來(lái)源：中國工業(yè)報

  近日爆發(fā)的“棱鏡門(mén)”事件，不僅為網(wǎng)絡(luò )信息安全敲響了警鐘，而且引發(fā)了工業(yè)控制系統信息安全的大討論。“一旦出現工業(yè)信息安全威脅，生產(chǎn)人員不知道‘敵人’何時(shí)入侵，也不知已潛伏的‘定時(shí)炸彈’何時(shí)爆發(fā)，一有風(fēng)吹草動(dòng)，不免風(fēng)聲鶴唳，草木皆兵，怎么叫人安心生產(chǎn)？”中國儀器儀表學(xué)會(huì )技術(shù)顧問(wèn)、教授級高級工程師夏德海不無(wú)憂(yōu)慮地說(shuō)。

  誠然，隨著(zhù)兩化融合的不斷深入，工業(yè)控制系統被廣泛應用于水處理、能源、電力、化工、交通運輸、金融等行業(yè)的關(guān)鍵基礎設施中，而且越來(lái)越多地采用通用協(xié)議、硬件和軟件，并與公共網(wǎng)絡(luò )進(jìn)行互連，因此，一旦工控系統受到攻擊，將會(huì )直接導致關(guān)鍵基礎設施癱瘓，甚至對國家的經(jīng)濟和社會(huì )釀成不可挽回的災難性后果。“關(guān)鍵基礎設施信息安全成為懸在各國政府頭上的達摩克利斯之劍，采取措施加強其信息安全保障能力勢在必行。”工業(yè)和信息化部賽迪智庫信息安全研究所馮偉說(shuō)。

  因此，如何確保工控系統的安全可控，已不僅僅是單個(gè)研究機構或企業(yè)要思考的問(wèn)題，更需要國家層面進(jìn)行戰略布局，產(chǎn)業(yè)界群策群力。為此，在近日召開(kāi)的工業(yè)控制系統安全發(fā)展高峰論壇上，來(lái)自學(xué)術(shù)界、政府智庫以及信息安全廠(chǎng)商的工控系統研究專(zhuān)家濟濟一堂，共同就如何防控工控系統病毒和木馬等問(wèn)題進(jìn)行了熱烈地討論和交流。

  建立信息安全等級保護制度

  當前，工業(yè)控制信息化、三網(wǎng)融合、物聯(lián)網(wǎng)、云計算在內的多種新型信息技術(shù)的發(fā)展與應用，不僅給我國工業(yè)控制系統信息安全保障工作提出了新任務(wù)，也對信息安全等級保護工作形成了全面挑戰。

  國家信息化專(zhuān)家咨詢(xún)委員會(huì )委員沈昌祥院士表示，在工業(yè)控制系統方面，2010年“震網(wǎng)”病毒事件破壞了伊朗核設施，震驚全球。這標志著(zhù)網(wǎng)絡(luò )攻擊從傳統“軟攻擊”階段升級為直接攻擊電力、金融、通信、核設施等核心要害系統的“硬摧毀”階段。應對高強度連續攻擊（APT）已成為確保國家關(guān)鍵基礎設施安全，保障國家安全、社會(huì )穩定、經(jīng)濟發(fā)展、人民生活安定的核心問(wèn)題。而傳統的封堵安全防護做法難以解決封閉實(shí)時(shí)處理的工業(yè)控制系統安全問(wèn)題。

  “因此，應該把工控系統的信息安全納入信息安全等級保護制度的框架中。”沈昌祥表示，信息安全等級保護作為我國信息安全保障的基本制度，需要從技術(shù)和管理兩個(gè)方面進(jìn)行安全建設，做到可信、可控、可管。并且，高安全信息系統要具有抵御來(lái)自敵對組織高強度連續攻擊（APT）的能力，以及防止內部人員內外勾結攻擊的能力。”

  在信息安全等級保護工作方面，我國已有相關(guān)文件出臺。2004年9月15日由公安部、國家保密局、國家密碼管理局和國信辦聯(lián)合下發(fā)《關(guān)于信息安全等級保護工作的實(shí)施意見(jiàn)》明確實(shí)施等級保護的基本做法。2007年6月22日又由四單位聯(lián)合下發(fā)《信息安全等級保護管理辦法》（43號文件），規范了信息安全等級保護的管理。

  總的來(lái)說(shuō)，我國信息安全等級保護工作要堅持正確的技術(shù)路線(xiàn)，從國情出發(fā)，按需適度安全，逐步發(fā)展完善。具體來(lái)講，沈昌祥認為要做到以下五點(diǎn)：第一，要加強定級對象信息系統整體防護，建設管理中心支持下的計算環(huán)境、區域邊界、通信網(wǎng)絡(luò )三重防護體系結構。第二，要重點(diǎn)做好操作人員使用的終端防護，把住攻擊發(fā)起的源頭關(guān)，做到操作使用安全。第三，防內為主，內外兼防，提高計算節點(diǎn)自身防護能力，減少從外部入口上的封堵。第四，加強技術(shù)平臺支持下的安全管理，應與業(yè)務(wù)處理、監控及日常安全管理制度相結合。第五，為便于技術(shù)方案實(shí)施，整改時(shí)不改或少改原有的應用系統，以信息處理流程制定安全策略，實(shí)施訪(fǎng)問(wèn)控制。