来源：中国工业报  2013-9-9

近日爆发的“棱镜门”事件，不仅为网络信息安全敲响了警钟，而且引发了工业控制系统信息安全的大讨论。“一旦出现工业信息安全威胁，生产人员不知道‘敌人’何时入侵，也不知已潜伏的‘定时炸弹’何时爆发，一有风吹草动，不免风声鹤唳，草木皆兵，怎么叫人安心生产?”中国仪器仪表学会技术顾问、教授级高级工程师夏德海不无忧虑地说。

诚然，随着两化融合的不断深入，工业控制系统被广泛应用于水处理、能源、电力、化工、交通运输、金融等行业的关键基础设施中，而且越来越多地采用通用协议、硬件和软件，并与公共网络进行互连，因此，一旦工控系统受到攻击，将会直接导致关键基础设施瘫痪，甚至对国家的经济和社会酿成不可挽回的灾难性后果。“关键基础设施信息安全成为悬在各国政府头上的达摩克利斯之剑，采取措施加强其信息安全保障能力势在必行。”工业和信息化部赛迪智库信息安全研究所冯伟说。

因此，如何确保工控系统的安全可控，已不仅仅是单个研究机构或企业要思考的问题，更需要国家层面进行战略布局，产业界群策群力。为此，在近日召开的工业控制系统安全发展高峰论坛上，来自学术界、政府智库以及信息安全厂商的工控系统研究专家济济一堂，共同就如何防控工控系统病毒和木马等问题进行了热烈地讨论和交流。

建立信息安全等级保护制度

当前，工业控制信息化、三网融合、物联网、云计算在内的多种新型信息技术的发展与应用，不仅给我国工业控制系统信息安全保障工作提出了新任务，也对信息安全等级保护工作形成了全面挑战。

国家信息化专家咨询委员会委员沈昌祥院士表示，在工业控制系统方面，2010年“震网”病毒事件破坏了伊朗核设施，震惊全球。这标志着网络攻击从传统“软攻击”阶段升级为直接攻击电力、金融、通信、核设施等核心要害系统的“硬摧毁”阶段。应对高强度连续攻击(APT)已成为确保国家关键基础设施安全，保障国家安全、社会稳定、经济发展、人民生活安定的核心问题。而传统的封堵安全防护做法难以解决封闭实时处理的工业控制系统安全问题。

“因此，应该把工控系统的信息安全纳入信息安全等级保护制度的框架中。”沈昌祥表示，信息安全等级保护作为我国信息安全保障的基本制度，需要从技术和管理两个方面进行安全建设，做到可信、可控、可管。并且，高安全信息系统要具有抵御来自敌对组织高强度连续攻击(APT)的能力，以及防止内部人员内外勾结攻击的能力。”

在信息安全等级保护工作方面，我国已有相关文件出台。2004年9月15日由公安部、国家保密局、国家密码管理局和国信办联合下发《关于信息安全等级保护工作的实施意见》明确实施等级保护的基本做法。2007年6月22日又由四单位联合下发《信息安全等级保护管理办法》(43号文件)，规范了信息安全等级保护的管理。