《中华人民共和国网络安全法》第二十一条明确规定：“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改。”

《关键信息基础设施安全保护条例》第四条明确指出“强化和落实关键信息基础设施运营者（以下简称运营者）主体责任”。第六条明确规定：“运营者依照本条例和有关法律、行政法规的规定以及国家标准的强制性要求，在网络安全等级保护的基础上，采取技术保护措施和其他必要措施，应对网络安全事件，防范网络攻击和违法犯罪活动，保障关键信息基础设施安全稳定运行，维护数据的完整性、保密性和可用性。”

GB∕T 22239-2019等等保2.0系列国家标准在对网络安全通用要求的基础上，对工业控制系统提出了安全扩展要求。

工控系统网络安全防护不单单是为了解决外部攻击带来的安全风险，同样也需要面对从内部网络发起的网络攻击或网络安全事件，如移动介质滥用导致的主机中病毒、员工无操作导致的系统崩溃或数据丢失、网线私接乱搭导致的网络互通以及无线WIFI滥用及弱密码现象等网络安全风险。

2010年的震网病毒事件就表明，内网环境并不能保障工控系统网络的安全。

工控系统网络安全与信息网络安全不同，仅通过边界防护无法真正保证工控系统网络安全。

由于工控系统运行的实时性、不可中断性，导致了工控系统没有办法像传统的IT网络那样，在发生网络安全事件时对网络设备设施进行隔离、断网等操作以避免安全事件扩大化，尤其是工控系统的过程控制系统，不能因任何原因异常停机以避免造成严重的财产损失甚至人员生命安全遭到威胁。因此针对工业控制系统的网络安全应在完善的边界隔离基础上，实现网络纵深防防护能力体系构建，尤其是针对工控系统核心的生产控制器的防护与监测，确保及时发生了网络安全事件影响到了生产管理层或过程监控层，过程控制层的生产依然能够得到安全保障。

等保根据遭受攻击对客体的侵害程度进行定级，一级到四级，等保是最低要求是底线，等保的建设还需要考虑生产需求这个关键因素，如何建设才能提高管理的能效降低管理的难度，所以说等级保护+生产需求就是我们工控安全的建设目标。

工控网络安全建设思路是根据业主实际情况、预算情况，采用整体规划、分步实施、逐步落实的思路进行管控网络安全建设。

侧重点不同，审计系统主要用于记录工控操作，检测工控操作的合规性；入侵检测系统主要检测扫描探测攻击、木马病毒攻击等攻击事件检测；

部署位置不同，审计系统一般部署在监控层，采集监控层与控制层的流量，记录工控操作，分析操作合规性；入侵检测可部署在监控层，也可部署在管理层，用于监控网络中是否有探测攻击，是否有病毒攻击，保障网络的安全。

工控运维审计系统侧重运维管理和审计，工控运维审计系统针对运维人员，通过身份认证和权限控制技术手段确定谁能访问、访问什么，在运维过程中通过权限分配，限制运维人员能做什么，通过记录运维人员做了什么进行过程审计。

首先，传统防火墙缺乏工控防护能力，针对工控指令级的攻击无法准确识别和拦截。

其次，传统防火墙也不具备工控属性。信息安全保护有三个属性，即秘密性、完整性和可用性，传统IT的信息安全首先要保证的是秘密性，然后是完整性、可用性，而工控信息安全首先要保证的是可用性，然后是完整性、秘密性，这就要求工业防火墙在出现故障或异常断电的情况下要能够直通，保证网络通畅保证系统的可用性，传统防火墙正好相反，出现问题首先要保证秘密性，也就是断开，所以传统和工控的设计理念是不一致的。

再则，工业防火墙需满足在工业恶劣环境下使用的要求，具备良好的防尘、散热、抗振、EMC性能，有较高的系统可靠性高和环境适用性。