導讀：據國外媒體報道
，德國西門子公司（Siemens AG）13ribiaoshi，yigezhizaigongjiximenzizhizaodegongyekongzhixitongdejisuanjibingduyijibendedaokongzhi。gaijisuanjibingdugongjidegongyekongzhixitongyongyujiankongdianwangheqitaguanjianjichusheshi，此次事件給政府和私營部門敲響了“防範病毒攻擊”的de警jing鍾zhong。為wei應ying對dui全quan球qiu信xin息xi通tong信xin網wang絡luo安an全quan的de演yan進jin趨qu勢shi和he挑tiao戰zhan，有you效xiao保bao障zhang我wo國guo的de網wang絡luo信xin息xi安an全quan
，近jin日ri
，工gong業ye和he信xin息xi化hua部bu互hu聯lian網wang網wang絡luo安an全quan應ying急ji專zhuan家jia組zu在zai京jing成cheng立li，為wei互hu聯lian網wang網wang絡luo安an全quan應ying急ji管guan理li工gong作zuo提ti供gong技ji術shu谘zi詢xun和he決jue策ce支zhi撐cheng。

病毒攻擊工業控製係統

　　病毒首次攻擊大型工業控製係統

　　這個攻擊西門子工業控製係統的病毒被稱為“Stuxnet”，該病毒會傳播到插入電腦USB接口的設備中
，並從中竊取數據。這是駭客首次嚐試入侵大型工業電腦係統病毒，而這些病毒疑似來自台灣。

　　據悉，Stuxnet病毒利用微軟Windows作業係統漏洞，透過USB散布病毒
，專門鎖定西門子生產的工業控製係統，並試圖竊取係統內的資料。

　　分析人士表示，6月份首次監測到該計算機病毒對工業計算機係統發起了一次大規模的攻擊
，而這些計算機係統主要用於監控自動工廠、單位、核電站、水處理係統等。自動化企業長期的贏利前景使得一些黑客逐漸向工業領域參透，把工業控製係統作為攻擊的目標。

　　截至目前為止
，西門子全球客戶隻有9家已偵測到該病毒，且沒有客戶蒙受損失。

　　傳統安全技術正日益失去作用

　　在工廠生產和商業係統間發展網絡安全是項複雜的任務，以至於大多數IT和自動化部門都在猶豫是否要進行此項任務。IT部門可能不熟悉複雜的工業係統
，任何錯誤都會對生產起到反作用。從工業自動化的前景和與IT安全的挑戰來看
，自動化部門寧可選擇獨立運行，在這些係統中留下通信“缺口”。

　　現在能結合工業計算機使用的安全技術可謂多種多樣。但是幾乎所有的安全技術，不論是基於硬件還是基於軟件，都有一個相同的缺陷：要實現這些技術的話，必須對係統進行改動。然而這正是工業環境下應不惜一切代價予以避免的問題。

　　對於基於硬件的係統（如路由器、橋接器）而言，其缺點便是往往可通過其網絡IPdizhibeiyuyishibie，yinci
，henrongyishoudaogongji。tebieshizaixuduoxitongzhong
，weilerangshujuchuanshubuchengwenti，biaozhunduankoutongchangshikaifangde。erjiyuruanjiandejiejuefanganyouyubujianrong，tamenwufazaimouxiezhuanyoucaozuoxitongshangyunxing。

　　muqiandeshaduruanjiangengxinchengxubijiaofuza
，xuyaodaliangderenlihecaili。tamentongchangbunengjichengdaoshiyonglaodechuliqijishudexitongzhong
，yinweizhexiejiejuefanganqueshaobiyaodexingneng。gengbietinaxiexuyaojingchanggengxinderuanjian，fouze，bingduhuitongguoxinfaxiandeanquanloudongbuduanqingyigongjicaozuoxitong。

　　幸運的是，已經出現了新的解決方法。例如

，OPC能夠利用隧道技術使其在不同的係統和防火牆間工作。類似於虛擬專用網絡（VPN）和點對點隧道協議（PPTP），OPC隧(sui)道(dao)將(jiang)數(shu)據(ju)有(you)效(xiao)載(zai)荷(he)封(feng)裝(zhuang)入(ru)另(ling)一(yi)協(xie)議(yi)中(zhong)。從(cong)隧(sui)道(dao)外(wai)看(kan)
，它(ta)就(jiu)像(xiang)是(shi)數(shu)據(ju)流(liu)
，但(dan)是(shi)，在(zai)數(shu)據(ju)流(liu)內(nei)卻(que)是(shi)非(fei)常(chang)重(zhong)要(yao)的(de)產(chan)品(pin)數(shu)據(ju)。隧(sui)道(dao)技(ji)術(shu)也(ye)能(neng)夠(gou)利(li)用(yong)端(duan)口(kou)限(xian)製(zhi)
、用戶認證和數據流加密來克服大多數IT安全缺陷。

