PLC網絡設備安全認證：已從“可選項”變?yōu)椤笆袌鰷嗜腴T檻”！

#政策解讀 ·2026-03-18 16:56:49

近日，CCRC網數(shù)中心首次向PLC設備頒發(fā)了，《網絡關鍵設備和網絡安全專用產品安全認證證書》。這不是一張簡單的證書，而是一次“定規(guī)則”的動作——工控核心設備被正式納入強制安全認證體系，意味著行業(yè)運行邏輯正在發(fā)生變化。

首先，PLC長期處在一個“被依賴卻被忽視”的位置。它是工業(yè)控制系統(tǒng)的核心控制單元，卻在很長一段時間里游離在安全體系之外。過去強調的是穩(wěn)定運行，默認安全問題可以通過外圍防護解決，但隨著工業(yè)系統(tǒng)加速聯(lián)網，邊界逐漸模糊，PLC從“內部設備”正在變成“潛在攻擊入口”，安全問題已不再局限于局部故障，而是可能放大為系統(tǒng)性風險。

在這樣的背景下，將PLC納入“網絡關鍵設備”，本質上是在補一塊長期缺失的制度拼圖。

但更值得關注的是，這次變化直接指向“準入機制”。依據(jù)現(xiàn)行法律及相關國家標準，網絡關鍵設備必須通過安全認證或檢測后方可銷售使用，這一點被進一步落地到PLC領域后，帶來的不是“建議”，而是“約束”。換句話說，從這一刻起，PLC安全不再取決于企業(yè)是否重視，而取決于是否合規(guī)。

如果把視角拉回到招投標市場，這種變化幾乎是立竿見影的。過去在多數(shù)項目中，工控安全往往是“寫得好有加分，寫不好也不致命”，屬于策略性投入。而現(xiàn)在越來越多項目開始把認證要求前置到資格條件中，這意味著沒有相關能力，連參與競爭的機會都不存在，規(guī)則一旦前置，競爭的起點就會被重新劃定。

這種變化在一線感受得尤為明顯，去年參與某能源項目時，客戶對工控安全的要求還停留在原則層面，更多依賴方案完整性和廠商經驗，當時我們在方案中增加了PLC安全加固與檢測設計，確實獲得了一定認可，但并非決定性因素。而最近與同類客戶溝通時，對方已經不再討論“要不要做”，而是直接要求“如何滿足標準、是否具備認證能力”，關注點從方案層面轉向資質層面，這種轉變沒有任何緩沖，幾乎是一步到位。

這不是單個設備的變化，而是采購邏輯的重塑。以往項目評審中，安全能力存在較大解釋空間，專家判斷和企業(yè)表達占據(jù)較高權重，而認證體系的引入，本質上是在壓縮這種彈性，用標準化結果替代主觀評估。結果是投標文件中的“描述能力”權重下降，“可驗證能力”權重上升，這對企業(yè)的影響遠比表面看起來更深。

也正是在這里，行業(yè)開始出現(xiàn)分化。一部分企業(yè)會感受到明顯的壓力，尤其是此前缺乏工控安全積累、依賴集成能力參與項目的廠商，很容易在新規(guī)則下失去抓手；而另一部分長期深耕工控安全、具備產品或檢測能力的企業(yè)，則會在規(guī)則明確后獲得更穩(wěn)定的競爭優(yōu)勢。

再把視野放寬一點，PLC只是起點，而不是終點。從監(jiān)管路徑來看，這類認證具有典型的擴散特征。

先從核心設備切入，再逐步覆蓋整個工業(yè)控制體系。可以預見，DCS、SCADA、工業(yè)網關乃至各類智能終端，都會在未來被納入類似框架之中。與其說這是單一政策動作，不如說是工控安全體系的一次系統(tǒng)性鋪開。

由此帶來的另一個變化，是客戶認知的轉移。過去很多甲方把安全理解為“邊界防護”，重點放在防火墻、隔離設備等外圍措施上，而隨著認證體系的推進，設備自身安全開始被重視，安全不再只是“擋在外面”，而是“長在內部”。這種認知變化會反向影響招標文件設計，使認證要求逐步成為標準配置，而非特殊條款。

從更深層來看，這一變化正在推動安全能力向“內生化”轉移。設備廠商需要在產品層面具備安全設計能力，而不是依賴后期加固；集成商需要在架構階段考慮安全，而不是在交付前補齊；網安公司則需要從“提供方案”轉向“參與能力構建”。

歸根結底，這張證書的意義不在于“誰拿到了第一張”，而在于它劃定了一條新的分界線。