麵對目前全球網絡攻擊已從傳統的“軟攻擊”，升級為直接攻擊電力、金融、交通、核設施等核心要害係統的“硬摧毀”現狀，以及一旦基礎工業控製係統遭破壞後，對國家安全
、社會穩定
、經濟發展
、人民生活安定可能帶來的嚴重損害，強烈呼籲社會各界
，尤其是從事網絡運維安全、工業控製係統安全的管理和專業人士，當前的首要工作重點是要“做好工業控製係統的信息安全等級保護工作”。

　　2013年 8月23日，在由中國電子信息產業發展研究院主辦
，《信息安全與技術》雜誌社和賽迪智庫信息安全研究所承辦的“2013 中國信息安全技術大會”上
，國家信息化專家谘詢委員會委員、中國工程院院士沈昌祥發出了以上呼籲。沈昌祥院士同時強調，要落實2011年工業和信息化部發布的《關於加強工業控製係統安全管理的通知》精神
，做好重點領域工業控製係統信息安全的管理工作，對連接、組網、配置
、設備選擇與升級
、數據、應急等管理方麵的要求，要逐一落實。

　　可信
、可控、可管

　　沈昌祥院士認為
，隨著信息化不斷深入，工業控製係統已從封閉、孤立的係統走向互聯體係的IT係統，采用以太網
、TCP/IP網及各種無線網，控製協議已遷移到應用層;采用的標準商用操作係統
、中間件與各種通用軟件，已變成開放
、互聯、tongyonghebiaozhunhuadexinxixitong。yinci，anquanfengxianyedengtongyutongyongdexinxixitong。gongyekongzhixitongwangluojiagoushiyituowangluojishu，jiangkongzhijisuanjiediangoujianchengweigongyeshengchanguochengkongzhidejisuanhuanjing
，shishuyudengjibaohuxinxixitongfanwei。xinxianquandengjibaohushiwoguoxinxianquanbaozhangdejibenzhidu，congjishuheguanlilianggefangmianjinxinganquanjianshe，zuodaokexin、可控、可管
，使工業控製係統具有抵禦高強度連續攻擊(APT)的能力。

　　就工業控製係統等級保護技術框架而言，沈昌祥院士認為，信息安全等級保護要做到三點：可信—針對計算資源(軟硬件)構建保護環境，以可信計算基(TCB)為基礎，層層擴充，對計算資源進行保護;可控—針對信息資源(數據及應用)構建業務流程控製鏈，以訪問控製為核心，實行主體(用戶)按策略規則訪問客體(信息資源);可管—baozhengziyuananquanbixushixingkexueguanli，qiangtiaozuixiaoquanxianguanli，youqishigaodengjixitongshixingsanquanfenliguanlitizhi，buxushechaojiyonghu。zhenduigongyekongzhitedian，yaoanGB/17859要求，構建在安全管理中心支持下的計算環境
、區域邊界、通信網絡三重防禦體係是必要的且可行的
，具體設計可參照GB/T25070-2010，以實現通信網絡安全互聯、區域邊界安全防護和計算環境的可信免疫。

1

　　堅持自主創新、縱深防禦

　　沈昌祥院士特別強調，做好工業控製係統的信息安全等級保護工作，更要堅持自主創新、縱深防禦。

　　他認為，工業控製係統是定製的運行係統，其資源配置和運行流程具唯一性和排它性特點
，用防火牆、殺病毒

、漏洞掃描不僅效果不好，而且會引起新的安全問題;堅持自主創新，采用可信計算技術
，使每個計算節點
、通信節點都有可信保障功能，係統資源就不會被篡改，處理流程就不會被幹擾破壞，係統能按預定的目標正確運行
，“震網”
、“火焰”等病毒攻擊不查即殺。

　　堅持縱深防禦，就是要扭轉“封堵查殺”被動局麵。加強信息係統整體防護，建設區域隔離
、係統控製三重防護
、多級互聯體係結構;重點做好操作人員使用的終端防護，把住攻擊發起的源頭，做到操作使用安全;加強處理流程控製，防止內部攻擊，提高計算節點自我免疫能力，減少封堵;加強技術平台支持下的安全管理，基於安全策略，與業務處理、監控及日常管理製度有機結合。(作者係《信息安全與技術》主編)