張延

（工業(yè)和信息化部電子第五研究所，廣東 廣州 510610）

0 引言

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，信息安全領(lǐng)域已經(jīng)從早期的通信保密和安全防護(hù)階段，發(fā)展到目前的信息保障階段。工業(yè)控制系統(tǒng)廣泛應(yīng)用于我國(guó)眾多行業(yè)領(lǐng)域，大量的信息安全技術(shù)和產(chǎn)品投入實(shí)際應(yīng)用，長(zhǎng)期存在的風(fēng)險(xiǎn)隱患是影響國(guó)家關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)定運(yùn)行的重要因素，甚至威脅到國(guó)家安全戰(zhàn)略的實(shí)施。

1 國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全概述

1.1 工業(yè)控制系統(tǒng)與信息安全

工業(yè)控制系統(tǒng)是由各種自動(dòng)化控制組件以及對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行采集和監(jiān)測(cè)的過(guò)程控制組件共同構(gòu)成的、確保工業(yè)基礎(chǔ)設(shè)施自動(dòng)化運(yùn)行和過(guò)程控制與監(jiān)控的業(yè)務(wù)流程管控系統(tǒng)[1]。目前，我國(guó)水利、電力、污水處理、石油化工、交通運(yùn)輸、生物醫(yī)藥以及大型制造等行業(yè)中，超過(guò)80%的關(guān)鍵基礎(chǔ)設(shè)施依靠工業(yè)控制系統(tǒng)來(lái)實(shí)現(xiàn)自動(dòng)化作業(yè)。

信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)絡(luò)中的信息資源免受各種類(lèi)型的威脅、干擾和破壞。工業(yè)控制系統(tǒng)產(chǎn)品采用通用協(xié)議、通用硬件和通用軟件的趨勢(shì)越發(fā)顯著，產(chǎn)品通過(guò)各種方式與互聯(lián)網(wǎng)等公共網(wǎng)絡(luò)連接，病毒、木馬等威脅正在向工業(yè)控制系統(tǒng)擴(kuò)散。近年來(lái)甚至出現(xiàn)了以控制為目的，運(yùn)用網(wǎng)絡(luò)插手別國(guó)事務(wù)的網(wǎng)絡(luò)主動(dòng)攻擊事件，信息安全從被動(dòng)防御走向主動(dòng)出擊。

1.2 國(guó)內(nèi)外工業(yè)控制系統(tǒng)信息安全動(dòng)向分析

a）國(guó)際信息安全領(lǐng)域遭遇前所未有的挑戰(zhàn)

信息正逐漸成為社會(huì)發(fā)展的核心戰(zhàn)略資源，發(fā)展信息安全技術(shù)是世界各國(guó)信息化建設(shè)的重要任務(wù)。近幾年來(lái)，各國(guó)政府、軍隊(duì)、相關(guān)企業(yè)動(dòng)作頻繁，云安全、物聯(lián)網(wǎng)、智能化安全產(chǎn)品和網(wǎng)絡(luò)戰(zhàn)等新概念、新技術(shù)和新產(chǎn)品紛紛亮相和登場(chǎng)，國(guó)際信息安全領(lǐng)域的新趨勢(shì)也帶來(lái)了新的挑戰(zhàn)。

全球信息化程度最高的國(guó)家是美國(guó)，從政府機(jī)構(gòu)到個(gè)人消費(fèi)者甚至國(guó)防領(lǐng)域受到來(lái)自網(wǎng)絡(luò)的威脅和沖擊的事件不斷增加。據(jù)統(tǒng)計(jì)，2005年針對(duì)美國(guó)政府和私營(yíng)部門(mén)的網(wǎng)絡(luò)攻擊共有4 000多起，2008年已增長(zhǎng)至7.2萬(wàn)，短短3年增長(zhǎng)了近18倍。美國(guó)2009年公布的網(wǎng)絡(luò)安全評(píng)估報(bào)告稱(chēng)，來(lái)自網(wǎng)絡(luò)空間的威脅已成為美國(guó)面臨的最嚴(yán)重的經(jīng)濟(jì)和軍事威脅之一。

