導讀：據國外媒體報道
，德國西門子公司（Siemens AG）13日(ri)表(biao)示(shi)，一(yi)個(ge)旨(zhi)在(zai)攻(gong)擊(ji)西(xi)門(men)子(zi)製(zhi)造(zao)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)的(de)計(ji)算(suan)機(ji)病(bing)毒(du)已(yi)基(ji)本(ben)得(de)到(dao)控(kong)製(zhi)。該(gai)計(ji)算(suan)機(ji)病(bing)毒(du)攻(gong)擊(ji)的(de)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)用(yong)於(yu)監(jian)控(kong)電(dian)網(wang)和(he)其(qi)他(ta)關(guan)鍵(jian)基(ji)礎(chu)設(she)施(shi)
，此次事件給政府和私營部門敲響了“防範病毒攻擊”的(de)警(jing)鍾(zhong)。為(wei)應(ying)對(dui)全(quan)球(qiu)信(xin)息(xi)通(tong)信(xin)網(wang)絡(luo)安(an)全(quan)的(de)演(yan)進(jin)趨(qu)勢(shi)和(he)挑(tiao)戰(zhan)

，有(you)效(xiao)保(bao)障(zhang)我(wo)國(guo)的(de)網(wang)絡(luo)信(xin)息(xi)安(an)全(quan)

，近(jin)日(ri)，工(gong)業(ye)和(he)信(xin)息(xi)化(hua)部(bu)互(hu)聯(lian)網(wang)網(wang)絡(luo)安(an)全(quan)應(ying)急(ji)專(zhuan)家(jia)組(zu)在(zai)京(jing)成(cheng)立(li)，為(wei)互(hu)聯(lian)網(wang)網(wang)絡(luo)安(an)全(quan)應(ying)急(ji)管(guan)理(li)工(gong)作(zuo)提(ti)供(gong)技(ji)術(shu)谘(zi)詢(xun)和(he)決(jue)策(ce)支(zhi)撐(cheng)。

病毒攻擊工業控製係統

　　病毒首次攻擊大型工業控製係統

　　這個攻擊西門子工業控製係統的病毒被稱為“Stuxnet”


，該病毒會傳播到插入電腦USB接口的設備中，並從中竊取數據。這是駭客首次嚐試入侵大型工業電腦係統病毒，而這些病毒疑似來自台灣。

　　據悉，Stuxnet病毒利用微軟Windows作業係統漏洞
，透過USB散布病毒，專門鎖定西門子生產的工業控製係統
，並試圖竊取係統內的資料。

　　分析人士表示
，6月份首次監測到該計算機病毒對工業計算機係統發起了一次大規模的攻擊
，而這些計算機係統主要用於監控自動工廠、單位
、核電站、水處理係統等。自動化企業長期的贏利前景使得一些黑客逐漸向工業領域參透，把工業控製係統作為攻擊的目標。

　　截至目前為止，西門子全球客戶隻有9家已偵測到該病毒
，且沒有客戶蒙受損失。

　　傳統安全技術正日益失去作用

　　在工廠生產和商業係統間發展網絡安全是項複雜的任務，以至於大多數IT和自動化部門都在猶豫是否要進行此項任務。IT部門可能不熟悉複雜的工業係統
，任何錯誤都會對生產起到反作用。從工業自動化的前景和與IT安全的挑戰來看，自動化部門寧可選擇獨立運行，在這些係統中留下通信“缺口”。

　　現在能結合工業計算機使用的安全技術可謂多種多樣。但是幾乎所有的安全技術，不論是基於硬件還是基於軟件
，都有一個相同的缺陷：要實現這些技術的話
，必須對係統進行改動。然而這正是工業環境下應不惜一切代價予以避免的問題。

　　對於基於硬件的係統（如路由器
、橋接器）而言，其缺點便是往往可通過其網絡IP地(di)址(zhi)被(bei)予(yu)以(yi)識(shi)別(bie)
，因(yin)此(ci)，很(hen)容(rong)易(yi)受(shou)到(dao)攻(gong)擊(ji)。特(te)別(bie)是(shi)在(zai)許(xu)多(duo)係(xi)統(tong)中(zhong)
，為(wei)了(le)讓(rang)數(shu)據(ju)傳(chuan)輸(shu)不(bu)成(cheng)問(wen)題(ti)，標(biao)準(zhun)端(duan)口(kou)通(tong)常(chang)是(shi)開(kai)放(fang)的(de)。而(er)基(ji)於(yu)軟(ruan)件(jian)的(de)解(jie)決(jue)方(fang)案(an)由(you)於(yu)不(bu)兼(jian)容(rong)，它(ta)們(men)無(wu)法(fa)在(zai)某(mou)些(xie)專(zhuan)有(you)操(cao)作(zuo)係(xi)統(tong)上(shang)運(yun)行(xing)。

