導讀：據國外媒體報道，德國西門子公司（Siemens AG）13日ri表biao示shi，一yi個ge旨zhi在zai攻gong擊ji西xi門men子zi製zhi造zao的de工gong業ye控kong製zhi係xi統tong的de計ji算suan機ji病bing毒du已yi基ji本ben得de到dao控kong製zhi。該gai計ji算suan機ji病bing毒du攻gong擊ji的de工gong業ye控kong製zhi係xi統tong用yong於yu監jian控kong電dian網wang和he其qi他ta關guan鍵jian基ji礎chu設she施shi
，此次事件給政府和私營部門敲響了“防範病毒攻擊”dejingzhong。weiyingduiquanqiuxinxitongxinwangluoanquandeyanjinqushihetiaozhan，youxiaobaozhangwoguodewangluoxinxianquan，jinri，gongyehexinxihuabuhulianwangwangluoanquanyingjizhuanjiazuzaijingchengli，weihulianwangwangluoanquanyingjiguanligongzuotigongjishuzixunhejuecezhicheng。

病毒攻擊工業控製係統

　　病毒首次攻擊大型工業控製係統

　　這個攻擊西門子工業控製係統的病毒被稱為“Stuxnet”
，該病毒會傳播到插入電腦USB接口的設備中，並從中竊取數據。這是駭客首次嚐試入侵大型工業電腦係統病毒
，而這些病毒疑似來自台灣。

　　據悉，Stuxnet病毒利用微軟Windows作業係統漏洞
，透過USB散布病毒
，專門鎖定西門子生產的工業控製係統，並試圖竊取係統內的資料。

　　分析人士表示
，6月份首次監測到該計算機病毒對工業計算機係統發起了一次大規模的攻擊，而這些計算機係統主要用於監控自動工廠
、單位
、核電站
、水處理係統等。自動化企業長期的贏利前景使得一些黑客逐漸向工業領域參透
，把工業控製係統作為攻擊的目標。

　　截至目前為止
，西門子全球客戶隻有9家已偵測到該病毒，且沒有客戶蒙受損失。

　　傳統安全技術正日益失去作用

　　在工廠生產和商業係統間發展網絡安全是項複雜的任務
，以至於大多數IT和自動化部門都在猶豫是否要進行此項任務。IT部門可能不熟悉複雜的工業係統，任何錯誤都會對生產起到反作用。從工業自動化的前景和與IT安全的挑戰來看，自動化部門寧可選擇獨立運行，在這些係統中留下通信“缺口”。

　　現在能結合工業計算機使用的安全技術可謂多種多樣。但是幾乎所有的安全技術

，不論是基於硬件還是基於軟件，都有一個相同的缺陷：要實現這些技術的話
，必須對係統進行改動。然而這正是工業環境下應不惜一切代價予以避免的問題。

　　對於基於硬件的係統（如路由器、橋接器）而言
，其缺點便是往往可通過其網絡IPdizhibeiyuyishibie，yinci
，henrongyishoudaogongji。tebieshizaixuduoxitongzhong，weilerangshujuchuanshubuchengwenti

，biaozhunduankoutongchangshikaifangde。erjiyuruanjiandejiejuefanganyouyubujianrong，tamenwufazaimouxiezhuanyoucaozuoxitongshangyunxing。

　　muqiandeshaduruanjiangengxinchengxubijiaofuza，xuyaodaliangderenlihecaili。tamentongchangbunengjichengdaoshiyonglaodechuliqijishudexitongzhong，yinweizhexiejiejuefanganqueshaobiyaodexingneng。gengbietinaxiexuyaojingchanggengxinderuanjian，fouze，bingduhuitongguoxinfaxiandeanquanloudongbuduanqingyigongjicaozuoxitong。

　　幸運的是，已經出現了新的解決方法。例如，OPC能夠利用隧道技術使其在不同的係統和防火牆間工作。類似於虛擬專用網絡（VPN）和點對點隧道協議（PPTP）

，OPC隧sui道dao將jiang數shu據ju有you效xiao載zai荷he封feng裝zhuang入ru另ling一yi協xie議yi中zhong。從cong隧sui道dao外wai看kan，它ta就jiu像xiang是shi數shu據ju流liu，但dan是shi，在zai數shu據ju流liu內nei卻que是shi非fei常chang重zhong要yao的de產chan品pin數shu據ju。隧sui道dao技ji術shu也ye能neng夠gou利li用yong端duan口kou限xian製zhi、用戶認證和數據流加密來克服大多數IT安全缺陷。