b）工業(yè)控制系統(tǒng)攻擊影響破壞力逐漸擴(kuò)大

與傳統(tǒng)的信息系統(tǒng)安全需求不同，工業(yè)控制系統(tǒng)需要兼顧應(yīng)用場(chǎng)景與控制管理等多方面因素進(jìn)行設(shè)計(jì)以?xún)?yōu)先確保系統(tǒng)的高可用性和業(yè)務(wù)連續(xù)性。此外，工業(yè)控制系統(tǒng)產(chǎn)品越來(lái)越多地采用通用協(xié)議、通用軟硬件，在這種設(shè)計(jì)理念和產(chǎn)品趨勢(shì)的影響下，缺乏有效的工業(yè)安全防御和數(shù)據(jù)通信保密措施是很多工業(yè)控制系統(tǒng)所面臨的通病。

2010年，世界上首個(gè)專(zhuān)門(mén)針對(duì)工業(yè)控制系統(tǒng)編寫(xiě)的破壞性病毒Stuxnet（超級(jí)工廠(chǎng)病毒）有針對(duì)性地入侵工業(yè)控制系統(tǒng)，2011年，待測(cè)伊朗彈道導(dǎo)彈收到控制指令后突然爆炸，疑遭曾攻擊布什爾核電站工業(yè)控制系統(tǒng)的Stuxnet蠕蟲(chóng)病毒攻擊[2]。據(jù)權(quán)威的工業(yè)安全事件信息數(shù)據(jù)庫(kù)RISI（Repository of Security Incidents）統(tǒng)計(jì)，截止到2012年 1月，全球已發(fā)生200余起針對(duì)工業(yè)控制系統(tǒng)的攻擊事件[3]。如圖1所示。

圖1 1996年以來(lái)全球范圍工業(yè)控制系統(tǒng)攻擊事件分布

由圖1可見(jiàn)，近10年來(lái)，通用開(kāi)發(fā)標(biāo)準(zhǔn)與互聯(lián)網(wǎng)技術(shù)的廣泛使用，使得針對(duì)工業(yè)控制系統(tǒng)的攻擊行為出現(xiàn)大幅度的增長(zhǎng)，近5年來(lái)，攻擊頻度更高且更加穩(wěn)定。

c）我國(guó)工業(yè)控制系統(tǒng)信息安全壓力倍增

當(dāng)前我國(guó)電子信息產(chǎn)業(yè)規(guī)模已位居全球第一，PC、TV、手機(jī)等多種產(chǎn)品的產(chǎn)量和銷(xiāo)量為全球之冠。產(chǎn)業(yè)發(fā)展過(guò)程中伴隨著安全問(wèn)題，產(chǎn)業(yè)鏈中的重要環(huán)節(jié)，如基礎(chǔ)軟件、高端芯片、專(zhuān)用設(shè)備、測(cè)試儀器以及關(guān)鍵工藝等基本上不為本土企業(yè)所掌控，核心技術(shù)受制于人，而且產(chǎn)業(yè)再創(chuàng)新能力薄弱，LCD、LED、集成電路等生產(chǎn)設(shè)備和關(guān)鍵工藝引進(jìn)一代又一代，難以形成可持續(xù)發(fā)展能力。雖然通過(guò)引進(jìn)國(guó)外技術(shù)能夠滿(mǎn)足市場(chǎng)需求，產(chǎn)業(yè)卻難以實(shí)現(xiàn) “自主可控”，潛在的安全危機(jī)十分巨大。

關(guān)鍵核心技術(shù)受制于人，核心基礎(chǔ)產(chǎn)品絕大部分依賴(lài)進(jìn)口；電子百?gòu)?qiáng)企業(yè)里80%以加工制造整機(jī)為主；國(guó)外企業(yè)的投資、產(chǎn)出占全行業(yè)的60%以上。操作系統(tǒng)的情況實(shí)際上更不樂(lè)觀(guān)，關(guān)鍵信息系統(tǒng)絕大部分的重要應(yīng)用依賴(lài)國(guó)外基礎(chǔ)軟件，不能滿(mǎn)足國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展的需要，導(dǎo)致國(guó)家信息安全受到威脅。當(dāng)前，我國(guó)信息安全技術(shù)研究仍處于消極防御的階段，核心技術(shù)嚴(yán)重缺乏。無(wú)論是骨干傳送網(wǎng)還是互聯(lián)網(wǎng)，自主創(chuàng)新成分所占的比例較少；此外，在信息傳送效率、網(wǎng)絡(luò)透明性和可擴(kuò)展性等方面存在著重大缺陷。

