPC、Modbus TCP、DNP3.0等协议的监控审计； (2) 支持实时工业控制协议与内容识别、威胁识别，为异常行为安全审计提供可靠依据； (3) 支持有效发现、定位非授权或攻击信息的源头，为工控系统的信息安全防护提供信息支撑和决策支持； (4) 支持与各个监控点的审计策略进行统一管理，对审计策略做的任何更新维护操作都将直接下发到各个监控点。可对监控端进行单独管理，定制、添加和管理规则策略； (5) 支持生成详细的工控网络信息日志和系统运行日志，方便对整个系统的监控情况和每段时间运行状况查看，保证对整个系统的管理、维护。