　　急需構建自動化係統的安全平台

　　隨sui著zhe生sheng產chan和he辦ban公gong環huan境jing的de日ri益yi網wang絡luo化hua，使shi得de業ye務wu流liu程cheng效xiao率lv日ri益yi提ti高gao。在zai這zhe一yi過guo程cheng中zhong
，企qi業ye往wang往wang忽hu略lve來lai自zi係xi統tong外wai部bu的de危wei險xian
，而er這zhe些xie危wei險xian其qi實shi如ru同tong內nei部bu風feng險xian一yi樣yang巨ju大da。

　　許多工業計算機運行的是專有操作係統。人們常認為這些計算機比較安全
，因為操作人員認為黑客沒有興趣將“惡意代碼”植入這些少數係統中。因此
，係統中的一些安全漏洞常常不為人所知，很少有人想過如何屏蔽攻擊，如何應對現今流行的眾多病毒、蠕蟲或特洛伊木馬。

　　現在，較新的生產機器通常運行是的像Windows
、以太網
、TCP/IP和HTTP等(deng)標(biao)準(zhun)。隨(sui)著(zhe)公(gong)司(si)範(fan)圍(wei)內(nei)聯(lian)網(wang)性(xing)不(bu)斷(duan)提(ti)高(gao)，這(zhe)些(xie)類(lei)係(xi)統(tong)才(cai)更(geng)容(rong)易(yi)遭(zao)受(shou)來(lai)自(zi)網(wang)絡(luo)的(de)安(an)全(quan)威(wei)脅(xie)。例(li)如(ru)

，對(dui)工(gong)業(ye)機(ji)器(qi)人(ren)進(jin)行(xing)維(wei)護(hu)期(qi)時(shi)
，中(zhong)央(yang)工(gong)業(ye)計(ji)算(suan)機(ji)經(jing)常(chang)會(hui)在(zai)無(wu)意(yi)間(jian)感(gan)染(ran)來(lai)自(zi)維(wei)修(xiu)技(ji)術(shu)人(ren)員(yuan)筆(bi)記(ji)本(ben)電(dian)腦(nao)的(de)“惡意代碼” ，所導致的損害可能非常巨大。

　　因此，生產部門和IT部門需要同時確保各自係統的安全性和可用性，必須防止病毒、蠕蟲以及來自網絡的其他攻擊——高危目標。

　　“今天的自動化技術有本征的缺陷”，中(zhong)國(guo)機(ji)電(dian)一(yi)體(ti)化(hua)技(ji)術(shu)協(xie)會(hui)專(zhuan)家(jia)委(wei)員(yuan)會(hui)主(zhu)任(ren)丁(ding)未(wei)表(biao)示(shi)，現(xian)在(zai)的(de)自(zi)動(dong)化(hua)技(ji)術(shu)領(ling)域(yu)隻(zhi)有(you)麵(mian)向(xiang)功(gong)能(neng)的(de)算(suan)法(fa)
，沒(mei)有(you)支(zhi)撐(cheng)功(gong)能(neng)的(de)安(an)全(quan)算(suan)法(fa)平(ping)台(tai)。這(zhe)裏(li)指(zhi)的(de)安(an)全(quan)算(suan)法(fa)不(bu)是(shi)信(xin)息(xi)領(ling)域(yu)中(zhong)的(de)加(jia)密(mi)、解密技術，而是指為了保障功能集合的安全結構。

　　我國工業係統安全基礎薄弱

　　現代工業控製係統包括過程控製、數據采集係統(SCADA)
，分布式控製係統(DCS)，可編程邏輯控製(PLC)以及其他控製係統等，口前已應用於電力、水力、石化、醫藥、食品以及汽車、航天等工業領域，成為國家關鍵基礎設施的重要組成部分
，關係到國家的戰略安全。

　　相關文獻指出，國家關鍵基礎所依賴的很多重要信息係統從技術特征上講是工CS，而不是傳統上的TCP/IP網絡，其安全是國家經濟穩定運行的關鍵，是信息戰中敵方的重點攻擊日標
，攻擊後果極其嚴重。