圖2顯示的是2010年以來(lái)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心CNCERT接收到的網(wǎng)絡(luò)安全事件數(shù)量，2010-2011年信息安全漏洞、惡意程序均排在前 3位，都是對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅的安全事件。此外2011年每月接收到網(wǎng)絡(luò)安全事件的數(shù)量均多于2010年同期，且接收到境外報(bào)告事件2 100件，比2010年的5 070件下降了58.6%，本土互聯(lián)網(wǎng)安全告急。

2 信息安全背景下工業(yè)控制系統(tǒng)的發(fā)展前景

圖2 2010以來(lái)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心接收的網(wǎng)絡(luò)安全事件數(shù)

2010年網(wǎng)絡(luò)安全事件多處于500～10 00件之間，2011年多處于1 000～1 500件，而2012年上半年網(wǎng)絡(luò)安全事件數(shù)量多于前兩年同期水平，大都為1 500～2 000件。近兩年報(bào)告事件基本上呈逐月增長(zhǎng)的態(tài)勢(shì)，而且不同年度同一月份的報(bào)告次數(shù)都大規(guī)模增加。

目前，西門(mén)子、洛克韋爾、IGSS等國(guó)際知名廠(chǎng)商生產(chǎn)的工控設(shè)備占據(jù)我國(guó)工業(yè)控制系統(tǒng)的主動(dòng)要地位。國(guó)產(chǎn)自動(dòng)化控制系統(tǒng)主要集中在中低端市場(chǎng)，而石化、火電、核電等重大工程的高端控制系統(tǒng)市場(chǎng)基本為進(jìn)口產(chǎn)品所壟斷。如石化行業(yè)主裝置的自動(dòng)化控制系統(tǒng)被Honeywell、Emerson、Yokogawa等進(jìn)口產(chǎn)品壟斷?；痣姾秃穗姺矫?，自動(dòng)化控制系統(tǒng)到目前為止主要采用國(guó)外公司提供的產(chǎn)品，只有幾家國(guó)內(nèi)企業(yè)承擔(dān)過(guò)核電自動(dòng)化項(xiàng)目，但其核心主裝置的控制系統(tǒng)仍被進(jìn)口產(chǎn)品所壟斷。

由于缺乏核心知識(shí)產(chǎn)權(quán)和相關(guān)行業(yè)管理實(shí)施標(biāo)準(zhǔn)，在愈發(fā)智能開(kāi)放的工業(yè)控制系統(tǒng)架構(gòu)與參差不齊的網(wǎng)絡(luò)運(yùn)營(yíng)維護(hù)條件下，存儲(chǔ)于控制系統(tǒng)、數(shù)據(jù)采集與監(jiān)控系統(tǒng)、現(xiàn)場(chǎng)總線(xiàn)以及相關(guān)聯(lián)的各系統(tǒng)中的核心數(shù)據(jù)、控制指令、機(jī)密信息隨時(shí)可能被攻擊者竊取或篡改破壞[4]。

保障工業(yè)系統(tǒng)的信息安全是一項(xiàng)復(fù)雜而繁瑣的系統(tǒng)工程，除了需要涉及工業(yè)自動(dòng)化過(guò)程中所涉及到的產(chǎn)品、技術(shù)、操作系統(tǒng)、網(wǎng)絡(luò)架構(gòu)等因素，企業(yè)自身的管理水平更直接決定了系統(tǒng)的整體運(yùn)維效果。我國(guó)企業(yè)核心技術(shù)難以自主，技術(shù)復(fù)雜，安全風(fēng)險(xiǎn)存在于管理、配置、架構(gòu)的各個(gè)環(huán)節(jié)。

