据台湾媒体报道，8月3日晚间接近午夜时分，台积电位于台湾新竹科学园区的12英寸晶圆厂和营运总部，突然传出电脑遭病毒入侵且生产线全数停摆的消息。

“病毒门”的出现原因：在使用Window 7系统时，一台机器连网更新前并未杀毒，连网后导致病毒大规模扩散。受影响的机台无法运作，以及部分自动搬运系统无法正常运作。

从台积电遭遇病毒到病毒传播、再到生产线停摆整个过程可以看出：

没有抵挡病毒的入侵及预防机制；

没有在第一时间监测出病毒的传播的范围及可能受到威胁的主机；

没能在第一时间控制住病毒的蔓延。

从这个事件可以得出台积电的生产网络是非常脆弱的，至少没有往主机加固层次上进行考虑。

分析

在工控网络安全事件统计中，65%以上的安全事件来自人为因素，且均为终端安全事件，工控网络终端安全在整个安全防护当中的重要性不可忽略。当前普通计算机的资源可以比较轻易的被攻击程序所占用，这些计算机设备在用户认证、操作检查、访问控制网络连接等方面设置的安全措施经常被攻击者绕过。

目前，网络安全比较注重增加边界防护，但诸如防火墙、入侵检测、和病毒防范等为主要构成的传统信息安全系统，是以防外为重点。而从组成信息系统的服务器、网络、终端三个层面上看，把过多的注意力放在对服务器和网络设备的保护上、忽略了对终端的保护。

可信计算（Trusted computing）从一个新的视角解决计算机的安全问题。它有别于传统的安全计算，从终端开始防范攻击，致力于增强终端体系结构的安全性、从源头上解决系统的安全问题。

综上所述，传统的防护思路造成了目前的重边界、轻终端的结果，而基于可信的终端安全防御成为工控网络安全最坚固的防线。

应对

海天炜业可信计算平台“InTrust可信芯片工控网络安全平台”可以较为有效地帮助工业生产厂家对工业主机进行安全加固：

1) 通过完整性度量与验证 ,保证 PC 从加电时刻起 ,一直到在其上运行的每一个硬件、操作系统以及应用软件都是可信的。

2) 通过数据安全保护 ，给各种应用提供基于硬件的存储 ,从根上保证数据的安全 ,同时通过数据封装等功能实现数据与平台的绑定。

3)  通过身份认证 ,向外部实体提供系统平台身份证明和应用身份证明服务。最后 ,具备由权威机构颁发的唯一的身份证书的可信计算平台具备在网络上的唯一的身份标识 。

目前U盘、移动硬盘等移动存储介质是工控网络病毒引入的最主要途径，可信芯片工控安全平台的U盘管控机制还可以从源头上杜绝疑似病毒、可疑病毒的传播。可信芯片工控安全平台白名单模式及U盘管控模式从根源上杜绝未知恶意程序启动，实现主动防御，为工控网络安全提供安全运行保障。

可信计算主要思路是在计算机硬件平台上引入安全芯片架构,通过提供的安全特性来提高终端系统的安全性。

可信计算首先构建一个信任根,再建立一条信任链,从信任根开始到硬件平台,到操作系统,再到应用,一级认证一级,一级信任一级,从而把这种信任扩展到整个计算机系统。

其次就是建立一个网络中的可信域，并基于该信任域的管理系统将单个的可信计算平台扩张到网络中，形成网络的可信任域。

结 语

1) 加强对生产网络边界的梳理。不少企业遭到攻击后检查发现，网络边界存在多条自己都不知道的“官道”。

2) 不要过分相信运营商网络。企业租用运营商线路搭建协同生产网络，而运营商拥有的安全监测和防护能力并不是很充分及应急突发事件处理能力并不是很及时。

3) 提高安全危机意识。

4) 提升灾难恢复能力。逐步建立和提高灾难恢复能力，从数据级开始，慢慢上升到应用级甚至业务级。

5) 提升应急突发事件处理能力。

6) 提升网络纵深防护力度、及主机加固安全理念。