麵對目前全球網絡攻擊已從傳統的“軟攻擊”
，升級為直接攻擊電力、金融、交通、核設施等核心要害係統的“硬摧毀”現狀
，以及一旦基礎工業控製係統遭破壞後，對國家安全、社會穩定、經濟發展、人民生活安定可能帶來的嚴重損害，強烈呼籲社會各界

，尤其是從事網絡運維安全


、工業控製係統安全的管理和專業人士，當前的首要工作重點是要“做好工業控製係統的信息安全等級保護工作”。

　　2013年 8月23日，在由中國電子信息產業發展研究院主辦，《信息安全與技術》雜誌社和賽迪智庫信息安全研究所承辦的“2013 中國信息安全技術大會”上，國家信息化專家谘詢委員會委員
、中國工程院院士沈昌祥發出了以上呼籲。沈昌祥院士同時強調，要落實2011年工業和信息化部發布的《關於加強工業控製係統安全管理的通知》精神
，做好重點領域工業控製係統信息安全的管理工作，對連接、組網
、配置、設備選擇與升級、數據、應急等管理方麵的要求，要逐一落實。

　　可信、可控、可管

　　沈昌祥院士認為，隨著信息化不斷深入，工業控製係統已從封閉、孤立的係統走向互聯體係的IT係統，采用以太網、TCP/IP網及各種無線網，控製協議已遷移到應用層;采用的標準商用操作係統、中間件與各種通用軟件，已變成開放
、互聯、tongyonghebiaozhunhuadexinxixitong。yinci

，anquanfengxianyedengtongyutongyongdexinxixitong。gongyekongzhixitongwangluojiagoushiyituowangluojishu，jiangkongzhijisuanjiediangoujianchengweigongyeshengchanguochengkongzhidejisuanhuanjing，shishuyudengjibaohuxinxixitongfanwei。xinxianquandengjibaohushiwoguoxinxianquanbaozhangdejibenzhidu
，congjishuheguanlilianggefangmianjinxinganquanjianshe
，zuodaokexin、可控
、可管，使工業控製係統具有抵禦高強度連續攻擊(APT)的能力。

　　就工業控製係統等級保護技術框架而言，沈昌祥院士認為

，信息安全等級保護要做到三點：可信—針對計算資源(軟硬件)構建保護環境
，以可信計算基(TCB)為基礎，層層擴充，對計算資源進行保護;可控—針對信息資源(數據及應用)構建業務流程控製鏈
，以訪問控製為核心，實行主體(用戶)按策略規則訪問客體(信息資源);可管—保(bao)證(zheng)資(zi)源(yuan)安(an)全(quan)必(bi)須(xu)實(shi)行(xing)科(ke)學(xue)管(guan)理(li)，強(qiang)調(tiao)最(zui)小(xiao)權(quan)限(xian)管(guan)理(li)，尤(you)其(qi)是(shi)高(gao)等(deng)級(ji)係(xi)統(tong)實(shi)行(xing)三(san)權(quan)分(fen)離(li)管(guan)理(li)體(ti)製(zhi)
，不(bu)許(xu)設(she)超(chao)級(ji)用(yong)戶(hu)。針(zhen)對(dui)工(gong)業(ye)控(kong)製(zhi)特(te)點(dian)
，要(yao)按(an)GB/17859要求
，構建在安全管理中心支持下的計算環境、區域邊界
、通信網絡三重防禦體係是必要的且可行的，具體設計可參照GB/T25070-2010，以實現通信網絡安全互聯、區域邊界安全防護和計算環境的可信免疫。

1

　　堅持自主創新、縱深防禦

　　沈昌祥院士特別強調
，做好工業控製係統的信息安全等級保護工作，更要堅持自主創新
、縱深防禦。

　　他認為，工業控製係統是定製的運行係統，其資源配置和運行流程具唯一性和排它性特點，用防火牆、殺病毒、漏洞掃描不僅效果不好，而且會引起新的安全問題;堅持自主創新
，采用可信計算技術，使每個計算節點、通信節點都有可信保障功能，係統資源就不會被篡改，處理流程就不會被幹擾破壞，係統能按預定的目標正確運行，“震網”
、“火焰”等病毒攻擊不查即殺。

　　堅持縱深防禦，就是要扭轉“封堵查殺”被動局麵。加強信息係統整體防護，建設區域隔離
、係統控製三重防護、多級互聯體係結構;重點做好操作人員使用的終端防護
，把住攻擊發起的源頭，做到操作使用安全;加強處理流程控製，防止內部攻擊，提高計算節點自我免疫能力，減少封堵;加強技術平台支持下的安全管理
，基於安全策略
，與業務處理、監控及日常管理製度有機結合。(作者係《信息安全與技術》主編)