2.1 工業(yè)控制系統(tǒng)信息安全新特點(diǎn)

a）信息安全系統(tǒng)集成化

據(jù)IDC報(bào)告預(yù)測(cè)，未來(lái)10年全球大數(shù)據(jù)將增加50倍，各種工控產(chǎn)品必須不斷提高其性能，方能滿(mǎn)足高速、海量數(shù)據(jù)環(huán)境下的信息安全需求；另一方面，將信息安全技術(shù)嵌入工控產(chǎn)品并依據(jù)一定的安全體系進(jìn)行設(shè)計(jì)、整合和集成，從而達(dá)到綜合防范的目的已成為一種必然趨勢(shì)。因此，信息安全技術(shù)作為關(guān)鍵環(huán)節(jié)將融入工控系統(tǒng)和產(chǎn)品的設(shè)計(jì)和生產(chǎn)中，成為獨(dú)立模塊，集成化趨勢(shì)日益顯著。

b）安全產(chǎn)品形態(tài)服務(wù)化

信息安全產(chǎn)業(yè)的發(fā)展逐步從當(dāng)前的技術(shù)主導(dǎo)型轉(zhuǎn)化到技術(shù)與服務(wù)并重型，隨著信息安全產(chǎn)品功能的趨同性和產(chǎn)品成本的不斷下降，使得信息安全廠(chǎng)商的核心競(jìng)爭(zhēng)力逐漸向服務(wù)領(lǐng)域集中，并帶動(dòng)信息安全市場(chǎng)向服務(wù)化方向發(fā)展。此外，隨著工業(yè)控制系統(tǒng)復(fù)雜程度的不斷提高和防護(hù)難度的不斷加大，專(zhuān)業(yè)于系統(tǒng)安全服務(wù)的公司應(yīng)運(yùn)而生。

c）信息安全技術(shù)網(wǎng)絡(luò)化

工業(yè)控制系統(tǒng)針對(duì)應(yīng)用領(lǐng)域進(jìn)行設(shè)計(jì)，其信息安全技術(shù)與產(chǎn)品具備一定的通用性?；谔摂M化的云安全技術(shù)受到重視、云安全服務(wù)業(yè)務(wù)細(xì)分化、防火墻高速多功能化、入侵檢測(cè)向趨勢(shì)預(yù)測(cè)行為分析發(fā)展、網(wǎng)關(guān)安全和終端安全融合發(fā)展，以及下一代安全網(wǎng)關(guān)成為新熱點(diǎn)等現(xiàn)象充分說(shuō)明，信息安全和網(wǎng)絡(luò)技術(shù)應(yīng)用已向工業(yè)控制系統(tǒng)范疇進(jìn)行普及實(shí)現(xiàn)。

d）產(chǎn)業(yè)扶持政策戰(zhàn)略化

網(wǎng)絡(luò)成為當(dāng)今世界信息傳輸和產(chǎn)生的主要載體，計(jì)算機(jī)網(wǎng)絡(luò)和移動(dòng)互聯(lián)網(wǎng)的安全問(wèn)題已成為信息安全領(lǐng)域的核心問(wèn)題，多個(gè)國(guó)家迅速調(diào)整信息安全戰(zhàn)略，明確工業(yè)控制系統(tǒng)的戰(zhàn)略地位。美、俄、日等國(guó)均公開(kāi)發(fā)布了對(duì)工業(yè)控制系統(tǒng)信息安全的支撐策略或思路，將采取包括軍事和經(jīng)濟(jì)在內(nèi)的多種手段來(lái)保障工業(yè)控制系統(tǒng)和網(wǎng)絡(luò)空間安全。

2.2 工業(yè)控制系統(tǒng)信息安全的主要風(fēng)險(xiǎn)

從技術(shù)層面分析，造成工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)加劇的主要原因有兩方面：

首先，傳統(tǒng)工業(yè)控制系統(tǒng)的出現(xiàn)時(shí)間要早于互聯(lián)網(wǎng)，需要采用專(zhuān)用的硬件、軟件和通信協(xié)議，設(shè)計(jì)上以基礎(chǔ)安全為主，基本沒(méi)有考慮聯(lián)通交互所必須考慮的通信安全問(wèn)題。