　　急需構建自動化係統的安全平台

　　隨sui著zhe生sheng產chan和he辦ban公gong環huan境jing的de日ri益yi網wang絡luo化hua，使shi得de業ye務wu流liu程cheng效xiao率lv日ri益yi提ti高gao。在zai這zhe一yi過guo程cheng中zhong，企qi業ye往wang往wang忽hu略lve來lai自zi係xi統tong外wai部bu的de危wei險xian，而er這zhe些xie危wei險xian其qi實shi如ru同tong內nei部bu風feng險xian一yi樣yang巨ju大da。

　　許多工業計算機運行的是專有操作係統。人們常認為這些計算機比較安全，因為操作人員認為黑客沒有興趣將“惡意代碼”植入這些少數係統中。因此，係統中的一些安全漏洞常常不為人所知
，很少有人想過如何屏蔽攻擊，如何應對現今流行的眾多病毒、蠕蟲或特洛伊木馬。

　　現在
，較新的生產機器通常運行是的像Windows、以太網

、TCP/IP和HTTP等deng標biao準zhun。隨sui著zhe公gong司si範fan圍wei內nei聯lian網wang性xing不bu斷duan提ti高gao，這zhe些xie類lei係xi統tong才cai更geng容rong易yi遭zao受shou來lai自zi網wang絡luo的de安an全quan威wei脅xie。例li如ru，對dui工gong業ye機ji器qi人ren進jin行xing維wei護hu期qi時shi，中zhong央yang工gong業ye計ji算suan機ji經jing常chang會hui在zai無wu意yi間jian感gan染ran來lai自zi維wei修xiu技ji術shu人ren員yuan筆bi記ji本ben電dian腦nao的de“惡意代碼” ，所導致的損害可能非常巨大。

　　因此，生產部門和IT部門需要同時確保各自係統的安全性和可用性，必須防止病毒、蠕蟲以及來自網絡的其他攻擊——高危目標。

　　“今天的自動化技術有本征的缺陷”，中zhong國guo機ji電dian一yi體ti化hua技ji術shu協xie會hui專zhuan家jia委wei員yuan會hui主zhu任ren丁ding未wei表biao示shi，現xian在zai的de自zi動dong化hua技ji術shu領ling域yu隻zhi有you麵mian向xiang功gong能neng的de算suan法fa
，沒mei有you支zhi撐cheng功gong能neng的de安an全quan算suan法fa平ping台tai。這zhe裏li指zhi的de安an全quan算suan法fa不bu是shi信xin息xi領ling域yu中zhong的de加jia密mi、解密技術，而是指為了保障功能集合的安全結構。

　　我國工業係統安全基礎薄弱

　　現代工業控製係統包括過程控製、數據采集係統(SCADA)，分布式控製係統(DCS)，可編程邏輯控製(PLC)以及其他控製係統等，口前已應用於電力、水力
、石化


、醫藥
、食品以及汽車

、航天等工業領域，成為國家關鍵基礎設施的重要組成部分，關係到國家的戰略安全。

　　相關文獻指出，國家關鍵基礎所依賴的很多重要信息係統從技術特征上講是工CS
，而不是傳統上的TCP/IP網絡
，其安全是國家經濟穩定運行的關鍵
，是信息戰中敵方的重點攻擊日標，攻擊後果極其嚴重。

　　與傳統的基於TCP/IP協議的網絡與信息係統的安全相比，我國工CS的(de)安(an)全(quan)保(bao)護(hu)水(shui)平(ping)明(ming)顯(xian)偏(pian)低(di)，長(chang)期(qi)以(yi)來(lai)沒(mei)有(you)得(de)到(dao)關(guan)注(zhu)。隨(sui)著(zhe)信(xin)息(xi)化(hua)的(de)推(tui)動(dong)和(he)工(gong)業(ye)化(hua)進(jin)程(cheng)的(de)加(jia)速(su)

，越(yue)來(lai)越(yue)多(duo)的(de)計(ji)算(suan)機(ji)和(he)網(wang)絡(luo)技(ji)術(shu)應(ying)用(yong)於(yu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)


