“棱镜泄密门”再次挑动了公众的神经，其实，网络安全已不是第一次被提及。同时，从侧面证明了安全不是用钱就能买到的。我国工业化和信息化的深度融合以及物联网的快速发展，工控系统获得了前所未有的飞速发展，工控安全也就成为重要关注方向。
　　
　　随着信息技术的快速发展，新技术新应用层出不穷，云计算、移动互联网、大数据、卫星互联网等领域的新技术新应用带来了新的信息安全问题。鹏宇成安全专家介绍到：首先，云计算本身的安全隐患一直为人所诟病，在广泛应用过程中也经常成为黑客攻击的重要对象；其次，移动互联网得到快速发展，用户数量大大增加，移动设备办公也在企业中广泛应用，而上半年移动领域的安全威胁大幅增长；再次，大数据技术的广泛应用，在给信息安全防护提供了新的支撑的同时，也给我国国家信息安全带来新的挑战。
　　
　　基于大数据技术，一些跨国企业便可以通过在我国收集的大量商业数据分析出涉及国计民生的基础数据，这严重影响到我国经济安全；最后，卫星通信技术在互联网领域的推广应用，将严重影响我国对互联网的有效监管，造成网络舆论的失控，严重影响我国的社会稳定。下半年，云计算、物联网等新技术将继续在信息技术领域得到广泛应用，其带来的安全风险将继续对我国信息安全防御体系建设产生影响。
　　
　　“棱镜泄密门”再次挑动了公众的神经，其实，网络安全已不是第一次被提及。据中国国家互联网应急中心报告显示，仅2012年，有7.3万个境外IP地址参与了控制中国境内1400余万台主机的网络攻击事件；有3.2万个境外IP地址通过植入后门参与了对中国境内近3.8万个网站的远程控制事件。全球有多个国家已将防范APT攻击定位为国家安全防御战略的重要环节，其重要程度已超越恐怖主义被提升为第一位的国家安全威胁。波及全球的棱镜门安全事件为网络世界敲响了安全警钟，这也从侧面证明了安全不是用钱就能买到的。
　　
　　我国互联网持续快速发展，融入到经济社会的方方面面，成为推动国民经济和社会发展、改变人民群众生活方式的关键行业和重要领域，同时我国网络安全的现状不容乐观。一是在公共互联网环境方面，黑客攻击的趋利性特征日益明显，不法分子以通信网络、信息系统以及用户信息和财产为目标，利用黑客技术发起网络攻击牟取非法利益，逐步形成组织严密、分工明确的互联网地下产业。二是移动互联网、物联网、云计算、微博客等新技术新业务不断涌现，在带来新的经济增长点的同时，也带来更加复杂的网络安全问题。三是随着信息技术在铁路、银行、电力等重要行业的广泛应用，以及核设施、航空航天、先进制造等重要领域工业化与信息化深度融合，这些行业或领域的系统数据和运行安全也面临着严重威胁。
　　
　　当前，国内对网络安全的担忧主要基于三个方面考虑：首先是网民数量的庞大。权威统计显示，截至2012年底，我国网民规模达到5.64亿，互联网普及率为42.1%。其次是目前互联网产业正从PC互联网逐步转向移动互联网，带来一系列新的安全监管问题。数据显示，我国目前移动互联网用户数量为4.2亿，年增长率达18.1%，远超网民整体增幅。最后是一系列焦点事件的持续发酵。近年来，包括银行、电商网站频频出现用户信息泄露事件，引发业内高度关注，而美国的棱镜门事件更是将网络信息安全问题提升到国家层面。
　　
　　据测算，2012年年底，我国网络安全市场规模超过166亿元，连续三年市场同比增幅超过20%。照此推算，2013年全年网络安全市场总规模将达200亿元左右。
　　
　　当前，我国工业化和信息化的深度融合以及物联网的快速发展，工控系统获得了前所未有的飞速发展。与此同时，工控系统面临的安全威胁也越来越严峻。建立全面的信息安全保障体系，减少工控系统面临的内外部的威胁，为推动两化深度融合、工业转型升级提供支持，是当前信息安全领域面临的重大挑战。
　　
　　现阶段我国工控系统的安全形势非常严峻。调查发现，约80%的企业从来不对工控系统进行升级和漏洞修补，有52%的工控系统与企业的管理系统、内网甚至互联网连接；此外，一些存在漏洞的国外工控产品依然在国内的某些重要装置上使用。更为严重的问题还在于，我们对于发现风险源头缺乏手段，对控制风险的技术与方法缺乏必要的研究。
　　
　　工控系统信息安全成为新的关注点主要有两个方面的原因：一方面，过去的工业控制系统是使用专业的系统、专业的队伍、专业的设备，只有小范围人群了解和掌握。随着计算机技术的发展，很多专业的系统实现了通用化，现在的工控系统开始在通用技术的基础上做专业的系统设计，如操作系统、数据库软件、通讯协议等计算机通用产品和协议，这样一来，存在于计算机信息系统中的漏洞被带到了工控系统里。另一方面，长期以来工控系统并没有因为信息安全问题发生大的事故，人们普遍存在“病毒很少能对工业控制系统造成危害”的意识。但是，伊朗的“震网”事件，给了全世界一个警示，计算机病毒不仅可以感染到工控系统，而且可以对控制对象进行物质破坏。
　　
　　关键基础设施信息安全事关国家安全，为有效应对网络攻击的新变化，提升我国关键基础设施安全防护能力，应从以下几方面着手：
　　
　　抓紧建立关键基础设施信息安全法律体系。我国虽已建立重要信息系统等级保护制度，但还缺乏体系化的关键基础设施信息安全立法。建议充分借鉴国外关键基础设施网络安全保护相关法律，分析我国现有立法的不足和主要问题，抓紧建立我国关键基础设施信息安全法律体系，从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者和所有者的运营资质要求。
　　
　　尽快建立关键基础设施风险信息共享机制。关键基础设施网络安全涉及部门多，影响范围广，共享网络威胁信息有助于更好地应对网络攻击。建议借鉴美国、欧盟等的先进经验，充分了解关键基础设施设备提供商、运营单位、政府部门、信息安全承包商、专家队伍、公众等各方对信息共享的需求，尽快建立有效的关键基础设施风险信息共享机制，明确信息共享的条件，确定信息共享步骤，建立信息共享公共服务平台。
　　
　　抓紧制定关键基础设施网络安全风险分级规范。关键基础设施数量众多，其重要性和潜在的破坏力也不尽相同，有必要划分关键基础设施信息安全风险等级并对其进行分级管理。建议抓紧制定关键基础设施网络安全风险分级规范，根据关键基础设施的重要性、不可替代性、一旦出现问题之后的影响范围，以及网络攻击的可能性等因素，提出界定关键基础设施信息安全风险等级的量化标准，分级别制定管理要求。
　　
　　加快推动关键基础设施相关产品的国产化替代。当前我国关键基础设施中信息技术产品高度依赖进口，存在极大信息安全隐患。建议加强高端通用芯片、操作系统等基础技术攻关，支持国内企业基于国产芯片研发信息技术装备、大型数据采集与监控系统（SCADA）等控制设备和系统，加快国产技术产品的应用推广，逐步实现对国外产品的替代。
　　
　　督促关键基础设施运营单位加强管理。主要包括：断开与公共网络之间的所有不必要连接，对确实需要的连接，采取必要的防护措施，并定期进行风险评估；严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机；建立控制服务器等工业控制系统关键设备安全配置和审计制度，严格账户和口令管理，定期对账户、口令、端口、服务等进行检查等措施。