其次，互聯(lián)網(wǎng)技術(shù)的出現(xiàn)，導(dǎo)致工業(yè)控制網(wǎng)絡(luò)中大量采用通用TCP/IP技術(shù)，工業(yè)控制系統(tǒng)與各種業(yè)務(wù)系統(tǒng)的協(xié)作得以實(shí)現(xiàn)，愈加智能的工業(yè)控制網(wǎng)絡(luò)中的各種應(yīng)用、工控設(shè)備以及辦公用PC系統(tǒng)逐漸形成一張復(fù)雜的網(wǎng)絡(luò)拓?fù)洹?jù)統(tǒng)計(jì)，已確認(rèn)的針對(duì)工業(yè)控制系統(tǒng)的攻擊，從攻擊代碼傳播到樣本被檢測(cè)確認(rèn)，傳統(tǒng)的安全防御機(jī)制通常需要兩個(gè)月左右的時(shí)間，而對(duì)于例如Stuxnet等病毒，其潛伏期更是長(zhǎng)達(dá)半年之久[5]。

2.3 我國(guó)工業(yè)控制系統(tǒng)信息安全發(fā)展趨勢(shì)

目前我國(guó)工業(yè)控制系統(tǒng)的信息安全管理仍存在諸多問(wèn)題，例如，大型制造行業(yè)普遍存在因設(shè)備使用時(shí)間較長(zhǎng)，安全防護(hù)能力缺失等問(wèn)題；而在諸如石化電力等重要基礎(chǔ)設(shè)施保障行業(yè)，又因?yàn)閼?yīng)用和新技術(shù)的更替，海量的分布式控制組件與業(yè)務(wù)單元都讓電力控制網(wǎng)絡(luò)變得愈發(fā)復(fù)雜，在可用性面前安全防御機(jī)制難免出現(xiàn)疏漏。對(duì)外依賴(lài)性強(qiáng)使 “自主可控”更是難以實(shí)現(xiàn)，急需基于終端可用性和安全性兼顧的控制系統(tǒng)安全解決方案的提出。國(guó)內(nèi)重要行業(yè)工業(yè)控制系統(tǒng)還普遍被 《信息安全等級(jí)保護(hù)》定為第3或第4級(jí)，工業(yè)信息系統(tǒng)的安全管理體系建設(shè)還需兼顧等級(jí)保護(hù)技術(shù)要求。

2012年國(guó)務(wù)院印發(fā) 《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》指出，我國(guó)信息化建設(shè)和信息安全保障存在一些亟待解決的問(wèn)題，其中包括核心技術(shù)受制于人。并將 “信息化裝備的安全可控水平明顯提高”確定為信息化和信息安全工作的一項(xiàng)主要目標(biāo)。我國(guó)這個(gè)世界上最大的電子消費(fèi)市場(chǎng)，通信、計(jì)算機(jī)、電子等基礎(chǔ)信息網(wǎng)絡(luò)和工業(yè)控制系統(tǒng)面臨嚴(yán)峻的考驗(yàn)。因此，國(guó)務(wù)院文件對(duì)安全可控的要求具有十分重大的戰(zhàn)略意義，為工業(yè)控制系統(tǒng)的信息安全提供了進(jìn)一步的保障。

3 工業(yè)控制系統(tǒng)的信息安全管理經(jīng)驗(yàn)及其借鑒

3.1 國(guó)際先進(jìn)國(guó)家工業(yè)控制信息安全策略

美國(guó)多年來(lái)從基礎(chǔ)設(shè)施建設(shè)到完善國(guó)防體系，從硬件建設(shè)到軟件升級(jí)，將信息安全上升到國(guó)家安全的高度加以重視。1984年以來(lái)，美國(guó)政府共發(fā)布了近10個(gè)涉及關(guān)鍵基礎(chǔ)設(shè)施和信息安全的國(guó)家政策、通告、總統(tǒng)行政命令和國(guó)家計(jì)劃，對(duì)如何維護(hù)關(guān)鍵基礎(chǔ)設(shè)施和信息系統(tǒng)的安全提出了具體的要求。2009年美國(guó)在戰(zhàn)略司令部?jī)?nèi)組建一個(gè)網(wǎng)絡(luò)戰(zhàn)司令部，這一戰(zhàn)略舉動(dòng)，在確保網(wǎng)絡(luò)信息安全的同時(shí)，正試圖憑借技術(shù)、資源等方面的優(yōu)勢(shì)，為全方位實(shí)現(xiàn)信息霸權(quán)做準(zhǔn)備，從而加速戰(zhàn)爭(zhēng)形態(tài)由機(jī)械化向信息化轉(zhuǎn)變。2010年，美國(guó)政府實(shí)施了一項(xiàng)代號(hào)為 “完美公民”的信息安全防護(hù)項(xiàng)目，旨在保護(hù)政府重要基礎(chǔ)設(shè)施或企業(yè)免遭黑客侵襲，國(guó)家安全局打算從電網(wǎng)、核電站、空中交通管理等主要工業(yè)系統(tǒng)入手，大力部署網(wǎng)絡(luò)安全的多層防御體系，最終全面介入基礎(chǔ)設(shè)施[6]。