，在(zai)為(wei)工(gong)業(ye)生(sheng)產(chan)帶(dai)來(lai)極(ji)大(da)推(tui)動(dong)作(zuo)用(yong)的(de)同(tong)時(shi)，也(ye)帶(dai)來(lai)了(le)工(gong)CS的安全問題
，如木馬、病毒、網絡攻擊造成信息泄露和控製指令篡改等。

　　據安全專家介紹
，可能導致工Cs安全事件的因素有:控製係統發生拒絕服務;對PLC, DCS或SCADA中可編程指令進行非授權修改
，使報警門限值改變
，或使設備本身發生破壞;向控製係統的操作員發生虛假信息，使操作員采取錯誤動作;修改控製係統的軟件或配置設置;係統中被引入了惡意軟件(例如病毒、蠕蟲、特洛伊木馬等)。

　　盡管工CS發生安全事故要比互聯網上的攻擊事件要少
，但是由於工CS的特殊性，每一次事件，都代表著廣大人群的生活
、生產受到巨大影響，經濟遭受重大損失甚至倒退。

　　信息化安全建設進入防護階段

　　其實
，我國一直注重信息化安全建設。近年來，我國頒布了《國家信息安全標準體係》、《國家信息安全“十一五”規劃》等指導性文件，進行信息化安全建設，並取得了階段性成果。

　　據全國信息安全標準化技術委員會主任委員曲維枝介紹
，信息安全標準在信息安全保障體係建設中發揮著基礎性
、規範性作用，是確保信息安全產品和係統在設計、研發

、生產、建設、使用
、測評中保證其一致性
、可靠性、可控性的技術規範、技術依據。沒有信息安全標準，信息化建設的安全可靠就無法保證。

　　隨著“三網融合”和“兩化融合”的進程已經取得階段性進展
，以及網絡IP化、電信全業務運營的深入、客(ke)戶(hu)信(xin)息(xi)安(an)全(quan)意(yi)識(shi)的(de)提(ti)升(sheng)，社(she)會(hui)和(he)經(jing)濟(ji)運(yun)行(xing)對(dui)通(tong)信(xin)服(fu)務(wu)質(zhi)量(liang)的(de)要(yao)求(qiu)正(zheng)在(zai)不(bu)斷(duan)提(ti)高(gao)。為(wei)應(ying)對(dui)全(quan)球(qiu)信(xin)息(xi)通(tong)信(xin)網(wang)絡(luo)安(an)全(quan)的(de)演(yan)進(jin)趨(qu)勢(shi)和(he)挑(tiao)戰(zhan)，有(you)效(xiao)保(bao)障(zhang)我(wo)國(guo)的(de)網(wang)絡(luo)信(xin)息(xi)安(an)全(quan)

，工(gong)信(xin)部(bu)在(zai)全(quan)國(guo)政(zheng)協(xie)十(shi)一(yi)屆(jie)二(er)次(ci)會(hui)議(yi)關(guan)於(yu)“加快中國網絡信息安全立法”的提案答複中表示，要爭取盡快使《中華人民共和國信息安全條例》進(jin)入(ru)立(li)法(fa)程(cheng)序(xu)，早(zao)日(ri)出(chu)台(tai)。這(zhe)標(biao)誌(zhi)著(zhe)我(wo)國(guo)的(de)信(xin)息(xi)安(an)全(quan)建(jian)設(she)正(zheng)在(zai)從(cong)基(ji)礎(chu)設(she)施(shi)層(ceng)麵(mian)的(de)網(wang)絡(luo)安(an)全(quan)保(bao)障(zhang)階(jie)段(duan)，進(jin)入(ru)到(dao)通(tong)過(guo)立(li)法(fa)保(bao)障(zhang)網(wang)絡(luo)用(yong)戶(hu)權(quan)益(yi)不(bu)受(shou)侵(qin)害(hai)的(de)應(ying)用(yong)層(ceng)麵(mian)，即(ji)：信息安全防護階段。

　　近日，工業和信息化部互聯網網絡安全應急專家組在京成立。根據工業和信息化部2009年頒布的《公共互聯網網絡安全應急預案》相關規定，工信部組織成立互聯網網絡安全應急專家組
，為互聯網網絡安全應急管理工作提供技術谘詢和決策支撐。（文/頑石）