來(lái)源:中國(guó)工業(yè)報(bào) 2013-9-9
近日爆發(fā)的“棱鏡門”事件,不僅為網(wǎng)絡(luò)信息安全敲響了警鐘,而且引發(fā)了工業(yè)控制系統(tǒng)信息安全的大討論。“一旦出現(xiàn)工業(yè)信息安全威脅,生產(chǎn)人員不知道‘敵人’何時(shí)入侵,也不知已潛伏的‘定時(shí)炸彈’何時(shí)爆發(fā),一有風(fēng)吹草動(dòng),不免風(fēng)聲鶴唳,草木皆兵,怎么叫人安心生產(chǎn)?”中國(guó)儀器儀表學(xué)會(huì)技術(shù)顧問、教授級(jí)高級(jí)工程師夏德海不無(wú)憂慮地說(shuō)。
誠(chéng)然,隨著兩化融合的不斷深入,工業(yè)控制系統(tǒng)被廣泛應(yīng)用于水處理、能源、電力、化工、交通運(yùn)輸、金融等行業(yè)的關(guān)鍵基礎(chǔ)設(shè)施中,而且越來(lái)越多地采用通用協(xié)議、硬件和軟件,并與公共網(wǎng)絡(luò)進(jìn)行互連,因此,一旦工控系統(tǒng)受到攻擊,將會(huì)直接導(dǎo)致關(guān)鍵基礎(chǔ)設(shè)施癱瘓,甚至對(duì)國(guó)家的經(jīng)濟(jì)和社會(huì)釀成不可挽回的災(zāi)難性后果。“關(guān)鍵基礎(chǔ)設(shè)施信息安全成為懸在各國(guó)政府頭上的達(dá)摩克利斯之劍,采取措施加強(qiáng)其信息安全保障能力勢(shì)在必行。”工業(yè)和信息化部賽迪智庫(kù)信息安全研究所馮偉說(shuō)。
因此,如何確保工控系統(tǒng)的安全可控,已不僅僅是單個(gè)研究機(jī)構(gòu)或企業(yè)要思考的問題,更需要國(guó)家層面進(jìn)行戰(zhàn)略布局,產(chǎn)業(yè)界群策群力。為此,在近日召開的工業(yè)控制系統(tǒng)安全發(fā)展高峰論壇上,來(lái)自學(xué)術(shù)界、政府智庫(kù)以及信息安全廠商的工控系統(tǒng)研究專家濟(jì)濟(jì)一堂,共同就如何防控工控系統(tǒng)病毒和木馬等問題進(jìn)行了熱烈地討論和交流。
建立信息安全等級(jí)保護(hù)制度
當(dāng)前,工業(yè)控制信息化、三網(wǎng)融合、物聯(lián)網(wǎng)、云計(jì)算在內(nèi)的多種新型信息技術(shù)的發(fā)展與應(yīng)用,不僅給我國(guó)工業(yè)控制系統(tǒng)信息安全保障工作提出了新任務(wù),也對(duì)信息安全等級(jí)保護(hù)工作形成了全面挑戰(zhàn)。
國(guó)家信息化專家咨詢委員會(huì)委員沈昌祥院士表示,在工業(yè)控制系統(tǒng)方面,2010年“震網(wǎng)”病毒事件破壞了伊朗核設(shè)施,震驚全球。這標(biāo)志著網(wǎng)絡(luò)攻擊從傳統(tǒng)“軟攻擊”階段升級(jí)為直接攻擊電力、金融、通信、核設(shè)施等核心要害系統(tǒng)的“硬摧毀”階段。應(yīng)對(duì)高強(qiáng)度連續(xù)攻擊(APT)已成為確保國(guó)家關(guān)鍵基礎(chǔ)設(shè)施安全,保障國(guó)家安全、社會(huì)穩(wěn)定、經(jīng)濟(jì)發(fā)展、人民生活安定的核心問題。而傳統(tǒng)的封堵安全防護(hù)做法難以解決封閉實(shí)時(shí)處理的工業(yè)控制系統(tǒng)安全問題。
“因此,應(yīng)該把工控系統(tǒng)的信息安全納入信息安全等級(jí)保護(hù)制度的框架中。”沈昌祥表示,信息安全等級(jí)保護(hù)作為我國(guó)信息安全保障的基本制度,需要從技術(shù)和管理兩個(gè)方面進(jìn)行安全建設(shè),做到可信、可控、可管。并且,高安全信息系統(tǒng)要具有抵御來(lái)自敵對(duì)組織高強(qiáng)度連續(xù)攻擊(APT)的能力,以及防止內(nèi)部人員內(nèi)外勾結(jié)攻擊的能力。”
在信息安全等級(jí)保護(hù)工作方面,我國(guó)已有相關(guān)文件出臺(tái)。2004年9月15日由公安部、國(guó)家保密局、國(guó)家密碼管理局和國(guó)信辦聯(lián)合下發(fā)《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》明確實(shí)施等級(jí)保護(hù)的基本做法。2007年6月22日又由四單位聯(lián)合下發(fā)《信息安全等級(jí)保護(hù)管理辦法》(43號(hào)文件),規(guī)范了信息安全等級(jí)保護(hù)的管理。
|