美國(guó)在工業(yè)控制系統(tǒng)信息安全領(lǐng)域走在前列，其主要經(jīng)驗(yàn)在于：

a）迅速實(shí)現(xiàn)概念到實(shí)踐的飛躍

最初網(wǎng)絡(luò)戰(zhàn)主要指發(fā)生在計(jì)算機(jī)之間的病毒與反病毒、黑客與防火墻之間的斗爭(zhēng)。然而，隨著網(wǎng)絡(luò)技術(shù)和攻防手段的不斷普及、發(fā)展，許多部門(mén)、商業(yè)組織或社會(huì)團(tuán)體利用網(wǎng)絡(luò)進(jìn)行宣傳和控制。美國(guó)借鑒了網(wǎng)絡(luò)戰(zhàn)的概念和手段，并運(yùn)用于信息防護(hù)乃至軍事國(guó)防，憑借強(qiáng)大的技術(shù)力量實(shí)現(xiàn)了從 “被動(dòng)防御”到 “主動(dòng)出擊”的能力，除了大力部署電網(wǎng)、核電、交通等工業(yè)控制系統(tǒng)多層防御體系，還將 “主動(dòng)出擊”推到了軍事戰(zhàn)略層面。

b）技術(shù)應(yīng)用上升為軍事主導(dǎo)戰(zhàn)略

在工控系統(tǒng)多層防御體系建立后，網(wǎng)絡(luò)技術(shù)和攻防手段被組織運(yùn)用于軍事國(guó)防。美國(guó)擁有世界上最強(qiáng)的網(wǎng)絡(luò)話(huà)語(yǔ)權(quán)，互聯(lián)網(wǎng)的13臺(tái)根服務(wù)器中有10臺(tái)根服務(wù)器安裝在美國(guó)本土。通過(guò)互聯(lián)網(wǎng)，美國(guó)可以控制訪(fǎng)問(wèn)互聯(lián)網(wǎng)的任何一個(gè)人，可以監(jiān)控他國(guó)對(duì)互聯(lián)網(wǎng)的使用過(guò)程。另外，美國(guó)還掌握著計(jì)算機(jī)的核心——芯片技術(shù)、網(wǎng)絡(luò)核心——互聯(lián)網(wǎng)協(xié)議和計(jì)算機(jī)操作平臺(tái)Windows，完全有預(yù)置 “后門(mén)”、預(yù)留 “漏洞”的技術(shù)條件來(lái)完成系統(tǒng)控制等戰(zhàn)略措施。軍事大國(guó)俄羅斯在構(gòu)建軍事信息系統(tǒng)時(shí)，并沒(méi)有采用美國(guó)的網(wǎng)絡(luò)產(chǎn)品和技術(shù)體制，這給美國(guó)控制全球造成了極大的麻煩。

3.2 我國(guó)工業(yè)控制系統(tǒng)信息安全存在差距

要擺脫美國(guó)網(wǎng)絡(luò)軟硬件的壟斷統(tǒng)治，其它國(guó)家在工業(yè)控制系統(tǒng)信息安全領(lǐng)域必須實(shí)現(xiàn)：1）放棄美國(guó) “物美價(jià)廉”的網(wǎng)絡(luò)產(chǎn)品和 “世界通用”的技術(shù)體制，另辟蹊徑；2）開(kāi)發(fā)對(duì)抗美國(guó)網(wǎng)絡(luò)產(chǎn)品與技術(shù)的新技術(shù)。目前，我國(guó)工控系統(tǒng)信息安全在管理保障、組織監(jiān)管以及技術(shù)產(chǎn)品方面與世界先進(jìn)水平還有不小的差距。

a）技術(shù)和產(chǎn)品依賴(lài)性強(qiáng)

