国家标准计划《信息安全技术 工业控制网络安全隔离与信息交换系统安全技术要求》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准化管理委员会。

主要起草单位 公安部第三研究所 、北京匡恩网络科技有限责任公司 、珠海市鸿瑞软件技术有限公司 。

工业控制系统（Industrial Control System，ICS），是由各种自动化控制组件以及对实时数据进行采集、监测的过程控制组件，共同构成的确保工业基础设施自动化运行、过程控制与监控的业务流程管控系统。

其核心组件包括数据采集与监视控制（Supervisory Control And Data Acquisition，SCADA）系统、过程控制系统（Process Control System，PCS）、分布式控制系统（Distributed Control System，DCS）、可编程逻辑控制器（Programmable Logic Controller，PLC）、远程终端（Remote Terminal Unit，RTU）、智能电子设备（Intelligent Electronic Device，IED），以及确保各组件通信的接口技术。

过去十多年间，世界范围内的各类工业控制系统（DCS/PLC/PCS等）及SCADA系统广泛采用信息技术（Information Technology，IT），微软视窗操作系统Windows？, 以太网Ethernet？ 及传输控制协议/因特网互联协议（Transmission Control Protocol/Internet Protocol，TCP/IP），现场总线(Fieldbus)技术，用于过程控制的对象连接与嵌入（ Object Linking and Embedding，OLE；OLE for Process Control，OPC）等技术的应用使工业设备接口越来越开放，减弱了控制系统及SCADA系统等与外界的隔离。

但是，越来越多的案例表明，来自商业网络、因特网以及其它因素导致的网络安全问题正逐渐在控制系统及SCADA系统中扩散，直接影响了工业稳定生产及人身安全。

2003年1月，Slammer蠕虫病毒入侵大量工厂网络，直到防火墙将其截获，人们依然认为系统是安全的。

2005年8月13日美国佳士拿汽车工厂的控制系统通过维修人员的笔记本电脑感染病毒，虽然已安装了IT防火墙，病毒就在几秒钟之内从一个车间感染到另一个车间，从而最终导致停工。

2006年10月一部被感染的维修用的笔记本电脑,让黑客入侵访问了在美国宾夕法尼亚州的哈里斯堡水处理厂的计算机系统。

2007年，加拿大水利SCADA 系统，通过安装恶意软件破坏了用于取水调度的控制计算机。

2008年，波兰某城市的地铁系统，通过电视遥控器改变轨道扳道器，导致4 节车厢脱轨； 2010年10月，肆虐伊朗国内的“超级工厂病毒，Stuxnet蠕虫病毒”已经造成伊朗布什尔核电站推迟发电，并对伊朗国内工业造成大面积影响。

2011年，美国伊利诺伊州城市供水系统，黑客入侵SCADA系统，使得供水泵遭到破坏。

目前工业控制系统已广泛应用于我国电力、水利、石化、交通运输、制药以及大型制造行业，工控系统已是国家安全战略的重要组成部分，一旦工控系统中的数据信息及控制指令被攻击者窃取篡改破坏，将对工业生产和国家经济安全带来重大安全风险。

我国工控系统起步于上世纪50年代，相比于国外晚了近半个世纪，产业技术水平存在着一定的差距，目前工控系统复杂化、IT化和通用化的趋势在逐步增加而形成“管控一体化”趋势，使得工控系统与管理系统及互联网相连通，内部也越来越多地采用了通用软件、硬件和协议，使封闭的工控系统逐步暴露出来，直接面对来自外界的攻击威胁，因此如何将工控系统与管理系统进行安全防护已经破在眉捷，必须尽快建立安全标准以满足国家信息安全的战略需要。

在国际上，美国在2007年颁布的Chemical Facility Anti-Terrorism Standards (CFATS)标准（该标准由美国国土安全部颁布）以及2008年颁布的US Chemical Anti-Terrorism Act（美国化学反恐怖主义法）针对工业信息设备安全做了强制要求。

2011年10月27日，工信部下发《关于加强工业控制系统信息安全管理的通知》，强调了加强工业控制系统信息安全管理的重要性和紧迫性。

工控系统与管理系统具有很大区别，管理系统的信息安全通常都将保密性放在首位、完整性放在第二位、可用性则放在最后。

工控系统安全目标优先级顺序则恰好相反。

其首要考虑的是所有系统部件的可用性、完整性则在第二位、保密性通常都在最后考虑，这些需求体现如下： (1) 工控系统的可用性则直接影响到企业生产，生产线停机或者误动都可能导致巨大经济损失，甚至是人员生命危险和社会安全破坏。

(2) 工控系统的实时性要求很高，系统要求响应时间大多在毫秒级或更快等级，而通用管理系统能够接受秒级或或更慢的等级。

(3) 工控系统对持续稳定可靠运行指标要求很高，信息安全必须具备保证持续的可操作性及稳定的系统。

该标准主要规范工业控制网络安全隔离与信息交换系统的安全功能要求和安全保证要求。主要适用于该类产品的开发及检测。 (1) 安全环境 包括物理方面、人员方面和连通性方面。 (2) 安全功能要求 结构安全、工控协议支持、访问控制、标记、身份鉴别、客体重用、审计、密码支持、数据保护、运行状态监测等。 (3) 安全保证要求 配置管理，交付与运行，安全功能开发过程，指导性文档、生命周期支持、测试、脆弱性评定等。 (4) 产品分级 根据产品的功能强度及等级保护的要求，所能支持的范围等对上述要求进行分级——分为基本级和增强级。