關鍵信息基礎設施是經濟社會運行的神經中樞，涉及國家重要行業和領域，一旦發生網絡安全問題，將嚴重危害國家安全、國計民生和公共利益。目前，國際上和關鍵信息基礎設施相關的重大網絡安全事件層出不窮，關鍵信息基礎設施面臨的網絡安全形勢日趨嚴峻，安全防護工作刻不容緩。

2023年5月1日，《信息安全技術 關鍵信息基礎設施安全保護要求》正式實施，為我國關鍵信息技術設施保護工作的深入開展奠定了堅實的基礎。和利時信息安全研究院等關鍵領域網絡安全建設者，可以在國家相應法規和標準指導下，根據系統特點、技術架構和安全發展趨勢，制定行之有效的防護措施，更有效、精準地實現關鍵信息基礎設施安全可信運營，保障國民經濟與生產命脈。

《信息安全技術關鍵信息基礎設施安全保護要求》標準概述

《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）國家標準由國家市場監管總局于2022年11月批準發布，為開展關鍵信息基礎設施安全保護工作提供了具體的工作指引。

該標準明確指出關鍵信息基礎設施安全保護應在網絡安全等級保護制度基礎上實行重點防護，并提出了以關鍵業務為核心的整體防控、以風險管理為導向的動態防護、以信息共享為基礎的協同聯防的關鍵信息基礎設施安全保護3項基本原則。標準對關鍵信息基礎設施安全從分析識別、安全防護、檢測評估、監測預警、主動防御、事件處置6個環節，提出了111條安全要求，為運營者開展關鍵信息基礎設施保護工作提供了強有力的標準保障。

工業關鍵信息基礎設施 網絡安全建設的重點和難點

工業控制系統是關鍵信息基礎設施的重要組成部分，廣泛應用于能源、交通、石化、智能制造、公用設施等重要領域，關系到國民經濟、社會運行和國家安全。自2010年伊朗“震網病毒”開始，國內外已發生多起針對工業領域關鍵信息基礎設施的網絡攻擊，對工業生產乃至國家安全造成威脅。

我國工控網絡安全基礎較為薄弱，且仍有部分行業控制系統高度依賴國外技術，存在較多的安全漏洞。因此，工業領域關鍵信息基礎設施的安全應以控制系統為核心，針對其特點進行有效的防護。

工業控制系統是一種信息物理融合系統，一旦出現問題就有可能造成設備損壞、人員傷亡或者環境污染，其安全防護的目標應以生產過程控制為中心，保障控制系統的可靠穩定運行。

工業控制系統的設計特點導致了更強的脆弱性，更難以抵御網絡威脅尤其是復雜的攻擊手段；工業控制系統的應用特點使得其防護目標不同于傳統信息系統，其本質是為了保障功能和控制安全；工業控制系統的系統特點為傳統安全防護手段的應用造成了約束，并且削弱了其防護的有效性。這些系統架構和防護需求上的特點，使傳統的信息安全產品并不完全適用于工控系統，工業關鍵信息基礎設施安全需要考慮新的防護理念和措施。

可信計算應用于工業安全的意義與價值

傳統的“封堵查殺”防護方式在工業控制系統安全領域已經過時，目前，工控安全能力正在從“被動防范”向“安全可信+主動防御”的方向轉變，應以控制系統原生的思維構建安全防護措施，進行安全設計，使得控制系統和安全深度融合，從根本上解決核心控制系統的安全問題。

目前，可信計算技術已成為工業安全防護利器，通過可信計算為工業控制系統提供主動免疫安全防護能力，形成原生安全機制，可有效抵抗來自系統內外部的網絡攻擊。

和利時信息安全研究院，基于可信計算技術建立自主免疫系統，為控制系統構建可信安全環境，目前已推出安全可信PLC和安全可信DCS等，實現了可信計算技術在工業嵌入式領域的創新應用。安全可信控制系統融合嵌入式可信計算、身份認證、訪問控制、深度協議控制、基于國密的數據保護等先進技術，采用雙體系嵌入式架構，具備對內核、應用、數據、工業業務行為的度量控制和檢測審計能力，實現工業控制系統全方位、全體系、全生命周期安全可信防護。

和利時基于可信計算的原生安全防護體系

圍繞“原點思維、聚焦超越、再創輝煌＂的戰略方針，和利時信息安全研究院與信息安全領域權威專家沈昌祥院士團隊深入合作，開展工業信息安全核心技術研發和創新產業應用。

基于三十年來在工業控制系統行業的深厚積累，和利時提出了“工業原生安全”新防護理念，即工控系統“原生安全、主動防護”、“業務+安全”融合的工業網絡安全理論體系和總體架構，致力于打造工業控制系統網絡安全防護措施技術原生化和產品原生化，強調以系統原生的思維構建工業控制系統的安全設計、部署和應用，從根本上解決工業控制系統本質的安全問題，實現安全與工業深度融合。

結合安全可信控制系統，及與工控系統深度兼容、與工控協議和工控業務深度融合的外圍工控安全防護產品，和利時信息安全研究院建立涵蓋控制設備安全、網絡通信安全、業務流程作業安全的工控系統主動防御體系，形成結合行業工藝與系統設計、從內而外全面防護的工業原生安全防護解決方案。

圖/和利時工業原生安全解決方案

該解決方案目前已廣泛應用于電力、石化、煤炭、軌道交通等與國計民生緊密相關的工業控制領域，從本質上提升了工業關鍵信息基礎設施的安全保障能力。

《信息安全技術 關鍵信息基礎設施安全保護要求》（GB/T 39204-2022）國家標準的發布與實施，將進一步落實關鍵信息基礎設施安全相關法律法規要求，成為保障關鍵信息基礎設施安全與發展的重要技術要素。和利時信息安全研究院在相應法律法規和標準指導下，將持續深入工控安全研究，精進業務安全融合技術，持續助力夯實我國制造大國、制造強國的地位。