我國(guó)信息安全技術(shù)水平整體處于初級(jí)階段，許多應(yīng)用系統(tǒng)處于不設(shè)防狀態(tài)。一項(xiàng)研究表明，目前我國(guó)與互聯(lián)網(wǎng)相連的95%的網(wǎng)絡(luò)管理中心都遭到過(guò)境內(nèi)外黑客的攻擊或侵入。核心技術(shù)標(biāo)準(zhǔn)的缺失，制約了我國(guó)信息安全技術(shù)領(lǐng)域的整體水平。發(fā)達(dá)國(guó)家在加密算法的標(biāo)準(zhǔn)化方面做了大量的工作，而我國(guó)尚未形成具有自主知識(shí)產(chǎn)權(quán)的統(tǒng)一加密標(biāo)準(zhǔn)，這成為我國(guó)信息安全技術(shù)發(fā)展的瓶頸。目前我國(guó)涉及信息安全核心技術(shù)的元器件、芯片、各行業(yè)操作系統(tǒng)和大型軟件等基礎(chǔ)產(chǎn)品的自主可控能力低，近70%的國(guó)民經(jīng)濟(jì)重要部門(mén)的信息設(shè)備來(lái)自國(guó)外。

b）管理體系亟須大力完善

發(fā)達(dá)國(guó)家高度重視信息安全領(lǐng)域的管理體系建設(shè)工作，我國(guó)信息安全重建設(shè)輕管理，雖然整體發(fā)展速度十分迅猛，但管理相對(duì)滯后。信息安全由于涉及多個(gè)行業(yè)領(lǐng)域，管理上存在著一定的職能交叉，使得管理體系力量分散，監(jiān)管效果不理想；而且我國(guó)還沒(méi)有專(zhuān)門(mén)制定信息安全保障的專(zhuān)門(mén)法律，只是在有關(guān)法律規(guī)定的條款中包含了對(duì)網(wǎng)絡(luò)安全危害行為的處理辦法。而對(duì)工業(yè)控制系統(tǒng)信息安全的關(guān)注也僅從近年開(kāi)始，還無(wú)法有效地形成國(guó)家層面獨(dú)立的、系統(tǒng)化的信息安全法規(guī)體系。

4 我國(guó)工業(yè)控制系統(tǒng)信息安全發(fā)展對(duì)策

為維護(hù)國(guó)家信息安全，加快發(fā)展我國(guó)的信息安全產(chǎn)業(yè)，努力構(gòu)筑一個(gè)技術(shù)先進(jìn)、管理高效、安全可靠、建立在自主研發(fā)基礎(chǔ)上的工業(yè)控制系統(tǒng)安全體系，建議從幾個(gè)方面入手：

4.1 加強(qiáng)基礎(chǔ)軟硬件的自主研發(fā)

在“核高基”等國(guó)家重大科技專(zhuān)項(xiàng)的支持下，國(guó)產(chǎn)基礎(chǔ)軟硬件產(chǎn)品的研發(fā)獲得了突破，操作系統(tǒng)、數(shù)據(jù)庫(kù)、辦公套件等國(guó)產(chǎn)自主可控產(chǎn)品線(xiàn)已基本齊全，當(dāng)前需要解決的核心問(wèn)題是突破產(chǎn)品研發(fā)和實(shí)際應(yīng)用之間的鴻溝，實(shí)現(xiàn)我國(guó)工業(yè)控制系統(tǒng)技術(shù)和裝備的國(guó)產(chǎn)化，并使國(guó)產(chǎn)自主化產(chǎn)品和技術(shù)迅速被廣泛接受和應(yīng)用。因此，需要?jiǎng)?chuàng)新研發(fā)模式，搭建資源共享平臺(tái)，擺脫對(duì)國(guó)外產(chǎn)品的依賴(lài)性。

