关键基础设施保护工作委员会成立 构建协同保护的安全工作体系

　　由中国网络安全产业联盟主办，关键基础设施保护工作委员会承办，北京匡恩网络科技有限责任公司协办的“首届中国网络安全产业大会暨关键基础设施保护高峰论坛”近日在京开幕，关键基础设施保护工作委员会（以下简称委员会）同期宣布成立。关键基础设施保护

　　本次论坛，旨在汇集政府部门、行业组织、研究机构以及相关企业切磋交流，进一步推动国家关键基础设施安全和关键信息基础设施安全的发展。中国工程院院士沈昌祥、中央网信办网络安全协调局基础设施保护处处长王营康、信息安全标准化技术委员会秘书长高林、国家安全生产监督管理局总局技术委员会副秘书长贺定超、国家信息技术安全研究中心总工程师李京春、北京市互联网信息办公室网络技术安全处处长到张越今、北京市经信委信息安全协调处处长史宜会、中关村科技园区海淀园管理委员会处长何建吾、国家关键基础设施领域的重要企业代表：神华集团信息部和生产部、中车株机、国家电网、中船重工、国家核电、东软集团、中国石油、铁科院等专家、领导以及委员会成员，企业和行业精英逾五百人济济一堂，共同发声关键基础设施和关键信息基础设施安全，见证关键基础设施保护工作委员会扬帆起航。

　　中央网信办网络安全协调局基础设施保护处处长王营康在致辞中指出，网络安全新形势下，充分认识关键信息基础设施保护工作重要性；要树立正确网络安全观，创新保护方法，构建多方参与、协同保护的工作体系。关键信息基础设施是网络安全与传统安全最直接的交汇点，面临现实而紧迫的安全威胁，保护关键信息基础设施安全对保障公众合法权益，维护经济社会秩序都具有至关重要的意义。中国网络安全产业联盟关键基础设施保护工作委员会的成立恰逢其时，对联合产业力量，促进关键信息基础设施保护具有积极意义。他希望中国网络安全产业联盟和关键基础设施保护工作委员会发挥优势，团结各方，为促进关键信息基础设施保护工作提供有力支撑，发挥积极作用。

　　随后，匡恩网络技术委员会主席兼首席战略官、关键基础设施保护工作委员会主任孙一桉代表委员会做揭幕致辞。他表示，当前，网络信息安全防护理念正在发生深刻的演变，以工业控制系统为中枢神经的国家关键基础设施安全和关键信息基础设施安全面临更为严峻的全新挑战。就在日前，首次全国范围的关键信息基础设施网络安全检查工作已全面启动，这是针对全国关键信息基础设施网络安全保护开展的全局性、战略性、基础性工作。

　　孙一桉认为，在此契机之下，在网信办和关键基础设施保护处等主管部门的大力支持下，关键基础设施保护工作委员会于今日揭幕成立。网络安全新形势下，它的成立具有承前启后的开创性意义。关键基础设施保护工作委员会将发挥技术引领和支撑作用，带动安全企业及产业链在关键基础设施保护方面加强技术研究、技术合作及政策推动，大力推进涉及基础设施的重点行业和参与基础设施建设、运营的企业对网络安全的认知和重视。

　　用可信计算构筑网络安全

　　随后，中国工程院沈昌祥院士做题为“用可信计算构筑网络安全”的主题演讲，对可信计算进行了全面介绍。此外，国家信息技术安全研究中心李京春总工程师分享了“关键基础设施风险评估与案例”。

　　在论坛上，匡恩网络高级副总裁李江力还分享了对工控安全与关键基础设施安全发展态势的分析和见解，他介绍了匡恩网络工控网络安全产品和解决方案在涉及国计民生的重要行业的应用案例，通过与火电、水电、城市燃气、水处理、智能制造等垂直细分行业的深度合作与融合，助力涉及国计民生重点行业的控制系统更安全、更智能、更高效运行。

　　作为我国智能工业网络安全专家，匡恩网络提供覆盖基础设施、智能制造、智慧城市和军民融合四大领域，重点行业控制系统全价值链的产品、解决方案、服务和咨询，不仅代表了当下工控安全领域最先进技术水平，也在全国多地多行业的实践中积累了丰富工程经验。未来，匡恩网络将为保护国家关键基础设施安全和关键信息基础设施安全提供强有力的技术支撑。

　　传统信息安全与工控安全

　　传统信息安全与工控安全角度有什么不同？孙一桉说：“其实工业控制和传统信息安全是互补的。”他解释说：“从攻击路径的角度看，两者是相互影响的。绝大多数的情况他们都是从办公网，也就是IT这个网络攻入到供给层。”

　　在记者问及对于工业控制网络和传统信息的关系时，孙一桉说：“两者是互补的，在一条攻击路径上。对于黑客来说，不会考虑用户的系统是工控还是非工控，是信息还是非信息。但两者各有侧重，信息安全比较关注数据安全，因为数据的泄露，数据的篡改会带来很多严重的后果。工业控制更多关注的是系统的稳定性和对生产的影响。这也决定了用户的防护体系和结构的不同。”

　　孙一桉强调，路径容忍度是工业控制防护的一个基本理念。工业控制系统又不能在这个发现问题的点立即切断，因为切断了不知道后果是什么。强调结构安全性，也就意味着，某一个点发现问题时，其他系统不要受影响，结构安全性是工业控制系统的首要。

　　“工业控制系统强调它的稳定性。在信息安全领域它强调带宽对容错要求比较高。工业控制系统不能用传统的手段，要纵深防御，就是一次放几层设备，其实放的设备越多，造成的故障点越多，要高度集中精准投放设备，设备本身一定要很可靠，是高度集中化的。另外，工业控制设备流程，与生产流程深度结合，各行业都有所不同，电网、石油、烟草及铁路理念是完全不同的。比如说钢厂强调任何时候不能停，地铁是什么理念？出现任何情况就是停车，如果停车就没事了。没有一个万能工业防空系统，适用于所有的系统。工业控制系统一次更新也很难，传统信息安全打补丁查杀病毒软件是不可接受的。一套软件可能十年都不去碰，针对这一特点怎么样防护？这都是工业控制系统需要关注和思考的。”孙一桉补充说。

　　相关链接

　　据孙一桉介绍，具体抵御工控网络安全风险的措施有许多，但关键还是要提高重视程度，树立工控网络安全立体防护理念，构建完整的安全服务产业链。实际上，盲目地加防护设备不是最好的途径，关键是要建立全生命周期的安全防护体系，为客户提供适时的技术支持。因此，匡恩提出了立体化的安全理念，包括结构安全、本体安全、行为安全和基因安全4个方面。结构安全非常重要，如果结构安全不解决，后期要加防护非常难；本体安全是指工业控制设备本身的漏洞检测、分析与防护；行为安全就是在工控系统加装设备，进行实时监控；基因安全则强调了要尽可能早植入安全基因，在设备的设计阶段就要考虑网络安全问题。

　　■本报记者 杨光

关注读览天下微信， 100万篇深度好文， 等你来看……