　　目mu前qian的de殺sha毒du軟ruan件jian更geng新xin程cheng序xu比bi較jiao複fu雜za，需xu要yao大da量liang的de人ren力li和he財cai力li。它ta們men通tong常chang不bu能neng集ji成cheng到dao使shi用yong老lao的de處chu理li器qi技ji術shu的de係xi統tong中zhong，因yin為wei這zhe些xie解jie決jue方fang案an缺que少shao必bi要yao的de性xing能neng。更geng別bie提ti那na些xie需xu要yao經jing常chang更geng新xin的de軟ruan件jian
，否fou則ze
，病bing毒du會hui通tong過guo新xin發fa現xian的de安an全quan漏lou洞dong不bu斷duan輕qing易yi攻gong擊ji操cao作zuo係xi統tong。

　　幸運的是，已經出現了新的解決方法。例如，OPC能夠利用隧道技術使其在不同的係統和防火牆間工作。類似於虛擬專用網絡（VPN）和點對點隧道協議（PPTP），OPC隧(sui)道(dao)將(jiang)數(shu)據(ju)有(you)效(xiao)載(zai)荷(he)封(feng)裝(zhuang)入(ru)另(ling)一(yi)協(xie)議(yi)中(zhong)。從(cong)隧(sui)道(dao)外(wai)看(kan)
，它(ta)就(jiu)像(xiang)是(shi)數(shu)據(ju)流(liu)
，但(dan)是(shi)，在(zai)數(shu)據(ju)流(liu)內(nei)卻(que)是(shi)非(fei)常(chang)重(zhong)要(yao)的(de)產(chan)品(pin)數(shu)據(ju)。隧(sui)道(dao)技(ji)術(shu)也(ye)能(neng)夠(gou)利(li)用(yong)端(duan)口(kou)限(xian)製(zhi)、用戶認證和數據流加密來克服大多數IT安全缺陷。

　　急需構建自動化係統的安全平台

　　隨(sui)著(zhe)生(sheng)產(chan)和(he)辦(ban)公(gong)環(huan)境(jing)的(de)日(ri)益(yi)網(wang)絡(luo)化(hua)
，使(shi)得(de)業(ye)務(wu)流(liu)程(cheng)效(xiao)率(lv)日(ri)益(yi)提(ti)高(gao)。在(zai)這(zhe)一(yi)過(guo)程(cheng)中(zhong)
，企(qi)業(ye)往(wang)往(wang)忽(hu)略(lve)來(lai)自(zi)係(xi)統(tong)外(wai)部(bu)的(de)危(wei)險(xian)，而(er)這(zhe)些(xie)危(wei)險(xian)其(qi)實(shi)如(ru)同(tong)內(nei)部(bu)風(feng)險(xian)一(yi)樣(yang)巨(ju)大(da)。

　　許多工業計算機運行的是專有操作係統。人們常認為這些計算機比較安全，因為操作人員認為黑客沒有興趣將“惡意代碼”植入這些少數係統中。因此，係統中的一些安全漏洞常常不為人所知
，很少有人想過如何屏蔽攻擊，如何應對現今流行的眾多病毒、蠕蟲或特洛伊木馬。

　　現在，較新的生產機器通常運行是的像Windows
、以太網、TCP/IP和HTTPdengbiaozhun。suizhegongsifanweineilianwangxingbuduantigao，zhexieleixitongcaigengrongyizaoshoulaiziwangluodeanquanweixie。liru，duigongyejiqirenjinxingweihuqishi，zhongyanggongyejisuanjijingchanghuizaiwuyijianganranlaiziweixiujishurenyuanbijibendiannaode“惡意代碼”

，所導致的損害可能非常巨大。

　　因此，生產部門和IT部門需要同時確保各自係統的安全性和可用性，必須防止病毒、蠕蟲以及來自網絡的其他攻擊——高危目標。

　　“今天的自動化技術有本征的缺陷”，中(zhong)國(guo)機(ji)電(dian)一(yi)體(ti)化(hua)技(ji)術(shu)協(xie)會(hui)專(zhuan)家(jia)委(wei)員(yuan)會(hui)主(zhu)任(ren)丁(ding)未(wei)表(biao)示(shi)
，現(xian)在(zai)的(de)自(zi)動(dong)化(hua)技(ji)術(shu)領(ling)域(yu)隻(zhi)有(you)麵(mian)向(xiang)功(gong)能(neng)的(de)算(suan)法(fa)，沒(mei)有(you)支(zhi)撐(cheng)功(gong)能(neng)的(de)安(an)全(quan)算(suan)法(fa)平(ping)台(tai)。這(zhe)裏(li)指(zhi)的(de)安(an)全(quan)算(suan)法(fa)不(bu)是(shi)信(xin)息(xi)領(ling)域(yu)中(zhong)的(de)加(jia)密(mi)、解密技術，而是指為了保障功能集合的安全結構。