4.2 提高國(guó)產(chǎn)技術(shù)和產(chǎn)品的安全性

當(dāng)前，我國(guó)一些重要工業(yè)控制系統(tǒng)大量采用國(guó)外產(chǎn)品，導(dǎo)致國(guó)產(chǎn)技術(shù)和產(chǎn)品的安全水平不高。很多自主研發(fā)產(chǎn)品缺少不斷完善和提升安全性的應(yīng)用基礎(chǔ)，一些產(chǎn)品沒(méi)有應(yīng)用空間，難以在實(shí)踐中測(cè)試并不斷完善。因此，國(guó)家需要大力進(jìn)行基礎(chǔ)信息網(wǎng)絡(luò)與重要信息系統(tǒng)的建設(shè)，抓好國(guó)產(chǎn)化裝備研發(fā)、設(shè)計(jì)的安全體系架構(gòu)，建設(shè)重要系統(tǒng)測(cè)試和試驗(yàn)中心，從而提高工業(yè)系統(tǒng)安全整體水平[7]。

4.3 戰(zhàn)略層面上應(yīng)予以重點(diǎn)關(guān)注

國(guó)家應(yīng)在政策引導(dǎo)方面，分步驟、分階段在政府和重點(diǎn)行業(yè)推行產(chǎn)品國(guó)產(chǎn)化替代；在行業(yè)管理方面，實(shí)施供應(yīng)鏈風(fēng)險(xiǎn)管理，在遵從WTO規(guī)則的前提下，積極防范國(guó)外信息技術(shù)產(chǎn)品供應(yīng)鏈風(fēng)險(xiǎn)；在信息安全戰(zhàn)略建設(shè)方面，關(guān)鍵要加快信息安全立法進(jìn)度；在監(jiān)督管理方面，加強(qiáng)工業(yè)控制系統(tǒng)運(yùn)行監(jiān)測(cè)能力建設(shè)，及時(shí)跟蹤和處理重大信息安全威脅。

5 結(jié)束語(yǔ)

國(guó)際先進(jìn)國(guó)家對(duì)工業(yè)控制系統(tǒng)的信息安全保護(hù)已提升到戰(zhàn)略層面，而我國(guó)工業(yè)控制系統(tǒng)信息安全領(lǐng)域的落后主要體現(xiàn)在技術(shù)和產(chǎn)品依賴(lài)性強(qiáng)，工控系統(tǒng)安全體系的關(guān)鍵是國(guó)產(chǎn)化。只有加強(qiáng)基礎(chǔ)軟硬件自主研發(fā)、提升技術(shù)和產(chǎn)品國(guó)產(chǎn)化率才能真正確保工業(yè)控制系統(tǒng)產(chǎn)品的信息安全。

[1]STOUFFER K，F(xiàn)ALCE J，SCARFONE K.Guide to Industrial Control Systems（ICS）security[EB/OL].[2011-6-22].http：//www.securityvibes.com/docs/DOC-1347.

[2]華镕.“震網(wǎng)”給工業(yè)控制敲響了警鐘 [J].儀器儀表標(biāo)準(zhǔn)化與計(jì)量，2011，（2）：30-34.

[3]張帥.工業(yè)控制系統(tǒng)安全現(xiàn)狀與風(fēng)險(xiǎn)分析——ICS工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析之一 [J].計(jì)算機(jī)安全，2012，（1）： 15-19.

[4]賈東耀，汪仁煌.工業(yè)控制網(wǎng)絡(luò)結(jié)構(gòu)的發(fā)展趨勢(shì) [J].工業(yè)儀表與自動(dòng)化裝置，2002，（5）：12-14.

[5]張帥.工業(yè)控制系統(tǒng)安全風(fēng)險(xiǎn)分析 [J].信息安全與與通信保密，2012，（3）：15-19.

[6]李戰(zhàn)寶，張文貴，潘卓.美國(guó)確保工業(yè)控制系統(tǒng)安全的做法及對(duì)我們的啟示 [J].信息網(wǎng)絡(luò)安全，2012，（8）：51-53.

[7]宋慧欣.破解 “工業(yè)控制系統(tǒng)信息安全”迷局 [J].自動(dòng)化博覽，2012，（7）：30-35.