不出事就是好事，這也許是安全議題的一貫衡量標準。而艾默生過程管理公司全球石油石化業務負責人Larry先生對此的新近觀點讓人耳目一新。衡量工業信息安全的ROI(投入產出比)要從大處著眼。企業要實現的是生產、商業一體化，構建面向未來的物聯網、大數據的智能決策平臺，此愿景價值不可限量。作為實現這一目標必需的投資細節組成部分，工業信息安全投資量非常有限。

四、工控信息安全防護的未來之路

        從需要改革的角度看，工控信息安全發展主要有3個方向：

       1、從定制化向通用平臺的轉變。早期工業控制系統針對特定應用需求研發，各系統之間的軟硬件產品通用性差;反觀現有控制系統，其集成化程度越來越高，越來越多地采用通用的軟硬件產品(芯片、操作系統等)。

        2、純硬件向軟硬結合的轉變，這降低了攻擊工控系統的技術門檻。早期的工業控制系統主要依賴硬件實現，系統可擴展性差，現有控制系統在通用硬件計算平臺基礎上，大量采用軟件方式實現;網絡攻擊的實施在某種程度上也是在原有系統平臺上擴展實現新的功能，工業控制系統的可擴展性也決定了其攻擊實現的難易程度。

        3、單一設備控制向網絡互聯的轉變。早期的工業控制系統主要在單一、獨立的設備中實現，現在的工業控制系統則將大量設備互聯，工業控制系統甚至與互聯網相連，系統越來越復雜;同時網絡互聯使系統暴露更多的漏洞，為攻擊的實現提供了更多潛在的技術渠道，也為攻擊造成大規模破壞提供了條件。

        從發展趨勢來看，工控信息安全主要有以下三個方面：

       一是高穩定性要求帶來的系統技術陳舊。工業控制系統對系統的穩定性有很高的要求，一般情況下，一套系統建設完成之后，系統內的設備、平臺不會輕易地做更新換代，造成當下很多的共控制系統仍在采用Dos、WindowsXP等操作系統平臺;而對于已發現的安全漏洞若無法充分地驗證，評估補丁程序對控制系統穩定性的影響，企業也會更傾向于選擇不打補丁。不會像個人電腦一樣，下載補丁后立刻打上。在這種條件下，如何保障信息系統安全穩定運行，是個很有難度的事情。

        二是高實時性要求帶來的防護系統性能挑戰。互聯網中我們也很強調性能，但跟工業控制系統相比就是小巫見大巫了。工業控制系統對系統的實時響應要求是普通互聯網無法比擬的，因此也對各類防護系統提出了更高的性能要求。這造成一系列復雜的、智能化的分析、檢測算法都無法滿足工業控制系統的安全防護要求，限制了防護方法的應用。

       三是高可靠性要求帶來的檢測高準確性目標。工業控制系統同時具有高可靠性要求，這樣也要求防護系統的分析檢測結果要具有明確的確定性，從而造成當前基于模糊匹配、聚類分析等智能算法的入侵檢測、計算機免疫等各類模糊檢測方法無法應用。

結語：

        其實不管是工控企業還是傳統企業，隨著信息化的深入，企業或多或少會遇到信息安全的問題，而隨著數據價值的不斷的提高，這種影響對于企業來說也會越來越明顯。所以保護企業的核心數據安全是未來所有企業的大方向，而面對不同企業不同的防護需求，采用靈活企業具有針對性的加密軟件進行數據本源的防護或許是最好的選擇。