近年来，针对工业控制系统的安全事件呈现上升趋势，这些安全事件主要集中在能源、交通、水利、制造业等关键领域，给我国关键信息基础设施造成不同程度的经济损失，危害社会利益，甚至影响国家安全。本文首先对关键信息基础设施面临的安全风险进行描述，分析现有安全防护措施对抗风险的能力，然后对国内外关键信息基础设施的网络安全防护要求进行简要分析，最后从风险管控角度提出关键信息基础设施安全防护的建设思路，以及一套以风险管控为核心的工业信息安全防护体系框架，为进一步提升国家关键信息基础设施的网络安全防护水平提供参考。