　　與傳統的基於TCP/IP協議的網絡與信息係統的安全相比
，我國工CS的de安an全quan保bao護hu水shui平ping明ming顯xian偏pian低di
，長chang期qi以yi來lai沒mei有you得de到dao關guan注zhu。隨sui著zhe信xin息xi化hua的de推tui動dong和he工gong業ye化hua進jin程cheng的de加jia速su，越yue來lai越yue多duo的de計ji算suan機ji和he網wang絡luo技ji術shu應ying用yong於yu工gong業ye控kong製zhi係xi統tong，在zai為wei工gong業ye生sheng產chan帶dai來lai極ji大da推tui動dong作zuo用yong的de同tong時shi
，也ye帶dai來lai了le工gongCS的安全問題，如木馬、病毒、網絡攻擊造成信息泄露和控製指令篡改等。

　　據安全專家介紹，可能導致工Cs安全事件的因素有:控製係統發生拒絕服務;對PLC, DCS或SCADA中可編程指令進行非授權修改，使報警門限值改變
，或使設備本身發生破壞;向控製係統的操作員發生虛假信息，使操作員采取錯誤動作;修改控製係統的軟件或配置設置;係統中被引入了惡意軟件(例如病毒、蠕蟲、特洛伊木馬等)。

　　盡管工CS發生安全事故要比互聯網上的攻擊事件要少，但是由於工CS的特殊性，每一次事件，都代表著廣大人群的生活
、生產受到巨大影響，經濟遭受重大損失甚至倒退。

　　信息化安全建設進入防護階段

　　其實，我國一直注重信息化安全建設。近年來，我國頒布了《國家信息安全標準體係》、《國家信息安全“十一五”規劃》等指導性文件，進行信息化安全建設，並取得了階段性成果。

　　據全國信息安全標準化技術委員會主任委員曲維枝介紹，信息安全標準在信息安全保障體係建設中發揮著基礎性
、規範性作用，是確保信息安全產品和係統在設計、研發
、生產
、建設、使用、測評中保證其一致性、可靠性
、可控性的技術規範
、技術依據。沒有信息安全標準，信息化建設的安全可靠就無法保證。

　　隨著“三網融合”和“兩化融合”的進程已經取得階段性進展

，以及網絡IP化
、電信全業務運營的深入
、客(ke)戶(hu)信(xin)息(xi)安(an)全(quan)意(yi)識(shi)的(de)提(ti)升(sheng)，社(she)會(hui)和(he)經(jing)濟(ji)運(yun)行(xing)對(dui)通(tong)信(xin)服(fu)務(wu)質(zhi)量(liang)的(de)要(yao)求(qiu)正(zheng)在(zai)不(bu)斷(duan)提(ti)高(gao)。為(wei)應(ying)對(dui)全(quan)球(qiu)信(xin)息(xi)通(tong)信(xin)網(wang)絡(luo)安(an)全(quan)的(de)演(yan)進(jin)趨(qu)勢(shi)和(he)挑(tiao)戰(zhan)，有(you)效(xiao)保(bao)障(zhang)我(wo)國(guo)的(de)網(wang)絡(luo)信(xin)息(xi)安(an)全(quan)

，工(gong)信(xin)部(bu)在(zai)全(quan)國(guo)政(zheng)協(xie)十(shi)一(yi)屆(jie)二(er)次(ci)會(hui)議(yi)關(guan)於(yu)“加快中國網絡信息安全立法”的提案答複中表示
，要爭取盡快使《中華人民共和國信息安全條例》進jin入ru立li法fa程cheng序xu，早zao日ri出chu台tai。這zhe標biao誌zhi著zhe我wo國guo的de信xin息xi安an全quan建jian設she正zheng在zai從cong基ji礎chu設she施shi層ceng麵mian的de網wang絡luo安an全quan保bao障zhang階jie段duan，進jin入ru到dao通tong過guo立li法fa保bao障zhang網wang絡luo用yong戶hu權quan益yi不bu受shou侵qin害hai的de應ying用yong層ceng麵mian，即ji：信息安全防護階段。

　　近日
，工業和信息化部互聯網網絡安全應急專家組在京成立。根據工業和信息化部2009年頒布的《公共互聯網網絡安全應急預案》相關規定，工信部組織成立互聯網網絡安全應急專家組
，為互聯網網絡安全應急管理工作提供技術谘詢和決策支撐。（文/頑石）