4我国关键基础设施面临的信息安全形势
　　4.1针对关键基础设施的网络攻击日益增多
　　据统计，目前美国大约有7200个可以直接通过互联网进行操作的关键基础设施控制设备。根据美国工业控制系统网络应急小组（ICS-CERT）的最新报告显示，在2009年到2012年间，美国关键基础设施公司报告的网络安全事件数量急剧增加。2009年，ICS-CERT仅确定了9起安全事件报告。2010年，这个数字上升到41起。2011年和2012年，均确定了198起安全事件报告。急剧上升的网络攻击，严重威胁着关键基础设施的正常运转。
　　4.2国家成为网络攻击的支持者和发动者
　　以往的网络攻击，攻击者多数是个人或黑客团体，但近年来国家政府开始加入进来。据《纽约时报》披露，美国总统奥巴马从上任的第一个月开始，就密令加快对伊朗主要铀浓缩设施进行代号为"奥运会"的网络攻击。2010年给伊朗核电站造成破坏的"震网"病毒，经证实是由美国和以色列联合研发的，目的在于阻止伊朗发展核武器。据专家研判，目前仍在对关键基础设施进行持续网络攻击的"火焰"、"Duqu"等病毒，与"震网"病毒一脉相承，其背后也有国家政府的影子。
　　4.3国家之间的网络战争威胁日益加剧近年来国家支持的网络攻击活动频繁，引起了各国对网络战争的担忧，尤其是"火焰"等病毒威力强大、足以用来攻击任何一个国家，更使人相信未来针对一个国家发动网络攻击，以瘫痪该国的关键基础设施，并非绝无可能。针对关键基础设施的网络攻击将可能给被攻击国家和社会造成灾难性的危害，为防御他国可能的上述攻击，美国等一些国家在积极开展网络武器研发，组建网络部队，并且通过立法方式授权军队在遭受网络攻击时使用武力进行反击。
　　5加强我国关键基础设施信息安全保障能力的对策建议
　　关键基础设施信息安全事关国家安全，为有效应对网络攻击的新变化，建议从几方面着手。
　　5.1完善关键基础设施网络安全法律体系
　　我国虽已建立重要信息系统等级保护制度，但还缺乏体系化的关键基础设施信息安全立法。建议充分借鉴国外关键基础设施网络安全保护相关法律，分析我国现有立法的不足和主要问题，抓紧建立我国关键基础设施网络安全法律体系，从法律层面明确关键基础设施的定义和范围、界定政府部门的职责、规范运营者和所有者的运营资质要求。
　　5.2明确政府部门关键基础设施网络安全职责
　　关键基础设施保护涉及多个领域，需要政府部门的共同协作，有必要明确政府各部门的保护职责。以美国为例，其国土安全部为总体负责和统筹协调部门，主要职责包括鉴别和确定关键基础设施、分析关键基础设施的威胁和脆弱性、整合和协调跨部门的活动、提交关键基础设施安全性报告等；行业主管部门负责本行业的关键基础设施保护工作，并对国土安全部进行支持；司法部、内政部、国家情报委员会等负责各自职责范围内的相关工作。建议参考美国作法，进一步明确国家信息安全协调小组在关键基础设施上的职责，加强其在关键基础设施网络安全领域的总体负责和统筹协调功能。明确电信、能源、电力、金融、轨道交通等行业主管部门负责各自领域的保护工作，加强各行业主管部门与信息安全协调小组的联系。明确公安部、国家保密局等相关部门负有的关键基础设施保护职责，加强部门间的风险信息共享。
　　5.3建立关键基础设施风险信息共享机制
　　关键基础设施网络安全涉及部门多，影响范围广，共享网络威胁信息有助于更好地应网络攻击。建议借鉴美国、欧盟等的先进经验，充分了解关键基础设施设备提供商、运营单位、政府部门、信息安全承包商、专家队伍、公众等各方对信息共享的需求，尽快建立有效的关键基础设施风险信息共享机制，明确信息共享的条件，确定信息共享步骤，建立信息共享公共服务平台。
　　5.4制定关键基础设施网络安全风险分级规范
　　关键基础设施数量众多，其重要性和潜在的破坏力也不尽相同，有必要划分关键基础设施信息安全风险等级并对其进行分级管理。建议抓紧制定关键基础设施网络安全风险分级规范，根据关键基础设施的重要性、不可替代性、一旦出现问题之后的影响范围、以及网络攻击的可能性等因素，提出界定关键基础设施信息安全风险等级的量化标准，分级别制定管理要求。
　　5.5推动关键基础设施相关产品的国产替代
　　当前我国关键基础设施中信息技术产品高度依赖进口，存在极大信息安全隐患。建议加强高端通用芯片、操作系统等基础技术攻关，支持国内企业基于国产芯片研发信息技术装备、大型数据采集与监控系统（SCADA）等控制设备和系统，加快国产技术产品的应用推广，逐步实现对国外产品的替代。
　　5.6督促关键基础设施运营单位加强管理
　　关键基础设施运营单位应加强管理，主要包括：断开与公共网络之间的所有不必要连接，对确实需要的连接，采取必要的防护措施，并定期进行风险评估；严格控制在工业控制系统和公共网络之间交叉使用移动存储介质以及便携式计算机；建立控制服务器等工业控制系统关键设备安全配置和审计制度，严格账户和口令管理，定期对账户、口令、端口、服务等进行检查等措施。
　　参考文献
　　[1]马民虎，景乾元"美国《2001年关键基础设施信息安全法案》的评介与思考.信息网络，2002年05期.
　　[2]冯伟.我国工业控制系统面临的信息安全挑战及措施建议.信息安全与技术，2013年第2期.
　　[5]蔡锋，张岑，李代甜.SCADA系统在石油管线中的应用.石油化工自动化，2007第2期.
　　[6]秦猛.DCS的可靠性分析.石油化工自动化，2008第1期.
　　[7]李桢.DCS与PLC的Modbus协议通信在石油化工厂的应用.计算机应用与软件，2009第4期.
　　[8]广州致远电子有限公司.新一代嵌入式工控设备系统级互连应用.电子技术应用，2008第7期.
　　基金项目：
　　本课题得到国家高技术研究发展计划（863计划）No.2012AA01A403支持。
　　作者简介：
　　冯伟，男，博士，工业和信息化部赛迪智库信息安全研究所工作，主要从事通信、电子认证、信息安全、工业控制信息安全等领域工作。

---

期刊库（http://www.zgqkk.com），是一个专门从事期刊推广、投稿辅导的网站。
　　本站提供如何投稿辅导，寻求投稿辅导合作，快速投稿辅导，投稿辅导格式指导等解决方案：省级投稿辅导/国家级投稿辅导/核心期刊投稿辅导//职称投稿辅导。

---

　　【免责声明】本文仅代表作者本人观点，与投稿辅导_期刊发表_中国期刊库专业期刊网站无关。投稿辅导_期刊发表_中国期刊库专业期刊网站站对文中陈述、观点判断保持中立，不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。请读者仅作参考，并请自行承担全部责任。