　　我國工業係統安全基礎薄弱

　　現代工業控製係統包括過程控製、數據采集係統(SCADA)，分布式控製係統(DCS)，可編程邏輯控製(PLC)以及其他控製係統等，口前已應用於電力、水力、石化、醫藥、食品以及汽車

、航天等工業領域，成為國家關鍵基礎設施的重要組成部分
，關係到國家的戰略安全。

　　相關文獻指出，國家關鍵基礎所依賴的很多重要信息係統從技術特征上講是工CS，而不是傳統上的TCP/IP網絡，其安全是國家經濟穩定運行的關鍵，是信息戰中敵方的重點攻擊日標，攻擊後果極其嚴重。

　　與傳統的基於TCP/IP協議的網絡與信息係統的安全相比
，我國工CS的(de)安(an)全(quan)保(bao)護(hu)水(shui)平(ping)明(ming)顯(xian)偏(pian)低(di)，長(chang)期(qi)以(yi)來(lai)沒(mei)有(you)得(de)到(dao)關(guan)注(zhu)。隨(sui)著(zhe)信(xin)息(xi)化(hua)的(de)推(tui)動(dong)和(he)工(gong)業(ye)化(hua)進(jin)程(cheng)的(de)加(jia)速(su)，越(yue)來(lai)越(yue)多(duo)的(de)計(ji)算(suan)機(ji)和(he)網(wang)絡(luo)技(ji)術(shu)應(ying)用(yong)於(yu)工(gong)業(ye)控(kong)製(zhi)係(xi)統(tong)
，在(zai)為(wei)工(gong)業(ye)生(sheng)產(chan)帶(dai)來(lai)極(ji)大(da)推(tui)動(dong)作(zuo)用(yong)的(de)同(tong)時(shi)

，也(ye)帶(dai)來(lai)了(le)工(gong)CS的安全問題
，如木馬、病毒、網絡攻擊造成信息泄露和控製指令篡改等。

　　據安全專家介紹，可能導致工Cs安全事件的因素有:控製係統發生拒絕服務;對PLC, DCS或SCADA中可編程指令進行非授權修改
，使報警門限值改變，或使設備本身發生破壞;向控製係統的操作員發生虛假信息，使操作員采取錯誤動作;修改控製係統的軟件或配置設置;係統中被引入了惡意軟件(例如病毒、蠕蟲、特洛伊木馬等)。

　　盡管工CS發生安全事故要比互聯網上的攻擊事件要少，但是由於工CS的特殊性
，每一次事件，都代表著廣大人群的生活、生產受到巨大影響，經濟遭受重大損失甚至倒退。

　　信息化安全建設進入防護階段

　　其實，我國一直注重信息化安全建設。近年來，我國頒布了《國家信息安全標準體係》、《國家信息安全“十一五”規劃》等指導性文件，進行信息化安全建設，並取得了階段性成果。

　　據全國信息安全標準化技術委員會主任委員曲維枝介紹
，信息安全標準在信息安全保障體係建設中發揮著基礎性

、規範性作用，是確保信息安全產品和係統在設計、研發、生產、建設
、使用

、測評中保證其一致性、可靠性、可控性的技術規範、技術依據。沒有信息安全標準，信息化建設的安全可靠就無法保證。

　　隨著“三網融合”和“兩化融合”的進程已經取得階段性進展，以及網絡IP化、電信全業務運營的深入、客ke戶hu信xin息xi安an全quan意yi識shi的de提ti升sheng
，社she會hui和he經jing濟ji運yun行xing對dui通tong信xin服fu務wu質zhi量liang的de要yao求qiu正zheng在zai不bu斷duan提ti高gao。為wei應ying對dui全quan球qiu信xin息xi通tong信xin網wang絡luo安an全quan的de演yan進jin趨qu勢shi和he挑tiao戰zhan，有you效xiao保bao障zhang我wo國guo的de網wang絡luo信xin息xi安an全quan，工gong信xin部bu在zai全quan國guo政zheng協xie十shi一yi屆jie二er次ci會hui議yi關guan於yu“加快中國網絡信息安全立法”的提案答複中表示，要爭取盡快使《中華人民共和國信息安全條例》進jin入ru立li法fa程cheng序xu，早zao日ri出chu台tai。這zhe標biao誌zhi著zhe我wo國guo的de信xin息xi安an全quan建jian設she正zheng在zai從cong基ji礎chu設she施shi層ceng麵mian的de網wang絡luo安an全quan保bao障zhang階jie段duan，進jin入ru到dao通tong過guo立li法fa保bao障zhang網wang絡luo用yong戶hu權quan益yi不bu受shou侵qin害hai的de應ying用yong層ceng麵mian，即ji：信息安全防護階段。

　　近日

，工業和信息化部互聯網網絡安全應急專家組在京成立。根據工業和信息化部2009年頒布的《公共互聯網網絡安全應急預案》相關規定
，工信部組織成立互聯網網絡安全應急專家組，為互聯網網絡安全應急管理工作提供技術谘詢和決策支撐。（文/頑石）